NGFW防火墙的ASPF实现原理

Posted 坏坏-5

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了NGFW防火墙的ASPF实现原理相关的知识,希望对你有一定的参考价值。

ASPF技术

  • 可以使用应用层包过滤技术的协议

    • 多通道协议
      • 通信过程中,使用多个端口。例如FTP
    • NAT Server
    • P2P协议、迅雷、QQ、MSN
  • 工作原理(例:FTP)

    • 在防火墙上配置的安全策略仅针对FTP客户端访问FTP服务器流量放行,因为知道目的端口,所以控制通道的可以正常建立
    • 被动模式下,当客户端请求建立数据通道时,因为目的端口不再固定,所以无法再根据配置的安全策略进行放行。此时防火墙检查数据报文的应用层内容,发现时FTP报文,生成Server-map表项,只匹配源IP和目的IP、目的端口,第一次数据报文进行放行,随后根据放行的报文,生成会话表项,Server-map表项失效。之后的FTP数据报文直接匹配会话表项进行放行
    • 主动模式下,数据通道的建立是由服务端发起的。防火墙收到数据报文后,检查应用层协议,发现是FTP报文,生成Server-map表项,只匹配服务器的IP和客户端的IP、端口,进行放行。随后防火墙根据数据报文中应用层的内容, 生成会话表项,Server-map表项失效,之后的数据传输报文直接匹配会话表项进行放行
  • ASPF的优势

    • 性能依然可以保持
    • 安全策略只需要放行协商通道。第二通道由ASPF生成的Server-map表项临时放行,后续产生详细的会话表项后,Server-map表项删除
    • 安全性会更高

FTP

  • 有两个通道
    • 控制通道:负责传FTP相关指令的传递,如上传、下载等
    • 数据通道:负责具体的文件的上传和下载
  • 工作模式
    • 主动模式
      • 数据通道由服务器发起
      • 两个通道的建立,流量的流向不同。控制通道建立时,由客户端发起TCP三次握手,流量从Trust区域到Untrust区域。数据通道建立时,由服务器发起,流量从Untrust区域到Trust区域
    • 被动模式
      • 数据通道由客户端发起
      • 无论是控制通道还是数据通道的建立都是由客户端发起,所以流量的流向都是从Trust区域到Untrust区域
  • 控制通道总是由客户端发起
  • 工作过程
    • 主动模式
      • 控制通道:客户端随机使用端口N,访问服务器的21端口,客户端告知服务器(x,x,x,x,p1,p2)
      • 数据通道:服务器使用20端口,访问客户端的N+1端口,N+1=p1*256+p2
    • 被动模式
      • 控制通道:由客户端随机使用一个端口N,来访问服务器的21端口,服务器在应用层数据中,告知客户端(x,x,x,x,p1,p2)
      • 数据通道:客户端使用N+1端口,访问服务器的p1*256+p2端口

实验验证


以上内容均属原创,如有不详或错误,敬请指出。
本文作者: 坏坏 本文链接: http://t.csdn.cn/Qxm0m 版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请联系作者注明出处并附带本文链接!

以上是关于NGFW防火墙的ASPF实现原理的主要内容,如果未能解决你的问题,请参考以下文章

NGFW防火墙的ASPF实现原理

HuaWei ❀ Firewalld ASPF-状态防火墙

ASPF(Application Specific Packet Filter)

华为USG防火墙及NGFW高可用性的规划与实施详解

华为防火墙(NGFW)的双机热备

华为防火墙(NGFW)的双机热备