网络安全学习笔记——第九天 防火墙安全策略之多通道协议支持(ASPF、Server Map)

最新推荐文章于 2023-06-15 10:05:36 发布
VIP文章 最新推荐文章于 2023-06-15 10:05:36 发布
阅读量2.6k 收藏 12
点赞数 1
分类专栏: 网络安全学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53800207/article/details/119600837
版权

多通道协议技术

○ 单通道协议:通信过程中只需占用一个端口的协议。如:WWW只需占用80端口

○ 多通道协议:通信过程中需占用两个或两个以上端口的协议。如:FTP被动模式下需占用21号端口以及一个随机端口(FTP主动模式下是20和21号端口)

使用单纯的包过滤方法,如何精确定义(端口级别)多通道协议所使用的端口呢?遇到使用随机协商端口的协议,单纯的包过滤方法无法进行数据流定义。

 

ASPF概述

ASPF是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。是针对应用层的过滤。

ASPF对多通道协议的支

最低0.47元/天 解锁文章
菜并前进着
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为防火墙基本配置ASPF与Server-map
sjsjshhs134654的博客
11-14 2320
Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命中Server-map表的数据创建会话表。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话表项叫做Server-map表。分析报文,产生Server-map表。中的关键信息,报文命中该表后,
防火墙——多通道协议Server-map表项
m0_49864110的博客
06-01 3713
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map表,并自动转换应用层报文载荷中的IP地址和端口信息。
四、防火墙转发原理
weixin_45761101的博客
05-04 5512
防火墙安全策略 定义: 安全策略:按一定规则转发流量,内容安全一体化检测 防火墙安全策略的原理 防火墙安全策略的核心作用是:根据规则对流量进行筛选,由动作来确定下一步操作。 NGFW会对收到的流量进行检测,检测出流量的属性,包括:源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段。 会话表项 每一个通过防火墙的数据流都会在防火墙上建立一个会话表项,以五元组为Key值,通过建立动态的会话表提供域间转发。 下一代防火墙会话表包括七个元素: 源IP地
防火墙的长连接和短连接介绍相关命令与操作
weixin_34167043的博客
06-14 5245
防火墙的长连接和短连接介绍相关命令与操作,防火墙的长连接和短连接firewall session aging-time tcp (?察看时间)[SecBlade_FW]display firewall session aging-timeFirewall aging-time value information:tcp —- aging-time value is 24...
华为防火墙ASPF详解及配置实例
永远是少年
07-26 6777
今天继续给大家介绍防火墙。本文主要介绍防火墙ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严
华为防火墙分片缓存
Jian Sun_的博客
02-05 3137
 分片缓存   分片缓存功能用来缓存先于首片分片报文到达的后续分片报文,避免分片报文被防火墙丢弃。      网络设备在传输报文时,如果设备上配置的MTU(Maximum Transfer Unit)小于报文长度,则会将报文分片后继续发送。   我们知道,状态检测防火墙是依据首包检测机制进行过滤报文的,即防火墙除首包(如TCP的SYN包)可以生成会话表项外,其他数据包一律会予以丢弃。在理想情况下,各分片报文将按照固定的先后顺序在网络中传输。在实际传输过程中,可能存在首片分片报文不是第一个到达防火
【HCIA安全】第四天
qq_40733491的博客
07-08 889
HCIA安全ASPF
ASPF(Application Specific Packet Filter)多通道协议
yunwenbin的博客
02-07 2294
ASPF(Application Specific Packet Filter)多通道协议 作用:针对应用层的包过滤 技术背景: 为了解决多通道协议的转发而引入。 (1)对多通道协议的应用层数据进行解析识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题。 (2)动态生成Server-map表项(ASPF的实现基础),即简化了安全策略的配置有确保了安全性 (3)可以把ASPF看做是一个穿越FW的技术,ASPF生成的Server-map表项,相当于在FW上打开一个通道
华为防火墙-2-状态检测与会话
macob的专栏
07-26 3768
华为防火墙 状态检测 会话
安全HCIP之多通道协议技术
XiaoHG_CSDN的博客
10-05 643
多通道协议技术 分类 说明 备注 单通道协议 通信过程中只需占用一个端口的协议 如:www只需占用80端口 多通道协议 通信过程中需占用两个或两个以上端口的协议 如:FTP被动模式下需占用21号端口已经一个随机端口 ...
HCIA-Security网络安全技术视频.zip
04-24
1.1.0 网络安全概述 1.1.1 网络安全定义 1.1.2 网络安全发展历史 1.1.3 网络安全发展趋势 1.1.4 信息安全标准和规范 1.2.1 网络体系结构 1.2.2 常见网络协议 1.2.3 数据封装与解封装 1.2.4 常见网络设备 1.3 常见...
2.防火墙ASPF功能.pdf
09-02
防火墙
H3C网络安全 案例手册 (66个案例).rar
08-23
SecPath1800F防火墙 NAT Server-对多地址映射的典型配置pdf SecPath1800F防火墙NAT功能的典型配置,pdf SecPath1800F防火墙SSH的典型配置pdf SecPath1800F防火墙基本管理的典型配置pdf Secpath安全产品 SysLog日志...
华为HCIE安全培训教程视频【共24集.rar
08-29
[01]HCIE安全认证介绍与学习计划、IP数据二层通信原理.mp4,网盘文件 [02]三层通信原理、IP路由表工作机制.mp4 [03]VLAN间通信原理、MTU、IP报文与分片机制.mp4 [04]Traceroute工作原理、防火墙工作原理、...
防火墙ASPF工作机制与原理.docx
05-14
H3C防火墙ASPF工作机制与原理
华为USG防火墙入门基础03_Server-map
IT_zhangsan
06-15 1012
通常情况下,如果在设备上配置严格的安全策略,那么设备将只允许内网用户单方向主动访问外网。为了解决这一类问题,FW引入了Server-map表,Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。生成Server-map表之后,如果一个数据连接匹配了Server-map表项,那么就能够被设备正常转发,并在匹配Server-map表后创建会话,保证后续报文能够按照会话表转发。
FTP协议
MLuFee的博客
04-10 5324
FTP(文件传输协议)是一种多通道协议,意为FTP协议有多个端口与外界进行通信,工作模式有“FTP服务器和FTP客户端”。默认使用TCP端口的20和21端口,20端口用于数据传输,21端口用于控制连接。 主要作用是为了用户上传和下载文件 工作方式 1.控制连接 客户端与FTP服务器建立文件上传下载连接时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接收来自客户端的请求,完成连接的建立 2.数据连接 客户端与ftp服务器建立连接之后,就可以进行数据传输了,传输文件的过程教书
安全防御第二天:防火墙
weixin_62870380的博客
03-21 636
ASPF、NAT、端口映射原理,以及双机热备的使用场景,原理
02-防火墙介绍
qianlai22的博客
03-04 5129
包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议) 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 随着ACL复杂度和长度的增加,其过滤性能呈
fpga接口协议有哪些
最新发布
09-30
FPGA(现场可编程门阵列)是一种灵活可编程的芯片,用于实现各种数字电路和通信协议。FPGA接口协议是指用于FPGA与其他外部设备进行通信和数据传输的协议规范。以下是常见的FPGA接口协议: 1. SPI(串行外围接口):SPI是一种串行通信协议,FPGA可以通过SPI接口与外部器件(如传感器、存储器等)进行通信,实现数据的读取和写入。 2. I2C(I²C总线):I2C总线是一种串行通信协议,用于连接FPGA与各种外围器件(如传感器、存储器、芯片等)。FPGA通过I2C接口可以读取或写入外部设备中的数据。 3. UART(通用异步收发传输器):UART是一种异步通信协议,广泛应用于串口通信。FPGA可以通过UART接口与计算机或其他外部设备进行通信,实现数据的传输和控制。 4. PCIe(外部组件互连快速通道):PCIe是一种高速串行总线接口协议,用于FPGA与计算机及其他外部设备之间的高速数据传输。该接口协议常用于高性能计算、图形处理和数据存储等领域。 5. Ethernet(以太网):Ethernet是一种常见的局域网通信协议,FPGA可以通过以太网接口与其他计算机、网络设备进行通信,实现数据的传输和网络通信功能。 6. CAN(控制器局域网):CAN总线是一种广泛应用于汽车电子、工控等领域的通信协议。FPGA可以通过CAN接口与其他CAN设备进行数据的传输和控制。 除了上述常见的FPGA接口协议,还有许多其他的接口协议,例如USB(通用串行总线)、HDMI(高清晰度多媒体接口)、VGA(视频图像传输接口)等,可以根据需求选择适合的接口协议来与FPGA进行通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值