ASPF技術
做用
ASPF(Application Specific Packet Filter)應用特殊包過濾。ASPF可以讀取出特殊協議中應用層協商出的端口信息,生成對應的Server-map表。當流量來時能夠直接匹配server-map生成session
沒有開啓ASPF,沒有作應用層識別
開啓ASPF,能夠作應用識別
總結:
ASPF的做用:
1)爲多通道協議產生server-map表項
2)可以作到應用層的識別
面試
目的
ASPF是爲了解決多通道協議這種特殊服務的轉發而引入的。這些協議會在通訊過程當中自動協商一些隨機端口,在嚴格安全策略的狀況下,這些隨機端口發出的報文一樣不能獲得正常轉發。經過ASPF功能能夠對這些協議的應用層數據進行解析,識別這些協議協商出來的端口號,從而自動爲其開放相應的訪問規則,解決這些協議不能正常轉發的問題安全
舉例說明ASPF
FTP協議分爲兩種工做模式:主動模式(PORT模式)和被動模式(PASV模式)
a) 主動模式中,FTP Server主動向FTP Client發起數據鏈接
b) 被動模式中,FTP Server被動接收FTP Client發起的數據鏈接
服務器
FTP主模式,啓用ASPF
TCP三次握手的創建
控制鏈接(輸入帳戶名和密碼):客戶端---服務器發起鏈接
Sport:隨機
Dport:21端口
session
會有客戶端---服務器發送一個port消息 該消息裏面會攜帶a.b.c.d.e.f(其中a.b.c.d就是客戶端IP地址 客戶端端口號就是256*e+f)ide
TCP三次握手的創建
數據平面(執行咱們上傳和下載的動做):服務器---客戶端發起鏈接
Sport:20端口
Dport:256*e+f
spa
注意:
由於在FTP主動模式下,數據通道是有服務器主動向客戶端發起的流量,故而客戶端須要提早發送port消息給服務器,讓服務器去訪問客戶端的目標端口爲,與此同時也須要放行服務器所在區域去往客戶端所在區域,若是服務器所在區域爲untrust,客戶端所在區域爲trust,須要放行untrust去往trust的流量 而且端口爲0~65535隨機的端口,這樣會致使untrust去往trust的其餘應用也會經過 存在必定的風險 因此 咱們能夠在防火牆上面啓用ASPF技術 應用ASPF技術動態監控port消息中攜帶的端口 而且也會產生server-map表項 讓服務器可以訪問客戶端
3d
被動模式
TCP三次握手的創建
控制平面:客戶端---服務器發起鏈接
Sport:隨機端口
Dport:21號端口
server
客戶端會發送一個PASV的消息給服務器端口 服務器收到後會迴應一個帶有a.b.c.d.e.f(其中a.b.c.d就是服務端IP地址 服務器端口號就是256*e+f)blog
TCP三次握手的創建
數據平面:客戶端---服務器發起鏈接
源端口:隨機端口
目標端口:256*e+f
ci
注意
被動模式 數據通道是由客戶端向服務器發起訪問的 若是客戶端去往服務器的安全策略 不是嚴格安全策略狀況下(條件比較精確 精確到了目標端口)不開啓ASPF技術 客戶端也可以訪問到服務器,若是開啓ASPF技術,在查看防火牆會話表的時候 可以作到應用識別 識別出FTP第二信道的應用和產生server-map表項
若是客戶端去往服務器是粗曠的安全策略 即便不開啓ASPF技術 客戶端也能夠訪問到服務器 可是在防火牆上面不會產生server-map表項和識別應用
NAT ALG技術
ALG的做用
一般狀況下,NAT只對報文中IP頭部的地址信息和TCP/UDP頭部的端口信息進行轉換,不關注報文載荷的信息。可是對於一些特殊的協議(如FTP協議),其報文載荷中也攜帶了地址或端口信息,而報文載荷中的地址或端口信息每每是由通訊雙方動態協商生產的,管理員並不能爲其提早擬好相應的NAT規則。若是是提供NAT功能的設備不能識別並轉換這些信息,將會影響到這些協議的正常使用
ALG是NAT的應用層網關,是一種穿越NAT設備的技術,配置ALG功能後防火牆在進行地址轉換時,除了轉換報文頭中的IP地址和端口信息,還能轉換報文載荷裏攜帶的IP地址和端口信息。能夠對報文的載荷字段進行解析,識別並轉換報文載荷中的地址或端口(雙方動態協商生產的),保證多通道協議能夠順利的進行地址轉換而不影響其正常使用
NAT ALG與ASPF的關係
差別點
a) 開啓ASPF功能的目的是識別多通道協議,並自動爲其開放相應的安全策略
b) 開啓NAT ALG功能的目的是識別多通道協議,並自動轉換報文載荷中的IP地址和端口信息
共同點
a) 兩者使用相同的配置。開啓其中一個功能,另外一功能同時生效