ASPF技术

作用

ASPF(Application Specific Packet Filter)应用特殊包过滤。ASPF能够读取出特殊协议中应用层协商出的端口信息生成对应的Server-map表。当流量来时可以直接匹配server-map生成session
没有开启ASPF,没有做应用层识别
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)
开启ASPF,可以做应用识别
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)
总结:
ASPF的作用:
1)为多通道协议产生server-map表项
2)能够做到应用层的识别

目的

ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口,在严格安全策略的情况下,这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析,识别这些协议协商出来的端口号,从而自动为其开放相应的访问规则,解决这些协议不能正常转发的问题

举例说明ASPF

FTP协议分为两种工作模式:主动模式(PORT模式)和被动模式(PASV模式)
a) 主动模式中,FTP Server主动向FTP Client发起数据连接
b) 被动模式中,FTP Server被动接收FTP Client发起的数据连接

FTP主模式,启用ASPF

TCP三次握手的建立
控制连接(输入账户名和密码):客户端---服务器发起连接
Sport:随机
Dport:21端口

会有客户端---服务器发送一个port消息 该消息里面会携带a.b.c.d.e.f(其中a.b.c.d就是客户端IP地址 客户端端口号就是256*e+f)

TCP三次握手的建立
数据平面(执行我们上传和下载的动作):服务器---客户端发起连接
Sport:20端口
Dport:256*e+f
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)_第1张图片

注意:
因为在FTP主动模式下,数据通道是有服务器主动向客户端发起的流量,故而客户端需要提前发送port消息给服务器,让服务器去访问客户端的目标端口为,与此同时也需要放行服务器所在区域去往客户端所在区域,如果服务器所在区域为untrust,客户端所在区域为trust,需要放行untrust去往trust的流量 并且端口为0~65535随机的端口,这样会导致untrust去往trust的其他应用也会通过 存在一定的风险 所以 我们可以在防火墙上面启用ASPF技术 应用ASPF技术动态监控port消息中携带的端口 并且也会产生server-map表项 让服务器能够访问客户端
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)_第2张图片

被动模式

TCP三次握手的建立
控制平面客户端---服务器发起连接
Sport:随机端口
Dport:21号端口

客户端会发送一个PASV的消息给服务器端口 服务器收到后会回应一个带有a.b.c.d.e.f(其中a.b.c.d就是服务端IP地址 服务器端口号就是256*e+f)

TCP三次握手的建立
数据平面客户端---服务器发起连接
源端口:随机端口
目标端口:256*e+f
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)_第3张图片

注意
被动模式 数据通道是由客户端向服务器发起访问的 如果客户端去往服务器的安全策略 不是严格安全策略情况下(条件比较精确 精确到了目标端口)不开启ASPF技术 客户端也能够访问到服务器,如果开启ASPF技术,在查看防火墙会话表的时候 能够做到应用识别 识别出FTP第二信道的应用和产生server-map表项
如果客户端去往服务器是粗旷的安全策略 即使不开启ASPF技术 客户端也可以访问到服务器 但是在防火墙上面不会产生server-map表项和识别应用
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)_第4张图片

NAT ALG技术

ALG的作用

通常情况下,NAT只对报文中IP头部的地址信息TCP/UDP头部的端口信息进行转换,不关注报文载荷的信息。但是对于一些特殊的协议(如FTP协议),其报文载荷中也携带了地址或端口信息,而报文载荷中的地址或端口信息往往是由通信双方动态协商生产的,管理员并不能为其提前拟好相应的NAT规则。如果是提供NAT功能的设备不能识别并转换这些信息,将会影响到这些协议的正常使用
ALG是NAT的应用层网关,是一种穿越NAT设备的技术,配置ALG功能后防火墙在进行地址转换时,除了转换报文头中的IP地址和端口信息,还能转换报文载荷里携带的IP地址和端口信息。可以对报文的载荷字段进行解析,识别并转换报文载荷中的地址或端口(双方动态协商生产的),保证多通道协议可以顺利的进行地址转换而不影响其正常使用
请描述ASPF原理和NAT ALG原理、区别和联系(HCIE-Security面试考试必会题型之四)_第5张图片

NAT ALG与ASPF的关系

差异点

a) 开启ASPF功能的目的是识别多通道协议,并自动为其开放相应的安全策略
b) 开启NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息

共同点

a) 二者使用相同的配置。开启其中一个功能,另一功能同时生效