目的:
aspf是為了解決多通道協議這種特殊服務的**而引入的。這些協議會在通訊過程中自動協商一些隨機埠,而在嚴格安全策略的情況下,這些隨機埠發出的報文可能不能得到正常**。
通過aspf功能可以對這些協議的應用層資料進行解析,識別這些協議協商出來的埠號,從而自動為其開放相應的訪問規則,解決這些協議不能正常**的問題。
原理:aspf的原理是檢測出來使用多通道協議的應用的首個包的五元組,進而形成會話表(含五元組(含sip、s埠、dip、d埠、協議型別)資訊),從而自動維護相應的server-map表(含三元組(sip、dip、協議型別)),這樣即使後面的資料使用的埠號不同也可以通過裝置的安全策略正常傳輸了。
aspf的原理就是檢測報文的應用層資訊,記錄應用層資訊中攜帶的關鍵資料,使得某些在安全策略中沒有明確定義要放行的報文也能夠得到正常**。
aspf可以根據報文應用層中的資訊動態生成server-map表,即簡化了安全策略的配置又確保了安全性。
aspf功能不但可以對報文的網路層資訊進行檢測,也可以對報文的應用層資訊進行深度檢測,是fw安全規則檢查的重要組成部分。
使用者自定義的協議檢測
使用者自定義的協議檢測是一種特殊的aspf應用。
在tcp/ip協議簇中,通過埠號來判斷報文的協議型別。如果使用者有某些特殊應用不在上述支援的應用協議範圍內,裝置不能解析其應用層資料,但是使用者又了解該應用的協議原理,可以通過acl來對某一類流量進行定義,用過自定義協議的aspf功能自動為其建立stun型別的server-map表,以保證報文的**。
iptable防火牆詳解
一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptable t filter f 清空filter表中所有規則 iptable t filter z 清空filter表中的計數器值 iptable t filter x 清除filte...
iptable防火牆詳解
一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptables t filter f 清空filter表中所有規則 iptables t filter z 清空filter表中的計數器值 iptables t filter x 清除fi...
iptable防火牆詳解
iptable防火牆詳解 一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptable t filter f 清空filter表中所有規則 iptable t filter z 清空filter表中的計數器值 iptable t fil...