ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。
ALG(Application Level Gateway,应用层网关)功能用于NAT场景下自动检测某些报文的应用层信息,根据应用层信息放开相应的访问规则(生成Server-map表),并自动转换报文载荷中的IP地址和端口信息。
ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则,而NAT ALG的主要目的,是为其开放相应的NAT规则。
?
Server-map表是实现ASPF/ALG功能的基础之一。
Server-map表用于放行某些在安全策略中无法明确放行的报文,是通过ASPF/ALG功能自动生成的精细“安全策略”,是FW上的“隐形通道”。
ASPF/ALG功能可以检测某些报文的应用层信息,并将应用层信息中的关键数据记录在Serve-map表中。后续报文命中Server-map表直接放行或进行NAT,并建立会话,不受安全策略控制。
以多通道协议(如FTP、H.323、SIP等)的ASPF为例,这些多通道协议的应用通常需要建立控制通道和数据通道两个连接。控制通道建立后,通过控制通道协商后续数据通道的地址和端口,然后根据协商结果建立数据通道。FW通过动态检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表。后续的数据报文命中Server-map表被放行,从而成功建立数据通道。
firewall detect?protocol命令? 开启了全局的ASPF/ALG功能后
SIP(Session Initiation Protocol,会话发起协议)是一个IETF标准协议,用于创建、修改和释放一个或多个参与者的会话,这些会话可以是语音通话、多媒体会议或虚拟现实等多媒体元素的交互用户会话。
SIP是一种多通道协议,呼叫双方除了建立信令通道用于传输信令外,还会建立数据通道用于传输语音、视频等媒体数据。因此SIP流量分为信令流和媒体流。信令流通过UDP或TCP传输,包括呼叫双方的请求和响应报文。媒体流通过RTP和RTCP传输,包括语音或视频等媒体数据报文。
- 修改ASPF/ALG配置(如关闭ASPF/ALG功能)后,为了保证配置立即生效,需要在诊断视图下使用reset firewall server-map或reset firewall ipv6 server-map命令清除相应的Server-map表项。清除Server-map表时,需要先清除对应的会话,否则Server-map表无法清除干净