ASPF协助FTP实现数据正常转发

最新推荐文章于 2023-04-17 08:52:44 发布
最新推荐文章于 2023-04-17 08:52:44 发布
阅读量598 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JosephLL/article/details/108247562
版权

文章目录

一、回顾TCP的数据传输过程

知识点:

  • FTP是一个多通道协议,在使用时会先建立控制连接(TCP三次握手以及用户名密码的确认,模式的协商),然后再建立数据连接;
  • 数据连接有两种模式:主动模式,被动模式;

具体建立过程

控制连接:

客户端向服务器发起TCP连接并发送用户名密码,
服务器确认后,开始数据连接的建立。

数据连接:
主动模式:

1、客户端向服务器发送port命令,并告诉自己的活跃端口 y
2、服务器用本端20端口向客户端发起TCP连接

简单理解:
客户端:我想要用y端口,待会你用y端口作为目的端口发给我数据
服务器:好的,我用我自己的20端口作为源端口向你发起连接
…服务器向客户端发起连接中…

在这里插入图片描述被动模式:
1、客户端向服务器发送PASV命令,协商端口
2、客户端向服务器发起TCP连接
简单理解:
客户端:服务器,你想要用哪个端口连接
服务器:我想要用y端口,待会你用y端口作为源端口向我发起连接就好了
…客户端用本段活跃端口Z向服务器发起连接中…
在这里插入图片描述

二、思考:应该如何配置正确安全策略呢?

主动模式被动模式
数据流向服务器向客户端发起连接20.1.1.1::21–>10.1.1.1:Y客户端向服务器发起连接10.1.1.1:Z–>20.1.1.1:Y
遇到的阻碍防火墙没有放通相关安全策略,那么应该怎么正确配置好安全策略呢?防火墙没有放通相关安全策略,那么应该怎么正确配置好安全策略呢?
假设的方法放通服务器到客户端目的端口为Y的流量,那么问题来了,这个Y端口可以是任意一个端口,难道我需要每建立一个连接就添加一个端口吗? 那下次这个端口不用了我是不是还要去删除?同理,在被动模式下,客户端也无法确定服务器到底Y端口是不是一直在用。操作起来十分麻烦。

多通道协议ASPF就可以完美解决此问题

三、ASPF完美解决

以下是本人的理解过程
在这里插入图片描述在这里插入图片描述------------
注意:
防火墙虽然要安全策略允许才可以通过进行流量转发,但ASPF产生的server-map表项直接跳过安全策略影响流量

参考:《华为防火墙技术漫谈》
Sec_lin
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙ftp模式 ASPF 3.21
kanxingxingdemao的博客
01-30 438
ASPF 解决多通道协议通过防火墙的方法 防火墙 防火墙命令 查看防火墙会话的 查看server-map nat 产生的server map 表不能让数据通过防火墙转发,能不能转发看策略,其他俩个直接就可以转发,不用看策略。 当ftp端口改变后,不是原来的21端口时,需要端口识别技术 当f’t’p端口不是21时比如是31,防火墙放行了31,客户发起ftp 时,控制链路可以正常建立,但是因为ASPF识别的是ftp21 不识别31所以无法创建service map ,所以无法建立数据.
ASPF简介
weixin_30740295的博客
08-03 5732
ASPF是一种应用层状态检测技术,它通过与NAT和ALG等技术的组合应用,实现对应用层协议状态的处理和检测。 1.1 产生背景 随着计算机技术和网络技术的普及,网络安全问题也越来越得到关注。防火墙作为一种控制两个网络之间IP通信的安全机制,已成为网络安全部署的首要选择。防火墙的目的就是在信任网络(区域)和非信任网络(区域)之间建立一道屏障,并实施相应的安全策略。应该说,在网络中应...
aspf ftp_FTP主动模式和被动模式
weixin_35108433的博客
01-26 392
原标题:FTP主动模式和被动模式 FTP支持两种模式,一种方式叫做Standard (也就是 PORT方式,主动方式),一种是 Passive(也就是PASV,被动方式)。一、FTP服务器工作两种模式1、主动模式2、被动模式针对FTP服务器:FTP多通道(控制通道和数据通道)一、被动模式1、客户端随机端口N访问FTP的21端口,发起控制通道的连接,即21端口为FTP控制通道监听的端口。2、服务器将...
Linux 下FTP转发
weixin_34217711的博客
09-27 536
有两台机器,其中一台A 有内网和外网,B机器只有内网。想达到的目的: 通过A机器的外网去访问B机器的ftp(21)环境: A机器外网IP为 123.234.12.22(eth1) 内网IP为 192.168.10.20 (eth0)B机器内网为 192.168.10.21实现方法:1. 让你的linux支持ftp的端口转发modprobe ip_nat_ftp ###加载ip...
ftp服务器收到文件后实时转发,ftp服务器转发
weixin_42292855的博客
08-09 786
ftp服务器转发 内容精选换一换七层负载均衡HTTP和HTTPS可以通过监控指标项可以查看ELB的平均响应时间,同时可以通过日志查看每一次请求的响应时间。登录控制台,并单击需要查询的负载均衡名称。切换到“监控”页签,并选择正确的七层监听器。查看“7层后端RT平均值”参数,可以得到负载均衡器到后端服务器的平均响应时间。平均响应时间参数名解释7层后端的RT平均值统计监听器当更新转发策略。通过更新可以将...
ASPF(Application Specific Packet Filter)多通道协议
yunwenbin的博客
02-07 2467
ASPF(Application Specific Packet Filter)多通道协议 作用:针对应用层的包过滤 技术背景: 为了解决多通道协议的转发而引入。 (1)对多通道协议的应用层数据进行解析识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。 (2)动态生成Server-map表项(ASPF的实现基础),即简化了安全策略的配置有确保了安全性 (3)可以把ASPF看做是一个穿越FW的技术,ASPF生成的Server-map表项,相当于在FW上打开一个通道
通过3G无线路由器配置谈ASPF技术与FTP传输.pdf
10-09
通过3G无线路由器配置谈ASPF技术与FTP传输.pdf
2.防火墙ASPF功能.pdf
09-02
1. 防火墙转发原理:ASPF功能可以应用于防火墙转发原理,例如FTP、QQ、TFTP等STUN类型协议。 2. 防火墙安全策略:ASPF功能可以应用于防火墙安全策略,例如Trust区域去访问DMZ区域。 3. 防火墙命令:ASPF功能可以应用...
SecPath防火墙通过ASPF实现单向访问的典型组网
09-05
SecPath防火墙通过ASPF实现单向访问的典型组网
配置FTP/TFTP协议的ASPF
最新发布
XMWS-IT
04-17 722
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在域间应用detect ftp实现FTP报文的正常转发
监控指定目录文件并转发到指定FTP
08-26
监控指定目录文件转发到指定FTP转发后删除原文件或移到其他目录。
iptables实现转发ftp的访问请求
05-29
iptables实现转发ftp的访问请求
nginx转发sftpftp的配置
04-08
用nginx可以实现非http协议的转发。suse12实测支持sftpftp转发
后渗透——内网转发之利用ftp实现文件传输
01-09
FTP(File Transfer Protocol,文件传输协议) 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候,通常利用FTP协议把网页或程序传到Web服务器上。此外,由于FTP传输效率非常高,在网络上传输大的文件时,一般也采用该协议。无论是Linux还是Windows系统都可以使用,而且是默认安装的。 ftp使用说明: 在命令行直接输入ftp便可进入交互模式,输入?可查看所有能用的命令,后加相应的命令可查看功能显
内网FTP的外网访问方法,设置路由端口转发
hello_earth616的博客
06-21 6283
用Serv-U , WingFTP等工具在内网建好FTP后,要外网访问,需要做两方面设置: 对默认配置进行调整 路由器设置端口转发 与只需开放80端口的http服务不同, ftp服务至少要开两个端口,一般21端口作为登录控制,另一个1024以上端口作为数据传输,包括list命令。 1. 服务器软件端配置修改 1.1 固定被动模式端口 以wingFTP为例,设置如下,将传输端口固定为 10241到10243 三个: 【域】–【常规设置】–【FTP被动模式】–【被动模式端口范围10241 to 10243
网络协议配置-OSPF-FTP-TELNET-TFTP-DNS-HTTP-DHCP-RIP
Primer5
12-21 637
基于ftp协议的上传与下载
weixin_53233753的博客
08-07 866
除了上传和下载,我们还可以通过服务器与客户端的连接,获取服务器的一些指定文件,并查看文件的属性信息等。但基本操作和上传下载一样,都需要创建ftp对象,连接,登录,切换至指定目录,然后我们就可获取该目录下的文件,通过遍历,我们可以获得文件的基本属性和信息。在进行ftp操作时,首先需要保证远程服务器端的通信状态,在远程服务器中执行FTP服务器应用程序,使服务器处于等待被连接的状态;服务器端需创建一个用户,设置用户名并设置指定服务器用户对应的本地文件目录,以及设置客户端对自己的访问权限。2、连接FTP服务器。..
安全HCIP之ASPF
XiaoHG_CSDN的博客
10-05 561
ASPF ASPF(Application Specific Packet Fileter)是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态,对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或者丢弃; ASPF与普通控制协议的优势: 在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通
ASPF的配置与详解
qq_45309500的博客
02-13 3502
ASPF的配置与详解 ASPF是针对于多通道协议的解决方案,具有典型特征的就是ftp协议,因为ftp需要建立两次连接,控制连接与数据连接,且在数据连接建立是时,因为端口是随机的,无法针对其做安全策略,全部开放又存在安全隐患,所以这个时候就需要ASPF出面解决 在ftp进行第一次连接时会触发流量,同时也就触发了server-map表,当后续的第二次连接会匹配server-map表里的信息,而不用通...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值