ASPF

最新推荐文章于 2025-05-29 20:41:22 发布
最新推荐文章于 2025-05-29 20:41:22 发布
阅读量767 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: HCIE-Security 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sherlockmj/article/details/114400728

安全策略动态放行
firewall detect ftp(启用动态放行功能,开启aspf功能)
ASPF application specific packet filter功能
1、识别应用层数据
2、根据应用层数据,产生server-map表
3、后续报文、匹配serve-map表,直接转发
tips:server-map表的优先级比安全策略表优先级高
Display firewall session table
Display firewall server-map

ASPF对多通道协议的支持
STUN qq语音,电话,视频

server-map的产生
1、转发QQ/MSN/TFTP等STUN类型协议
2、转发多通道协议
3、NAT NoPAT
4、NAT server或SLB时

端口对多通道协议的支持
配置基本ACL
ACL 2000-2099
Rule permit source IP address Wildcard
配置端口识别(端口映射)
Port-mapping protocol-name port port-number acl acl-number

长连接:会话表的老化时间
Firewall long-link aging-time time(配置老化时间)
(开启长连接)在这里插入图片描述

ASPF 技术介绍
qq_56248592的博客
09-11 514
例如当防火墙设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的设备时如果被丢弃,会中断已有的连接,造成不好的用户体验,因此建议暂且不丢弃非SYN首包,等待网络拓扑稳定后,再开启非SYN首包丢弃功能。所示,FTP连接的建立过程如下:假设FTP client以1333端口向FTP server的21端口发起FTP控制通道的连接,通过协商决定在FTP server的20端口与FTP Client的1600端口之间建立数据通道,并由FTP server发起数据连接,数据传输超时或结束后数据通道删除。
2.防火墙ASPF功能.pdf
09-02
防火墙
ASPF(Application Specific Packet Filter)多通道协议
yunwenbin的博客
02-07 2902
ASPF(Application Specific Packet Filter)多通道协议 作用:针对应用层的包过滤 技术背景: 为了解决多通道协议的转发而引入。 (1)对多通道协议的应用层数据进行解析识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。 (2)动态生成Server-map表项(ASPF的实现基础),即简化了安全策略的配置有确保了安全性 (3)可以把ASPF看做是一个穿越FW的技术,ASPF生成的Server-map表项,相当于在FW上打开一个通道
防火墙ASPF(针对应用层包过滤技术) FTP(主动模式)
最新发布
2301_80344964的博客
05-29 787
本文描述了防火墙(FW1)配置FTP服务的过程及问题解决。首先配置了trust到dmz区的安全策略,允许FTP访问。关闭ASPF后发现FTP主动模式无法查看文件列表,通过创建FTP数据通道服务对象并配置相应安全策略临时解决问题,但该方法存在安全隐患。随后禁用该策略并重新启用ASPF检测,利用Server-Map表动态处理FTP数据连接,无需配置单独安全策略即可实现流量放行。整个方案解决了FTP主动模式的数据通道问题,同时保证了安全性。
安全策略篇 ASPF:隐形通道
weixin_34380296的博客
11-21 372
大家好,强叔又来了!经过前两期的介绍大家对安全策略应该比较了解了,本期强叔要给大家带来一个神秘人物。在请出神秘人物之前,我们先来使用eNSP实战一把安全策略的配置。通过eNSP搭建如下环境,FTP客户端经过防火墙访问FTP服务器,安全策略怎么配置呢?这还不容易,在Trust到Untrust配置安全策略,指定源/目的IP、指定协议为FTP不就好了。然后我们看看FTP客户端能否成...
什么是ASPF,为什么需要ASPF
Jian Sun_的博客
09-17 8281
在配置安全策略前,我们先大概了解下FTP协议。协议分为单通道协议和多通道协议,单通道协议即在传输过程中占用一个端口号,如我们常见的Telnet、SSH、HTTP等。多通道协议即在传输过程中占用两个或两个以上的端口号,如FTP、DNS、QQ等。 FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client 和FTP Server 之间将会建立两条连接:控制连接和数据连接。控制连接用来传输FTP 指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来获取目录及传输数据。数据连接使用的端口号
配置FTP/TFTP协议的ASPF
XMWS-IT
04-17 913
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在域间应用detect ftp,实现FTP报文的正常转发。
ASPF.docx
02-24
ASPF(Advanced Stateful Packet Filter,高级状态包过滤)是一种能够有效解决传统包过滤防火墙局限性的防火墙技术。它不仅能够根据网络层的包过滤规则允许或拒绝数据包,还能根据应用层协议的状态以及会话信息动态...
ASPF应用层包过滤-武汉科云
weixin_69109701的博客
10-09 1359
ASPF协议侦听协商报文【port command 或者 pasv command】报文,检测报文中的IP地址+端口号信息,自动生成server-map【服务映射表】,当数据通道首包经过防火墙时,防火墙会根据server-map服务映射表自动生成一条会话表,----------也就是数据连接的第一个报文SYN报文匹配server-map表之后,生成对应的会话表,后续数据连接的报文经过防火墙之后,直接匹配会话表就可以进行数据转发。只要协商完成,这个就可以不管了。----------太繁琐。
ASPF 技术介绍-优快云博客.pdf
02-24
ASPF技术是一种高级状态包过滤技术,它是为了解决传统包过滤防火墙的局限性而提出的。在介绍ASPF技术之前,首先要明确传统包过滤防火墙的局限性,如对连接状态无感知,无法处理应用层协议,以及对新出现的网络协议...
NAT alg 和 ASPF
weixin_33708432的博客
11-29 862
NAT alg 和 ASPF 参考:https://handbye.cn/719.html 来源:https://www.jianshu.com/p/8a8eb36eef7d   NAT的部署已经在企业网中必不可少,当防火墙作为网络的出口或者在网络中充当安全网关时,内网用户访问外网或者外网用户访问内网的服务器都要经过NAT穿越。 由于防火墙的特殊性,出于安全的考虑,需要建立相应的安全策略。当防...
windows防火墙支持FTP服务的设置方法
09-30
2003 server用于提供web和ftp服务,通过互联网用flashfxp实现远程上传网页。如果关闭防火墙,ftp上传下载正常,但启用windows防火墙后就不行,即使把web、ftp等服务列为例外也不行。
开启LINUX防火墙后,FTP PASV不能正常登录问题
08-10
绍开启LINUX防火墙后,FTP PASV不能正常登录问题
ASPF技术白皮书
Sun_Rise2011的专栏
12-07 6646
ASPF技术白皮书 关键词:ASPF,包过滤 摘  要:ASPF是一种应用层状态检测技术,它通过与NAT和ALG等技术的组合应用,实现对应用层协议状态的处理和检测。本文详细介绍了ASPF技术的工作机制以及典型组网应用。 缩略语: 缩略语 英文全名 中文解释 ACL Access Control List
防火墙技术之--状态防火墙ASPF(2)
weixin_33720078的博客
08-22 550
应用状态防火墙功能介绍 前面介绍了ASPF的基本原理,跟踪协议状态机以实现对应用层状态的动态监控,所以状态防火墙被称为动态防火墙。动态就在于状态机是动态变化的,这样的处理使得对数据的过滤更加周全,更加深入。本文想细致区分状态防火墙的功能,以期能更深入的了解状态防火墙技术。 综合来说ASPF可以具有如下几个方面的功能: 支持应用层协议检测,包括:FTP,HTT...
华为防火墙ASPF详解及配置实例
永远是少年
07-26 8647
今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严
华三ASPF技术白皮书
好行者
12-27 5176
摘自华三网站资料: ASPF技术白皮书 1           概述 基于华为通用路由操作系统平台VRP的Quidway系列中低端路由器采用了多种网络安全技术,为企业网络提供了丰富的安全特性。基于应用层协议状态检测的包过滤防火墙(ASPF)就是华为3Com公司Quidway系列中低端路由器关键的安全特性之一。它能为企业内部网络与外部网络之间的通信提供基于应用的访问控制,保护企业内部用户和网络
ASPF的配置与详解
qq_45309500的博客
02-13 3637
ASPF的配置与详解 ASPF是针对于多通道协议的解决方案,具有典型特征的就是ftp协议,因为ftp需要建立两次连接,控制连接与数据连接,且在数据连接建立是时,因为端口是随机的,无法针对其做安全策略,全部开放又存在安全隐患,所以这个时候就需要ASPF出面解决 在ftp进行第一次连接时会触发流量,同时也就触发了server-map表,当后续的第二次连接会匹配server-map表里的信息,而不用通...
NAT ALG与ASPF
qq_27599713的博客
02-18 1003
NAT ALG(Application Level Gateway)应用级网关,支持对应用层信息进行相应转换。通常情况下,NAT只对报文的IP头部的地址信息喝TCP/UDP头部的端口信息进行转换而不会关注其报文的载荷信息。但是对于一些特殊的协议(如FTP等多通道协议),其报文载荷中也携带了地址或端口的信息,而载荷的信息通常是双方协商产生的。如果经过NAT后不修改会影响到后续的使用。FW提供了NAT ALG功能,对报文的载荷字段进行解析,识别并转换其中的重要信息,保证FTP的正常使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿江要努力鸭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值