由于会话表对哪些报文属于同一条流量的标准过于严格,会导致一些特殊协议不能正确匹配会话表。Server-map表可以解决这一问题。
简介
Server-map表项有多种类型,通过放宽会话表的五元组的限制,可以满足在NAT和ASPF等功能中,允许外网用户主动发起连接的情况。
原理描述
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设备上配置的安全策略为允许单方向上报文主动通过,则FTP文件传输不能成功。
为了解决这一类问题,FW引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。
生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,并在匹配Server-map表后创建会话,保证后续报文能够按照会话表转发。
目前,FW上生成Server-map表项共有如下几种情况:
- 配置ASPF后,转发FTP、RTSP等多通道协议时生成的Server-map表项。
- 配置ASPF后,转发QQ/MSN、TFTP等STUN类型协议时生成的三元组Server-ma