एप्लिकेशन-लेवल गेटवे

From Vigyanwiki

एक एप्लिकेशन-स्तरीय गेटवे (एएलजी, जिसे एप्लिकेशन लेयर गेटवे, एप्लिकेशन गेटवे, एप्लिकेशन प्रॉक्सी या एप्लिकेशन-स्तरीय प्रॉक्सी के रूप में भी जाना जाता है) यह एक सुरक्षा घटक है जो की कंप्यूटर नेटवर्क में नियोजित फ़ायरवॉल (नेटवर्किंग) या नेटवर्क एड्रेस ट्रांसलेशन को बढ़ाता है।[1][2] इस प्रकार से यह अनुकूलित एनएटी ट्रैवर्सल फिल्टर को गेटवे (कंप्यूटर नेटवर्किंग) में प्लग करने की अनुमति देता है जिससे फाइल ट्रांसफर प्रोटोकॉल, बिटटोरेंट (प्रोटोकॉल), एसआईपी प्रोटोकॉल , रियल टाइम जैसे कुछ एप्लिकेशन लेयर कंट्रोल/डेटा प्रोटोकॉल के लिए नेटवर्क एड्रेस ट्रांसलेशन और एड्रेस का समर्थन किया रियल टाइम स्ट्रीमिंग प्रोटोकॉल, इंस्टेंट संदेश अनुप्रयोगों में फ़ाइल स्थानांतरण करने की अनुमति देता है। इन प्रोटोकॉल को एनएटी या फ़ायरवॉल के माध्यम से कार्य करने के लिए, या तो एप्लिकेशन को एक एड्रेस/पोर्ट नंबर संयोजन के बारे में जानना होगा जो आने वाले पैकेटों को अनुमति देता है, या एनएटी को नियंत्रण ट्रैफ़िक की निरीक्षण करनी होगी और पोर्ट मैपिंग (फ़ायरवॉल पिनहोल) को गतिशील रूप से आवश्यकता अनुसार खोलना होगा। इस प्रकार उचित एप्लिकेशन डेटा को फ़ायरवॉल या एनएटी की सुरक्षा जांच के माध्यम से पारित किया जा सकता है जो अन्यथा अपने सीमित फ़िल्टर मानदंडों को पूरा नहीं करने के कारण ट्रैफ़िक को प्रतिबंधित कर देता है।

फ़ंक्शंस

एक एएलजी निम्नलिखित फ़ंक्शन प्रदान कर सकता है:

  • क्लाइंट एप्लिकेशन को सर्वर एप्लिकेशन द्वारा उपयोग किए जाने वाले ज्ञात पोर्ट के साथ संचार करने के लिए डायनामिक अल्पकालिक टीसीपी/यूडीपी पोर्ट का उपयोग करने की अनुमति देता है, तथापि फ़ायरवॉल कॉन्फ़िगरेशन केवल सीमित संख्या में ज्ञात पोर्ट की अनुमति दे सकता है। किन्तु एएलजी की अनुपस्थिति में, या तो पोर्ट अवरुद्ध हो जाएंगे या नेटवर्क प्रशासक को फ़ायरवॉल में बड़ी संख्या में पोर्ट को स्पष्ट रूप से खोलने की आवश्यकता होगी - जिससे नेटवर्क उन पोर्ट पर अटैक के प्रति संवेदनशील हो जाएगा।
  • फ़ायरवॉल/एनएटी के दोनों ओर होस्ट द्वारा स्वीकार्य एड्रेस के मध्य एप्लिकेशन पेलोड के अंदर पाई गई नेटवर्क लेयर एड्रेस जानकारी को परिवर्तित करना है। यह भाग एएलजी के लिए गेटवे (कंप्यूटर नेटवर्किंग) 'गेटवे' शब्द का परिचय देता है।
  • एप्लिकेशन-विशिष्ट आदेशों को पहचानना और उन पर विस्तृत सुरक्षा नियंत्रण प्रदान करना है।
  • डेटा का आदान-प्रदान करने वाले दो होस्टों के मध्य डेटा की एकाधिक स्ट्रीम/सेशन के मध्य सिंक्रनाइज़ेशन। उदाहरण के लिए, एक फाइल ट्रांसफर प्रोटोकॉल एप्लिकेशन कंट्रोल कमांड समीप करने और क्लाइंट और रिमोट सर्वर के मध्य डेटा के आदान-प्रदान के लिए भिन्न-भिन्न कनेक्शन का उपयोग कर सकता है। और बड़ी फ़ाइल स्थानांतरण के समय, नियंत्रण कनेक्शन निष्क्रिय रह सकता है। एएलजी दीर्घ फ़ाइल स्थानांतरण पूर्ण होने से पहले नेटवर्क उपकरणों द्वारा नियंत्रण कनेक्शन को टाइम आउट होने से रोक सकता है।[3]

किसी दिए गए नेटवर्क पर एएलजी द्वारा संभाले गए सभी पैकेटों का डीप पैकेट इंस्पेक्शन इस कार्यक्षमता को संभव बनाता है। एक एएलजी उन विशिष्ट अनुप्रयोगों द्वारा उपयोग किए जाने वाले प्रोटोकॉल को समझता है जिनका वह समर्थन करता है।

उदाहरण के लिए, सेशन इनिशिएशन प्रोटोकॉल (एसआईपी) बैक-टू-बैक कनेक्शन उपयोगकर्ता एजेंट (बी2बीयूए) के लिए, एक एएलजी एसआईपी के साथ फ़ायरवॉल ट्रैवर्सल की अनुमति दे सकता है। यदि फ़ायरवॉल का एसआईपी ट्रैफ़िक एएलजी पर समाप्त हो गया है तो एसआईपी सेशन की अनुमति देने की उत्तरदायी फ़ायरवॉल के अतिरिक्त एएलजी को दे दी जाती है। एएलजी एक और प्रमुख एसआईपी हेडेक को हल कर सकता है: एनएटी ट्रैवर्सल मूल रूप से एक अंतर्निहित एएलजी वाला एनएटी, एसआईपी संदेशों के अन्दर जानकारी को फिर से लिख सकता है और सेशन समाप्त होने तक एड्रेस बाइंडिंग को रोक सकता है। एसआईपी एएलजी एसआईपी संदेशों के मुख्य भाग में एसडीपी प्रोटोकॉल को भी संभालेगा (जिसका उपयोग वीओआईपी में मीडिया एंडपॉइंट सेट करने के लिए सर्वव्यापी रूप से किया जाता है), क्योंकि एसडीपी में शाब्दिक आईपी एड्रेस और पोर्ट भी होते हैं जिनका अनुवाद किया जाना चाहिए।

इस प्रकार से कुछ उपकरणों पर एसआईपी एएलजी के लिए अन्य प्रौद्योगिकियों में हस्तक्षेप करना सामान्य तथ्य है जो की समान समस्या को हल करने का प्रयास करते हैं, और विभिन्न प्रदाता इसे बंद करने की सलाह देते हैं।[4][5][6]

एक एएलजी एक प्रॉक्सी सर्वर के समान है, क्योंकि यह क्लाइंट और वास्तविक सर्वर के मध्य बैठता है, जिससे एक्सचेंज की सुविधा मिलती है। और ऐसा प्रतीत होता है कि एक उद्योग सम्मेलन है कि एक एएलजी संदेशों को इंटरसेप्ट करके, इसका उपयोग करने के लिए एप्लिकेशन को कॉन्फ़िगर किए बिना अपना कार्य करता है। अर्थात दूसरी ओर, प्रॉक्सी को सामान्यतः क्लाइंट एप्लिकेशन में कॉन्फ़िगर करने की आवश्यकता होती है। इस प्रकार से क्लाइंट को तब प्रॉक्सी के बारे में स्पष्ट रूप से पता चलता है और वह वास्तविक सर्वर के अतिरिक्त उससे जुड़ जाता है।

माइक्रोसॉफ़्ट विंडोज़

माइक्रोसॉफ्ट विंडोज़ में एप्लिकेशन लेयर गेटवे विंडोज़ सेवा तृतीय-पक्ष प्लगइन्स के लिए समर्थन प्रदान करती है जो की नेटवर्क प्रोटोकॉल को विंडोज फ़ायरवॉल से निकलने और इसके पीछे कार्य करने और इंटरनेट कनेक्शन साझा करने की अनुमति देती है। किन्तु एएलजी प्लगइन्स पोर्ट खोल सकते हैं और पैकेट में एम्बेडेड डेटा को परिवर्तित कर सकते हैं, जैसे पोर्ट और आईपी एड्रेस विंडोज़ सर्वर 2003 में एक एएलजी एफ़टीपी प्लगइन भी सम्मिलित है। एएलजी एफ़टीपी प्लगइन को विंडोज़ में नेटवर्क एड्रेस ट्रांसलेशन इंजन के माध्यम से सक्रिय एफ़टीपी सेशन का समर्थन करने के लिए डिज़ाइन किया गया है। और ऐसा करने के लिए, एएलजी एफ़टीपी प्लगइन एनएटी से निकलने वाले सभी ट्रैफ़िक को रीडायरेक्ट करता है और जो पोर्ट 21 (एफ़टीपी कंट्रोल पोर्ट) के लिए माइक्रोसॉफ्ट लूपबैक एडाप्टर पर 3000-5000 रेंज में प्राइवेट लिसनिंग पोर्ट पर जाता है। इस प्रकार से एएलजी एफ़टीपी प्लगइन फिर एफ़टीपी नियंत्रण चैनल पर ट्रैफ़िक की मॉनिटर/अपडेट करता है जिससे एफ़टीपी प्लगइन एफ़टीपी डेटा चैनलों के लिए एनएटी के माध्यम से पोर्ट मैपिंग को प्लंब कर सकता है।

लिनक्स

लिनक्स कर्नेल का नेटफ़िल्टर फ्रेमवर्क, जो लिनक्स में एनएटी प्रयुक्त करता है, जिसमें अनेक एनएटी एएलजी के लिए सुविधाएँ और मॉड्यूल हैं:

यह भी देखें

संदर्भ

  1. RFC 2663, section 2.9 - ALG: official definition
  2. "What is Application Gateway?". 26 June 2001.
  3. The File Transfer Protocol (FTP) and Your Firewall / Network Address Translation (NAT) Router / Load-Balancing Router.
  4. "Why is SIP ALG an Issue?".
  5. "What is SIP ALG and should it be on or off?".
  6. "SIP ALG and why it should be disabled on most routers | VoiceHost - UK VoIP Provider".


बाहरी संबंध