华为防火墙ASPF详解及配置实例

最新推荐文章于 2025-03-12 18:58:02 发布
最新推荐文章于 2025-03-12 18:58:02 发布
阅读量8.4k 收藏 41
点赞数 7
分类专栏: HCIE安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/119120916
版权

今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。

一、ASPF详解

ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。
ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严格安全策略的情况下,这些随机端口发出的报文可能得不到正常转发。通过ASPF功能,可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开发相应的访问规则,解决这些协议不能正常转发的过程。

二、ASPF配置实例

下面,我用一个简单的实验给大家演示一下ASPF的配置。

(一)实验拓扑及要求

在这里插入图片描述
实验拓扑如上所示,现在要求合理的配置防火墙规则,使能ASPF功能,使得FTP Client能够正常范文FTP Server。

(二)实验配置说明

1、安全策略配置
为了实现防火墙的基本功能,必须要配置接口IP地址和划分相应的区域,上述配置在这里就不过多介绍了。之后还必须配置防火墙的安全策略,配置命令如下:

security-policy
 rule name FTP
  source-zone untrust
  destination-zone trust
  service ftp
  action permit

2、ASPF配置
配置ASPF命令如下:

firewall  detect 【协议名称】

华为防火墙支持配置ASPF的协议有:
在这里插入图片描述
注意,在华为USG6000防火墙中,FTP协议的ASPF功能默认开启,其他协议的ASPF功能默认关闭,需要手工开启。

(三)实验现象

1、FTP功能正常:
在这里插入图片描述
2、可以查看session表项
在这里插入图片描述
注:session表中带加号表示启用了ASPF功能。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119120916

华为 SecPath防火墙 aspf典型配置
net527的专栏
05-07 1676
一、组网需求在防火墙配置ASPF策略,检测通过防火墙的FTP流量。实现:内部网络用户发起的FTP连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止。二、组网图三、配置步骤[DOWN] dis cur                 
华为防火墙NAT源地址转换基础配置详解
2301_77508242的博客
08-09 5093
本实验主要针对防火墙NAT基本的配置进行详解,内容主要有防火墙Easy IP NAT的基础配置和NAPT以及NO-PAT基本配置实验最后再通过防火墙NAT服务器映射转换。
学习日志8.9--ASPF(Application Specific Packet Filter)多通道协议
m0_62560069的博客
08-09 437
通过客户端1.1.1.1发送SYN到server1.1.1.2开始TCP的三次交互端口是从2053(随机)到21(控制通道的端口),然后是server1.1.1.2向客户端1.1.1.1发送TCP的SYN,ACK的回包,端口是21到2053,然后是客户端1.1.1.1向server1.1.1.2发送TCP的ACK,端口是2053到21,到这里TCP的三次握手结束。注意的是,在被动模式下,是服务器高数客户端,我的接口是2051,在主动模式下是客户端主动告诉服务器我的接口是2056。多通道协议的实验拓扑结构。
防火墙虚拟系统实验操作
2302_81651427的博客
03-12 931
在最上面选择系统,最左边选择虚拟系统下的子功能资源类,然后点击新建,就可以配置资源类,在按照要求创建资源类2和3,如下两图所示。在最上面选择系统,最左边选择虚拟系统下的子功能虚拟系统,然后点击新建,就可以新建一个虚拟系统,r2,r3。创建虚拟系统管理员,在切换虚拟系统后,点击最上面的系统,在在左边的管理员那,点击新建就可以创建管理员了。在根系统上,为vsysa系统配置静态路由,指向vsysb,算是从虚拟系统到虚拟系统的访问l。创建vsysa虚拟系统管理员,@@为固定,前为用户名,后为虚拟系统名称。
华为防火墙基本配置ASPF与Server-map表
sjsjshhs134654的博客
11-14 2987
Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命中Server-map表的数据创建会话表。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话表项叫做Server-map表。分析报文,产生Server-map表。中的关键信息,报文命中该表后,
HuaWei ❀ Firewalld ASPF-状态防火墙
无糖可乐没有灵魂
05-13 522
文章目录1、ASPF的功能2、ASPF基本概念3、应用层协议检验基本原理4、传输层协议检验基本原理 包过滤防火墙属于静态防火墙,目前存在如下问题: 对于多通道的应用层协议,部分安全策略配置无法预知; 无法检测某些来自传输层和应用层的攻击行为; 无法识别来自网络中伪造的ICMP差错报文,从而无法避免ICMP的恶意攻击; 对于TCP连接均要求其首报文为SYN报文,非SYN报文的TCP首包将被丢弃,在这种处理方式下,当设备首次加入网络时,网络中原有的TCP连接的非首包在经过新加入的防火墙设备时均被丢弃,这会中断
防御保护第六天笔记
qq2161492129的博客
01-28 1341
防御保护第六天笔记整理
ASPF配置详解
qq_45309500的博客
02-13 3617
ASPF配置详解 ASPF是针对于多通道协议的解决方案,具有典型特征的就是ftp协议,因为ftp需要建立两次连接,控制连接与数据连接,且在数据连接建立是时,因为端口是随机的,无法针对其做安全策略,全部开放又存在安全隐患,所以这个时候就需要ASPF出面解决 在ftp进行第一次连接时会触发流量,同时也就触发了server-map表,当后续的第二次连接会匹配server-map表里的信息,而不用通...
防御保护 ASPF,NAT策略配置防火墙的智能选路详细介绍
one piece的博客
01-30 1708
一、ASPF--- 针对应用层的包过滤--- 针对应用层的包过滤 --- 用来抓取多通道协议中协商端口的关键数据包,之后,将端 口算出,将结果记录在sever-map表中,相当于开辟了一条隐形的通道。--- 文件传输协议FTP协议是一个典型的C/S架构的协议--- 简单文件传输协议1,FTP相较于Tftp存在认证动作2,FTP相较于Tftp拥有一套完整的命令集FTP工作过程中存在两个进程,一个是控制进程,另一个是数据的传输进程,所以,需要使用两个端口号20,21。
华为防火墙配置培训
03-11
华为防火墙配置培训防火墙的域和模式 攻击防范、包过滤、ASPF、NAT、黑名单的使用方法
华为防火墙视频课程.zip
最新发布
04-30
13华为防火墙技术(安全 Security)防火墙基本配置.mp4 14华为防火墙技术(安全 Security)防火墙基础实验.mp4 15华为防火墙技术(安全 Security) ASPF.mp4 16华为防火墙技术(安全 Security)NAT.mp4 17华为防火墙技术...
2.防火墙ASPF功能.pdf
09-02
防火墙
aspf
no pay no gay
10-01 7342
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 7122
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙的安全功能。
华为防火墙配置笔记
weixin_30375247的博客
07-05 7085
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
配置FTP/TFTP协议的ASPF
XMWS-IT
04-17 887
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在域间应用detect ftp,实现FTP报文的正常转发。
防火墙技术之--状态防火墙(ASPF)1
weixin_34367845的博客
08-22 629
应用状态防火墙技术介绍 前面讲到了包过滤防火墙的一些细节东西,大家可以发现我一直强调包过滤的核心在于ACL,ACL起源于防火墙的需要,但是应用远远不止于防火墙。ACL需要提前定义分类数据包,然后跟packet filtering进行接口绑定然后对流经接口的数据包进行ACL匹配,如果匹配便根据firewall定义的permit还是deny对数据包进行允许还是拒绝(丢弃)处...
华为防火墙小企业简单应用命令行配置
IT技术
12-22 1239
华为防火墙小企业简单应用命令行配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值