学习日志8.10--防火墙ASPF

于 2024-08-10 11:49:50 发布
阅读量695 收藏 7
点赞数 13
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62560069/article/details/141062458
版权

防火墙ASPF多通道协议的实验拓扑
将客户端配置成FTPclient,将服务器配置成FTPserver。

上节只是简单学习了ASPF多通道协议的原理及运用,这节学习ASPF在防护墙上的运用。

在交换机的g0/0/2口进行抓包,在客户端的交互模式下选择PASV被动模式,然后登入

在流量数据进入防火墙后匹配好安全策略,就会生成会话表,查看防火墙的会话表信息有ftp的会话条目,这是建立控制通道的连接,控制通道端口是2061到21;ftp-data会话条目是建立数据通道的连接,数据通道控制端口是2062到2054。这是控制通道的建立,TCP三次握手建立连接,端口是2061到21,和防火墙的会话表匹配,回包数据能通。建立连接后开始协商控制,确定用户名、确定密码、客户端申请使用为PASV模式在被动模式下,服务器给的端口是2054。
然后就进入数据通道的建立,三次TCP握手建立成功。进行数据传输,端口是2062(随机)到2054(协商控制服务器提供的)。端口2062到2054和防火墙会话表匹配一致,数据可以通过。

现在通过使用主动模式看数据的情况,在使用测试主动模式之前,需要输这条命令使实验现象明显。
命令:[FW01]undo firewall detect ftp,关闭防火墙检查ftp流量
然后继续实验。在登入之后,不能获取到服务器的文件,说明通信连接失败。

我们来看防火墙的会话表创建了一个ftp的会话,端口是2071到21,但是没有创建ftp-data的会话,说明只创建了控制通道没有创建数据通道。
从数据包中可以看到正常的TCP三次握手端口是2071(随机)到21(默认),控制通道建立后就进行协商控制,确定用户名、确定密码、由客户端向服务器申请使用主动连接PORT模式,并告诉服务器主动连接客户端的端口是2072。

然后进行数据通道的建立,因为是主动模式,需要服务器主动访问客户端,服务器主动发送TCP的ACK请求

但是数据通道只有服务器主动向客户端的TCP的ACK申请请求,端口是服务器的21到客户端的        2071,没有客户端的回复。然后服务器又给客户端发送一个Response说不能打开数据连接,IP地址是192.168.1.2,端口号是2072​​​​​​​,这就造成无法建立数据通道,就不能进行数据的转发处理。

这是因为在防火墙的会话表里面没有匹配数据通道的会话,而且防火墙没有配置从untrust到trust的安全策略,在默认的安全策略下是拒绝的,所以拒绝untrust安全区域内的数据主动访问trust安全区域的网络,这样数据通道就无法建立,主机和服务器之间就无法进行互相访问。

为了解决这个问题,就要使用防火墙的ASPF特殊应用层的包过滤,他可以识别应用层的流量。在防火墙中开启了ASPF后,防火墙可以分析对应的应用层流量。可以检测ftp、dns、icp等的应用层流量。
以ftp为例,防火墙开启防火墙检测ftp之后,防火墙会检测这个数据包这是客户端主动给服务器发的数据包,说你服务器后面可以主动访问我的客户端的2072端口,我的IP地址是192.168.1.2。在防火墙检测到这个数据包之后,ASPF就会创建一个ASPF的server-map表,server-map表的优先级比安全策略高比会话表高。
命令:[FW01]display firewall server-map,查看防火墙server-map表

在防火墙默认是开启ASPF的功能,所以在实验之前把这个检测ftp的功能关闭了,才能使实验现象明显。
命令:[FW01]undo firewall detect ftp,关闭防火墙检测ftp流量的功能
命令:[FW01]firewall detect ftp,打开防火墙检测ftp的功能

开启之后重新用客户端以主动模式去获取服务器的服务

查看数据包,有完整的交互过程​​​​​​​建立控制通道的连接​​​​​​​客户端告诉服务器用户名和密码,进行登入认证,客户端申请为主动模式​​​​​​​客户端高数服务器,用主动模式连接,让服务器主动访问客户端,告诉服务器主动访问客户端的端口是2084。​​​​​​​然后是服务器主动发起数据通道的建立,端口是从服务器的20到客户端的2084​​​​​​​开始进行数据传输是由服务器传给客户端的FTP-DATA​​​​​​​关闭数据通道​​​​​​​关闭控制通道

查看防火墙的会话表新添两条会话,从端口2083到21,和控制通道的端口一致,流量可以通过
正常来说,是不存ftp-data的会话,因为,主动从服务器向客户端通信被设置为拒绝,流量无法通过就不能生成会话表,但是防火墙有ASPF,防火墙可以分析应用层的流量,会生成server-map表查看防火墙的server-map表,允许192.168.2.2向192.168.1.2的流量通过,端口是2084
通过这个允许服务器的主动访问流量通过之后,防火墙的会话表生成ftp-data的会话从192.168.2.2向192.168.1.2发送,端口是20到2084,和数据包中的数据通道的端口一致。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证应用的正常通信,这项功能称为ASPF,所创建的会话表项叫做是server-map表。最后还会通过server-map创建会话表。

ASPF应用流量监测可以在系统视图下,进行全区域的配置,也可以只在某一区域进行设置。
命令:[FW01-zone-trust]detect ftp,在防火墙的trust安全区域设置ftp的流量监测

m0_62560069
关注
设备安全:防火墙总结(1)
Miracle_ze的博客
09-10 2884
路由交换总归到底是连通性设备【交换机同一个网络同,路由器不同网络通】防火墙设备是为了隔绝网络的访问早起网络在没有防火墙时期是联通的,any to any防火墙是一种隔离(非授权用户)并过滤(对受保护网络有害流量或者数据包)的设备【在网络联通基础之上】在路由交换的基础之上,还有隔离过滤的功能授权用户,无需防御非授权用户,隔离如同一面墙的作用,隔离非授权用户,根据规则放行在没有防火墙之前,防御方法:使用路由器作为防火墙,包过滤防火墙(访问控制列表ACL)
nessus-8.10-64.zip
04-25
Nessus-8.10-64.zip这个压缩包文件包含了Nessus的安装包nessus-8.10.deb和一个readme.txt文件。安装包是用于在Kali Linux上部署Nessus服务的Deb格式软件包,而readme.txt通常会包含安装指南、使用说明或开发者的一些...
防火墙ASPF技术、NAT、接口模式、双机热备
weixin_57507186的博客
04-14 780
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
防火墙技术之--状态防火墙ASPF(2)
weixin_33720078的博客
08-22 480
应用状态防火墙功能介绍 前面介绍了ASPF的基本原理,跟踪协议状态机以实现对应用层状态的动态监控,所以状态防火墙被称为动态防火墙。动态就在于状态机是动态变化的,这样的处理使得对数据的过滤更加周全,更加深入。本文想细致区分状态防火墙的功能,以期能更深入的了解状态防火墙技术。 综合来说ASPF可以具有如下几个方面的功能: 支持应用层协议检测,包括:FTP,HTT...
防火墙技术之---状态防火墙ASPF(3)
weixin_33923148的博客
08-23 610
状态防火墙ASPF工作原理 一般来说跟其他安全业务一样,ASPF也是基于会话管理模块的,我们知道会话session是动态的,所以ASPF也是动态的,有状态跟踪的,另外ASPF的精髓还在于出报文打开一个安全的通道,返回报文在这个安全的通道中传输,而维护这个安全通道的依然是访问控制列表ACL,当然这儿的A...
aspf
no pay no gay
10-01 7298
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流
java-11-openjdk-11.0.8.10-1.el7.x86_64.rpm
01-14
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
java-11-openjdk-headless-11.0.8.10-1.el7.x86_64.rpm
12-01
安装包,亲测可用
qBittorrent v4.3.8.10增强版-v4.3.8.10-x64.rar
05-05
qBittorrent是最好用的免费开源BitTorrent客户端,磁力链接BT种子下载工具,无视敏感及版权文件,支持资源搜索引擎插件、订阅Tracker服务器地址、BT文件做种分享、DHT网络及匿名隐私,采用Vuze兼容协议加密,IP过滤...
Photomath_8.10-1.apk.1
10-30
Photomath_8.10-1.apk.1
防火墙ASPF技术及NAT
weixin_57949883的博客
03-20 343
利用ASPF技术抓取多通道协议的控制报文,并找到传输进程所需的详细网络参数,再根据ASPF分析控制进程的特殊报文,找到传输进程的报文参数,动态生成server-map表,放行传输进程报文。传输进程匹配server-map表后生成会话表,传输进程的后续报文匹配会话表进行传输。
安全防御 --- 防火墙-- ASPF、NAT
weixin_62443409的博客
03-29 1379
主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期,Web(World Wide Web,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP(File Transfer Protocol,文件传输协议)以及TFTP(Trivial File Transfer Protocol,简单文件传输协议)。
防御保护第六天笔记
最新发布
qq2161492129的博客
01-28 1245
防御保护第六天笔记整理
第二天防火墙ASPF 和 NAT实验
weixin_62870380的博客
03-21 378
防火墙ASPF策略、防火墙的NAT各种策略、防火墙的端口映射配置实验。
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 6816
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
安全防御第二天:防火墙
weixin_62870380的博客
03-21 829
ASPF、NAT、端口映射原理,以及双机热备的使用场景,原理
数通面试 : FTP/主动被动模式/ASPF (全网最细)
weixin_61113386的博客
12-14 1193
今天是数通面试的第六篇 , 让我们来详细学习一下FTP文件传输协议 , 后面我会结合防火墙相关场景 , 特别是ASPF协议的具体细节 ,, 目前我在网上看到对ftp的客户端口的, 如果是一个随机的端口 那么如何通过防火墙呢??, 并且会呢 ,几乎全网没有文章能说清这个内容 , 今天让我们来慢慢分析一下这里面的细节。
防火墙——多通道协议与Server-map表项
m0_49864110的博客
06-01 4088
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map表,并自动转换应用层报文载荷中的IP地址和端口信息。
怎么安装.aptitude的8.10-6ubuntu1
07-23
要安装特定版本的aptitude(例如8.10-ubuntu1),您可以以下命令: ``` apt-get install aptitude=810-6ubuntu1 ` 这将使用apt-get进行安装,并指定要安装的特定版本号。请确保在运行此命令之前已经更新了软件包列表。根据您的系统和软件源的配置,可能需要管理员权限(使用sudo)来执行该命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值