ASPF
- ASPF(Application Specific Packet Fileter)是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态,对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或者丢弃;
ASPF与普通控制协议的优势:
- 在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,配置防火墙则是非常困难的;
- ASPF使防火墙能够支持一个控制连接上存在多个数据连接的协议,同时还可以在应用非常复杂的情况下方便制订各种安全的策略,ASPF监听每一个应用的每一个连接所使用的的端口,打开适合的通道让回话中的数据能够出入防火墙,在回话结束时关闭该通道,从而能够对使用动态端口的应用实施有效的访问控制;
注意:FTP数据通道是在控制报文中动态协商出来的!即防火墙通过读取控制报文的相关信息以推断出数据通道所使用的端口;
在多通道协议中,如FTP,控制通道和数据通道是分开的,数据通道是在控制报文中动态协商出来的,为了避免协商出来的通道不因其他规则的限制(如ACL)而中断,需要临时开启一个通道,Servermap就是为了满足这种应用而设计的一种数据结构;
例如:FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因而无法确定数据通道的入口,这样就无法配置准确的安全策略,ASPF技术测解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的servermap表项,以允许相关的报文通过;
注意:数据通道的随机端口是通过查看控制通道的协商报文(主要是查看控制协商报文应用层的信息)推算出来;
servermap表项是对FTP控制通道中动态监测过程中动态产生的,当报文通过防火墙时,ASPF将报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃,如果该报文时用于打开一个新的控制或数据连接,ASPF将动态的产生servermap表项,对于回来的报文只有是属于一个已经存在的有效连接,才会被允许通过防火墙,在处理回来的报文时,状态表也需要更新,当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能随便透过防火墙,因此通过ASPF技术可以保证在应用复杂的情况下,依然可以非常精确的保证网络的安全;
6463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
