ASFP
技术
server-map
表
多于多通道协议比如
FTP
、
VOIP
等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表
(按照目前所学)。
解决办法,使用
ASPF
技术,查看协商端口号并动态建立
server-map
表放过协商通道的数据。
ASPF
(
Application Specific Packet Filter
,针对应用层的包过滤)也叫基于状态的报文过滤,
ASPF
功能
可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则
,
开启
ASPF
功能后,
FW
通过
检测协商报文的应用层携带的地址和端口信息,自动生成相应的
Server-map
表,用于放行后续建立数据
通道的报文,相当于自动创建了一条精细的
“
安全策略
”
。
STUN
类型协议与
server-map
表
转发
QQ/MSN
等
STUN
(
Simple Traversal of UDP over NATs
,
NAT
的
UDP
简单穿越)类型会生成的三
元组
Server-map
表项。
要实现
QQ2
在外网主动向
QQ1
内网的语音或者视频连接,也需要防火墙对该应用采用
ASPF
的方式处理来
监听协商端口。
MSN
等用户连接服务器时,设备会记录下用户的
IP
地址和端口信息,并动态生成
STUN
类型的
Server
map
。这个
Server-map
表项中仅包含三元组信息,即通信一方的
IP
地址,端口号和协议号。这样其他用
户可以直接通过该
IP
和端口与该用户进行通信。只要有相关的流量存在,
STUN
动态的
Server-map
就将
一直存在。在所有相关流量结束后,
Server-map
表开始老化。
Type: STUN : any -> 10.40.0.10:4967, Zone
: