ASPF与NAT ALG的工作原理与应用
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。
ALG(Application Level Gateway,应用层网关)功能用于NAT场景下自动检测某些报文的应用层信息,根据应用层信息放开相应的访问规则(生成Server-map表),并自动转换报文载荷中的IP地址和端口信息。
ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则,而NAT ALG的主要目的,是为其开放相应的NAT规则。
Server-map表是实现ASPF/ALG功能的基础之一。
Server-map表用于放行某些在安全策略中无法明确放行的报文,是通过ASPF/ALG功能自动生成的精细“安全策略”,是FW上的“隐形通道”。
ASPF/ALG功能可以检测某些报文的应用层信息,并将应用层信息中的关键数据记录在Serve-map表中。后续报文命中Server-map表直接放行或进行NAT,并建立会话,不受安全策略控制。
以多通道协议(如FTP、H.323、SIP等)的ASPF为例,这些多通道协议的应用通常需要建立控制通道和数据通道两个连接。控制通道建立后,通过控制通道协商后续数据通道的地址和端口,然后根据协商结果建立数据通道。FW通过动态检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表。后续的数据报文命中Server-map表被放行,从而成功建立数据通道。
firewall detect protocol命令 开启了全局的ASPF/ALG功能后
SIP(Session Initiation Protocol,会话发起协议)是一个IETF标准协议,用于创建、修改和释放一个或多个参与者的会话,这些会话可以是语音通话、多媒体会议或虚拟现实等多媒体元素的交互用户会话。
SIP是一种多通道协议,呼叫双方除了建立信令通道用于传输信令外,还会建立数据通道用于传输语音、视频等媒体数据。因此SIP流量分为信令流和媒体流。信令流通过UDP或TCP传输,包括呼叫双方的请求和响应报文。媒体流通过RTP和RTCP传输,包括语音或视频等媒体数据报文。
- 修改ASPF/ALG配置(如关闭ASPF/ALG功能)后,为了保证配置立即生效,需要在诊断视图下使用reset firewall server-map或reset firewall ipv6 server-map命令清除相应的Server-map表项。清除Server-map表时,需要先清除对应的会话,否则Server-map表无法清除干净
ASPF与NAT ALG的工作原理与应用相关推荐
- NAT类型及工作原理
一.概述 在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由 ...
- NAPT和NAT的工作原理及其区别
NAPT 网络地址端口转换NAPT 网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式.NAPT普遍应用于接入设备中,它可以将中小 ...
- NAT 网络地址转换技术(一)NAT原理介绍:静态NAT、动态NAT、NAPT、Easy IP、NAT ALG、NAT服务器、双向NAT技术
文章目录 出现原因 基本概念 NAT技术基本原理 源NAT技术 静态NAT 动态NAT NAPT Easy IP NAT ALG NAT服务器 双向NAT技术 域间双向NAT(NAT Server+源 ...
- NAT ALG与ASPF
一,NAT ALG NAT ALG(Application Level Gateway)应用级网关,支持对应用层信息进行相应转换.通常情况下,NAT只对报文的IP头部的地址信息喝TCP/UDP头部的端 ...
- Cisco IOS Unicast NAT 工作原理 [一]
NAT技术的出现源于对私有网络安全性的要求以及IPv4地址不够用的现状.Cisco IOS所支持的常用NAT技术有以下几种.今天发现公司同事对Cisco NAT的实现理解的不好,导致配置出问题.这里就 ...
- NAT ALG技术白皮书
ALG技术白皮书 关键 摘要:ALG是一种对应用层进行处理的技术,它通过与NAT.ASPF等技术的组合应用,实现对应用层的处理和检测.本文详细介绍了ALG技术的工作机制以及典型组网应用. 缩略 缩略语 ...
- 安全防御 --- 防火墙-- ASPF、NAT
ASPF.NAT 1.FTP技术 (1)简介: 主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页.邮箱进行文件传输. 然而在互联网早期,Web(World Wide Web,万维网 ...
- P2P技术详解(一):NAT详解——详细原理、P2P简介(转)
这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值. <P2P技术详解>系列文章 ➊ 本 ...
- 015. P2P技术详解(一):NAT详解——详细原理、P2P简介
http://www.52im.net/thread-50-1-1.html 这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层 ...
- P2P技术详解(一):NAT详解——详细原理、P2P简介
目录 1. IPv4协议和NAT的由来 2. NAT的工作模型和特点 2.1.NAT的概念模型 2.2.一对一的NAT 2.3.一对多的NAT 2.4.按照NAT端口映射方式分类 2.4.1全锥形NA ...
最新文章
- 【转】工厂模式面向接口编程
- Java并发编程—锁的基本概念
- ImageSharp一个专注于NetCore平台图像处理的开源项目
- 【渝粤题库】陕西师范大学210014幼儿园科学教育作业(高起专)
- 面向对象的Python编程,你需要知道这些!
- 全球AI人才只有2万多,仅3000人在求职 | 报告
- CSS(九)元素隐藏和利弊
- Java中级工程师面试题
- rinetd端口转发工具
- ArcGIS教程:MapGIS转换shp攻略
- 小程序倒计时页面跳转
- Python常用模块15-python的configparser模块
- 使用RedRocket方便的查看证券数据
- 一文看懂各种无线信道衰落的特征及分类
- Kafka学习笔记: Kafka 百惑梳理
- CPU卡读写操作函数
- Lucene 和 Kibana、ElasticSeach、Spring Data ElasticSearch
- TIME_WAIT和CLOSE_WAIT状态区别
- 彻底弄懂base64的编码与解码原理
- Excel2010分成两个或者多个独立窗口