华为USG防火墙入门基础03_Server-map表

于 2023-06-15 10:05:36 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 华为USG系列防火墙自学指南 文章标签: 网络 网络安全 网络协议 tcp/ip wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38096339/article/details/131221851
版权

        由于会话表对哪些报文属于同一条流量的标准过于严格,会导致一些特殊协议不能正确匹配会话表。Server-map表可以解决这一问题。

简介

        Server-map表项有多种类型,通过放宽会话表的五元组的限制,可以满足在NAT和ASPF等功能中,允许外网用户主动发起连接的情况。

原理描述

        通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。但在实际应用中,例如使用FTP协议的port方式传输文件时,既需要客户端主动向服务器端发起控制连接,又需要服务器端主动向客户端发起服务器数据连接,如果设备上配置的安全策略为允许单方向上报文主动通过,则FTP文件传输不能成功。

        为了解决这一类问题,FW引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。

        生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,并在匹配Server-map表后创建会话,保证后续报文能够按照会话表转发。

目前,FW上生成Server-map表项共有如下几种情况:

  1. 配置ASPF后,转发FTP、RTSP等多通道协议时生成的Server-map表项。
  2. 配置ASPF后,转发QQ/MSN、TFTP等STUN类型协议时生成的三元组Server-ma
了解本专栏 订阅专栏 解锁全文 超级会员免费看
IT_张三
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
订阅专栏
华为防火墙USG2130BSR固件sup-512M.binsup-256M.binUSG2100 V300R001C10S
12-24
USG2100 V300R001C10SPC600 (VRP (R) Software, Version 5 512M和256M的 华为防火墙 防火墙固件 USG2000系列 sup-512M sup-256M
防火墙——多通道协议与Server-map
m0_49864110的博客
06-01 3910
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map,并自动转换应用层报文载荷中的IP地址和端口信息。
Server-map
Jian Sun_的博客
01-08 3520
1. server-map是一种映射关系,当数据连接匹配了动态Server-map项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发。 2.多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道,即通信双方的端口号是不固定的,而在配置ASPF功能后,设备检测到控制通道的协商,根据关键报文载荷中的地址信息动态创建server-map项,用于数据通过发起连接时进行查找,这个server-map项包含了多通道协议报文中协商的数据通道的信息。 3.一句话总结Server map:为特殊应用
再谈server-map
qq_47529104的博客
03-16 5892
server-map是一个从ASPF到NAT都有出现的一个东西,但是无论是什么教学视频还是其他的书籍对这块的内容描述都很混乱,所以我自己总结一下: 1、多通道协议中的server-map 在多通道协议中server-map主要的作用就是放行子通道的流量,因为一般来说这种多通道协议的子通道是外网主机与内网主机通过端口与端口之间建立的端到端的通信,因为在server-map中记录的即是这种端到端的流量,所以使用server-map对其进行放行是完全没有问题的。 2、no-PAT的serve
防火墙初识
man50nai的博客
09-05 1157
网络的发展早期,没有防火墙时,网络的性质是大家都联通的,也就是 any to any相互联通也就意味着安全性无法得到有效的保障,随着发展,则出现了对网络安全的需求防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害的流量或者数据包)的设备所以,简单来说防火墙的防御对象就是授权用户非授权用户。
华为防火墙基本配置ASPF与Server-map
sjsjshhs134654的博客
11-14 2448
Server-map不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map;命中Server-map的报文不受安全策略控制;防火墙最后为命中Server-map的数据创建会话。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话项叫做Server-map。分析报文,产生Server-map。中的关键信息,报文命中该后,
ssh脚本自动将IP加入华为USG6300防火墙黑名单
最新发布
05-12
1.从ip.txt文件中取出ip。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进入到防火墙系统视图。5.将IP加入到防火墙。6.查看IP黑名单列。完整代码见附件
华为USG防火墙运维命令大全 (2).docx
06-21
华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2)....
华为ensp虚拟防火墙vfw_usg.rar软件包
03-28
ENSP里面有一个华为的虚拟防火墙,找了好几天 终于获取到了这个vfw_usg.rar虚拟防火墙软件包。目前华为官网已经无法下载了,此处提供给大家。
可以导入vmware workstation的华为防火墙usg6000.rar
09-06
本人亲测,而且功能和现在最新真实防火墙完全一样,不像ENSP里面的防火墙有各种各样的BUG,导出的配置可以直接导入真实防火墙内,打开后密码是华为防火墙默认密码
防火墙介绍
qq_43704340的博客
10-27 811
防火墙华为防火墙默认拒绝所有区域间的访问;默认区域内部之间互相访问,不存在安全问题,默认放行 其余厂商:高优先级到低优先级区域默认可以访问,低优先级到高优先级拒绝访问 防火墙支持入侵检测(主动)/入侵防御(被动) 防火墙特征: 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 防火墙分类: 包过滤防火墙:只能通过检测报文头部匹配安全策略,本质其实就是ACL 1.无法关联后续的数据包,每个数据包都需要匹配的安全策略,转发速度较慢 2.无法适应多通道协议(需要协商端口的协议)(如:FTP:21控制
华为防火墙STUN server-map
qq_47529104的博客
04-29 1394
概述 一开始我学到这里的时候,我是不太理解的,现在看来其实也很简单,STUN是英文simple traversal of UDP network ,翻译过来就是UDP网络的简单穿越。那么为什么会出现这个东西?其本质原因就是有些协议像TFTP ...
防火墙实验复现
wyp20011020的博客
03-30 241
如何产生?防火墙安全策略无法解决某些特定应用的流量放行问题大致分为三部分多通道协议(FTP)STUN(QQ 微信)相当于有多个通道NAT基本工作原理无论是通过ASPF ALG NAT技术,创建一个server-map,把应用的网络参数详细的抓出来,放在server-map中,当流量过来一后,不仅要看安全策略还要看server-map(安全策略在前,至少要把控制流放过;
华为防火墙的NAT介绍及配置详解
热门推荐
weixin_53049621的博客
04-10 1万+
博文大纲: 一、华为防火墙NAT的六个分类; 二、解决NAT转换时的环路及无效ARP; 三、server-map的作用; 四、NAT对报文的处理流程; 五、各种常用NAT的配置方法; 一、华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少。 NAPT(Network Address and Port Translation,网络地址和端口转换):类似于C
华为防火墙NAT与NATserver情况下server-map生成情景与解释
qq_47529104的博客
03-15 3581
PAT 这种情况下的NAT地址转换是不会生成对应的server-map项的,其主要原因是因为PAT的nat地址转换会不断地进行端口的复用,在不断的地址转换的过程中内网主机可能在一次通信的过程中源端口就在不断动态的变化,这就使得即便我们想要强行地记录对应的server-map项也显得那么的多余,因为可能上一秒使用了该端口,下一秒就变成了其他的端口。 no-PAT 这种情况下会生成对应的server-map项,因为这种地址转换是和内网主机进行一对一的地址变换,所以防火墙能够准确的知道内网主机和公
网络安全学习笔记——第九天 防火墙安全策略之多通道协议支持(ASPF、Server Map
m0_53800207的博客
08-11 2750
多通道协议技术 ○单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口 ○多通道协议:通信过程中需占用两个或两个以上端口的协议。如:FTP被动模式下需占用21号端口以及一个随机端口(FTP主动模式下是20和21号端口) 使用单纯的包过滤方法,如何精确定义(端口级别)多通道协议所使用的端口呢?遇到使用随机协商端口的协议,单纯的包过滤方法无法进行数据流定义。 ASPF概述 ASPF是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有...
信安Note_day20
小范同学_F的博客
11-11 315
防火墙
华为防火墙技术
ejhrkejrk的博客
01-18 851
防火墙
网络安全学习笔记——第十天 防火墙安全策略之应用
m0_53800207的博客
08-12 973
安全策略的匹配原则 安全策略业务流程 配置安全策略流程 配置安全策略 配置安全区域 配置地址和地址组 配置应用和应用组 思考: 包过滤与状态检测机制、会话之间有哪些关联关系? 防火墙策略规则的本质是包过滤,数据包来了之后先通过包过滤的方式进行检测,首包通过以后,如果存在状态检测机制的话,会产生会话项,后续的数据包来了之后不需要通过包过滤,直接通过会话项直接转发。 Server Map项的具体的作用是什么? 根据在哪产生的而决定。如果是为了ASPF多通道协议而产生的,其实就是为了
华为USG防火墙运维命令大全.doc
11-28
华为USG防火墙运维命令大全.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值