-
Notifications
You must be signed in to change notification settings - Fork 0
ASPF
AruiLR edited this page Jul 26, 2019
·
1 revision
ASPF是针对应用层的包过滤,即基于状态的报文过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,阻止不符合规则的数据报文通过。
- 检测每一个应用层的会话,并创建一个状态表和一个临时访问控制表,一个会话可以认为是一个TCP连接。
- 状态表在检测到第一个外发报文时创建(SYN报文),状态表项维护了一次会话中某一时刻会话所处的状态。
- 临时访问控制表在创建状态表的时候同事创建,会话结束后删除,用于匹配一个会话中的所有应答报文。
多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口,然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的,管理员无法预知,因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立,只能放开所有端口,这样显然会给服务器或客户端带来被攻击的风险。开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。