请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Securi

时间:2020-08-28 19:54:12 来源:

【摘要】 请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Securi考必过小编为大家整理了关于请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Securi的信息,希望可以帮助到大家!

请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)

标签:消息技术上传连接pac了解联系比较ack

ASPF技术

作用

ASPF(Apppcation Specific Packet Filter)应用特殊包过滤。ASPF能够读取出特殊协议中应用层协商出的端口信息生成对应的Server-map表。当流量来时可以直接匹配server-map生成session
没有开启ASPF,没有做应用层识别

开启ASPF,可以做应用识别

总结:
ASPF的作用:
1)为多通道协议产生server-map表项
2)能够做到应用层的识别

目的

ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口,在严格安全策略的情况下,这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题

举例说明ASPF

FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)
a) 主动模式中,FTP Server主动向FTP Cpent发起数据连接
b) 被动模式中,FTP Server被动接收FTP Cpent发起的数据连接

FTP主模式,启用ASPF

TCP三次握手的建立
控制连接(输入账户名和密码):客户端---服务器发起连接
Sport:随机
Dport:21端口

会有客户端---服务器发送一个port消息 该消息里面会携带a.b.c.d.e.f(其中a.b.c.d就是客户端IP地址 客户端端口号就是256*e+f)

TCP三次握手的建立
数据平面(执行我们上传和下载的动作):服务器---客户端发起连接
Sport:20端口
Dport:256*e+f

注意:
因为在FTP主动模式下,数据通道是有服务器主动向客户端发起的流量,故而客户端需要提前发送port消息给服务器,让服务器去访问客户端的目标端口为,与此同时也需要放行服务器所在区域去往客户端所在区域,如果服务器所在区域为untrust,客户端所在区域为trust,需要放行untrust去往trust的流量 并且端口为0~65535随机的端口,这样会导致untrust去往trust的其他应用也会通过 存在一定的风险 所以 我们可以在防火墙上面启用ASPF技术 应用ASPF技术动态监控port消息中携带的端口 并且也会产生server-map表项 让服务器能够访问客户端

被动模式

TCP三次握手的建立
控制平面客户端---服务器发起连接
Sport:随机端口
Dport:21号端口

客户端会发送一个PASV的消息给服务器端口 服务器收到后会回应一个带有a.b.c.d.e.f(其中a.b.c.d就是服务端IP地址 服务器端口号就是256*e+f)

TCP三次握手的建立
数据平面客户端---服务器发起连接
源端口:随机端口
目标端口:256*e+f

注意
被动模式 数据通道是由客户端向服务器发起访问的 如果客户端去往服务器的安全策略 不是严格安全策略情况下(条件比较精确 精确到了目标端口)不开启ASPF技术 客户端也能够访问到服务器,如果开启ASPF技术,在查看防火墙会话表的时候 能够做到应用识别 识别出FTP第二信道的应用和产生server-map表项
如果客户端去往服务器是粗旷的安全策略 即使不开启ASPF技术 客户端也可以访问到服务器 但是在防火墙上面不会产生server-map表项和识别应用

NAT ALG技术

ALG的作用

通常情况下,NAT只对报文中IP头部的地址信息TCP/UDP头部的端口信息进行转换,不关注报文载荷的信息。但是对于一些特殊的协议(如FTP协议),其报文载荷中也携带了地址或端口信息,而报文载荷中的地址或端口信息往往是由通信双方动态协商生产的,管理员并不能为其提前拟好相应的NAT规则。如果是提供NAT功能的设备不能识别并转换这些信息,将会影响到这些协议的正常使用
ALG是NAT的应用层网关,是一种穿越NAT设备的技术,配置ALG功能后防火墙在进行地址转换时,除了转换报文头中的IP地址和端口信息,还能转换报文载荷里携带的IP地址和端口信息。可以对报文的载荷字段进行解析,识别并转换报文载荷中的地址或端口(双方动态协商生产的),保证多通道协议可以顺利的进行地址转换而不影响其正常使用

NAT ALG与ASPF的关系

差异点

a) 开启ASPF功能的目的是识别多通道协议,并自动为其开放相应的安全策略
b) 开启NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息

共同点

a) 二者使用相同的配置。开启其中一个功能,另一功能同时生效

请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)

标签:消息技术上传连接pac了解联系比较ack

以上就是请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Securi的内容,更多资讯请及时关注考必过网站,最新消息小编会第一时间发布,大家考试加油!

上一篇      下一篇
前端相关推荐 更多>>
前端热点专题 更多>>
热点问答
国家公务员考试年龄限制是多少 公务员国考和省考考试内容有什么区别 函授大专学历能不能考公务员 国家公务员考试考点能自己选择吗 新闻学专业能报考2022年公务员考试吗 什么是联合培养研究生 什么是破格录取研究生 什么人不适合读研 研究生报名户口所在地填什么 研究生结业和毕业有什么区别
网站首页 网站地图 返回顶部
考必过移动版 https://m.kaobiguo.net