ASPF/ALG简介

已于 2024-07-19 09:48:21 修改
阅读量349 收藏 11
点赞数 5
文章标签: 网络 服务器 运维
于 2024-07-19 09:46:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25467441/article/details/140540723
版权

ASPF定义

ASPF(Application Specific Packet Filter,应用层的包过滤)是一种针对应用层的包过滤技术,也称为基于状态的报文过滤。

ASPF目的

ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。生成的Server-map表,用于放行后续数据通道中的报文,相当于自动创建了一条精细的“安全策略”。

以多通道协议(如FTP、SIP等)为例,这些多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口,然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的,管理员无法预知,因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立,只能放开所有端口,这样显然会给服务器或客户端带来被攻击的风险。此时,开启ASPF功能就可以避免这种风险。

ALG定义

ALG(Application Level Gateway,应用层网关) 是一种NAT穿越技术。

ALG目的

ALG功能用于NAT场景下自动检测某些报文的应用层信息,根据应用层信息放开相应的访问规则(生成Server-map表),并自动转换报文载荷中的IP地址和端口信息。NAT只能转换报文头中的IP地址和端口,无法对应用层的数据进行转换。在许多应用层协议中,报文载荷中也带有地址或端口信息,如果这些数据不进行转换,可能导致后续通信异常。

ASPF和ALG对比

ASPF和ALG都是对应用层报文进行处理,它们使用的是同一个配置。设备会根据是否存在NAT环境以及各个协议的特征来判断何时需要ASPF处理,何时需要ALG处理,何时配置两者同时处理。而对用户来说,只需要配置一次命令,设备会根据不同场景下对报文进行不同处理。表16-1 ASPF和ALG功能对比

配置ASPF/ALG

背景信息

为了简化配置,ASPF和ALG功能使用的是同一个配置命令,无须重复配置。

操作步骤
  1. 进入系统视图。 

    system-view

  2. 配置ASPF/ALG功能。 

    firewall detect protocol

    配置时请注意以下几点:

    • 如果需要对多种协议的流量进行ASPF/ALG处理,重复执行该命令。

    • firewall detect sip命令配置的针对SIP协议的ASPF/ALG功能仅对基于UDP协议的SIP流量生效。

    • 请根据实际使用需求开启对应协议类型的ASPF/ALG功能,对于不需要开启ASPF/ALG功能的协议类型请及时关闭此功能。

检查配置结果

执行命令display firewall detect global,查看ASPF/ALG的配置信息。

是否NAT场景

生效的功能

作用

非NAT场景

ASPF

生成Server-map表项,保证其他主机访问FTP、SIP等主机的报文能穿越设备。

NAT场景

ALG

对报文载荷中的IP地址进行地址转换。

ASPF

生成Server-map表项(带地址转换信息),保证其他主机访问FTP、SIP等主机的报文能穿越设备。

qq_25467441
关注
锐捷防火墙(WEB)——高级功能——应用层网关ALG
君逍遥o
09-27 3213
ALG技术配合NAT特性可支持对报文载荷的地址转换功能;配合ASPF特性可支持动态通道的检测功能,以及对应用层的状态检测功能
ALG网络安全技术白皮书.docx
10-12
ALG(Application Level Gateway)是一种对应用层进行处理的技术,它通过与 NAT(Network Address Translation)、ASPF(Application Specific Packet Filter)等技术的组合应用,实现对应用层的处理和检测。...
ASPF/ALG
qq_51544942的博客
02-10 3260
ASPF的简介 1、了解ASPF: ASPF(Application Specific Packet Filter)应用层包过滤,也叫基于状态的报文过滤,ASPF会检测通过防火墙的报文应用层信息并根据通过防火墙报文的应用层信息生成server-map表。 ALG(Application Level Gateway)应用层网关,该功能是在NAT场景下自动检测通过防火墙的报文应用层信息并根据这些信息生成server-map表,并自动转换在报文载荷中的IP地址和端口,通常应用层信息也会携带IP地址和端口,这
防火墙技术之---ALG技术
weixin_34072857的博客
08-30 2810
NAT网络地址转换是以救世主的身份出现缓解IPv4地址枯竭,实践证明NAT的很多的优点使其迅速被广泛应用,但是在实际操作中也出现了一些问题。NAT关注五元组信息,进行转换的五元组也仅限于IP报头之中,但是一些应用层协议像FTP,H323等多通道协议及流媒体RTSP,MMS,还有DNS,SMTP,和一些IM和P2P,一般情况下在应用载荷信息之中也会包括一些地...
ensp防火墙ASPF、NAT ALG配置和NAT server
m0_46626894的博客
03-23 4849
实验11、防火墙ASPF、ALG配置和NAT server 文章目录实验11、防火墙ASPF、ALG配置和NAT server实验环境具体步骤1、防火墙的NAT配置基础配置:端口ip设置划分并配置防火墙安全策略测试客户端登陆ftp:给防火墙配置NAT抓包测试2、NAT server配置NAT server以及安全策略ping 测试并抓包:个人总结 实验环境 具体步骤 1、防火墙的NAT配置 基础配置: client: server: 端口ip设置 FW: [FW1]int g01/0/1 [FW1-
华为防火墙ALG
不定期分享一些自己的学习笔记
10-16 1532
华为防火墙ALG
防火墙NAT应用代理配置
悦分享
10-06 169
例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。对于一些特殊协议,例如FTP等,它们报文的数据部分可能包含IP地址信息或者端口信息,这些内容不能被NAT有效的转换。ALG是对特定的应用层协议进行转换,在对这些特定的应用层协议进行NAT转换过程中,通过NAT的状态信息来改变封装在IP报文数据部分中的特定数据,最终使应用层协议可以跨越不同范围运行。NAT只能转换传输层或网络层的地址,FTP应用层中的地址没有转换。ALG的,选择要开启的相应的服务即可。
防火墙的ALG、NAT、双机热备知识点详解
qq_68163788的博客
07-25 2650
为了保证所有的VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组协议管理协议)来弥补次局限。将同一台防护墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRp备份状态都是一致的;防火墙VGMP组通过发送VGMP报文通告自身的运行状态,从而根据hello优先级决定主备设备,主设备VGMP组的状态为Active,备设备的状态为standby;启动防火墙多出口选项,网关、缺省、源进源出路由控制三种必须启用。
华为HCIE-Security面试培训视频教程【共36集】.rar
10-17
05.ASPF与NAT ALG对比上 06.ASPF与NAT ALG对比下 07.SIP排错 08.虚拟防火墙 09.防火墙高可用性 10.多出口选路 11.双机热备场景 12.双机热备细节 13.双机热备数据包转发过程 14.双机热备升级 15.IKEV1主...
HCIA-Security培训视频教程【共25集】.rar
04-16
8. ASPF、Ftp原理-8 9. ASPF、Ftp原理-9 10. 源NAT-10 11. 源NAT-11 12. NAT Server-12 13. NAT Server-13 14. NAT Server-14 15. NAT Server-15 16. 双向NAT场景、NAT ALG技术-16 17. 双向NAT场景、NAT ...
华为HCIE安全培训教程视频【共24集.rar
08-29
[13]NAT ALG技术.mp4 [14]NAT Server.mp4 [15]双向NAT技术.mp4 [16]NAT SLB技术.mp4 [17]防火墙高可用性技术——防火墙上的HA技术概述、IP-LINK.mp4 [18]防火墙高可用性技术——Link-Group、Eth-Trunk....
防火墙ASPF/ALG
xiaoli8748的专栏
04-08 261
ASPF 应用层报文过滤:application specific packet filter。
ALG(Atmospheric Look-up table Generator)大气查找表生成器下载、配置及6sV2.1生成LUT(学习笔记1)
Home
11-30 1662
ALG(Atmospheric Look-up table Generator)大气查找表生成器下载、配置及模型参数设置、6sV2.1生成LUT示例
NAT ALGASPF
qq_27599713的博客
02-18 855
NAT ALG(Application Level Gateway)应用级网关,支持对应用层信息进行相应转换。通常情况下,NAT只对报文的IP头部的地址信息喝TCP/UDP头部的端口信息进行转换而不会关注其报文的载荷信息。但是对于一些特殊的协议(如FTP等多通道协议),其报文载荷中也携带了地址或端口的信息,而载荷的信息通常是双方协商产生的。如果经过NAT后不修改会影响到后续的使用。FW提供了NAT ALG功能,对报文的载荷字段进行解析,识别并转换其中的重要信息,保证FTP的正常使用。
【HUAWEI】NAT的现网模拟配置(包括ALG特殊配置)
u012468770的博客
07-08 5940
配置环境: 1.R2、R3、Client1、Server1配置有默认路由 2.Server1上配置有DNS、FTP服务器 配置需求: 1.R4可以通过不同的IP地址(14.14.14.102、14.14.14.103)访问内网R2、R3进行配置 2.内网Client1可以通过IP地址访问内网Server1的FTP服务器 3.内网Client1可以通过域名访问内网Server1...
光猫 高级NAT配置
Dyson_HQ的博客
06-08 6682
光猫NAT配置
NAT algASPF
weixin_33708432的博客
11-29 829
NAT algASPF 参考:https://handbye.cn/719.html 来源:https://www.jianshu.com/p/8a8eb36eef7d   NAT的部署已经在企业网中必不可少,当防火墙作为网络的出口或者在网络中充当安全网关时,内网用户访问外网或者外网用户访问内网的服务器都要经过NAT穿越。 由于防火墙的特殊性,出于安全的考虑,需要建立相应的安全策略。当防...
嵌入式学习-网络高级-Day01
最新发布
Xiaomo1536的博客
11-06 1157
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
ALG技术:应用层网关的协作与安全解决方案
ALG技术白皮书深入探讨了在现代网络环境中,特别是涉及NAT(网络地址转换)和ASPF(应用特定包过滤)时,如何运用应用层网关(ALG)技术来解决多通道应用协议中的挑战。ALG的主要作用是在NAT设备中解析并转换应用层...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值