ASPF概述
ASPF( Application Specific Packet Filter) 是一种高级通信过滤,它检查应用层协议信息并且监控应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。ASPF是针对应用层的包过滤。
ASPF对多通道协议的支持
在多通道协议中,如FTP,控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的。为了避免协商出来的通道不因其他规则的限制(如ACL)而中断,需要临时开启一个通道,ServerMap表就是为了满足这种应用而设计的一种数据结构。
从图中可以看出,ServerMap表项是对FTP控制通道中动态监测过程中产生的。当报文通过防火墙时,ASPF将报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文将被直接丢弃。
如果该报文时用于打开一个新的控制连接或数据连接,ASPF将动态的产生ServerMap表项,对于回来的报文只有是属于一个已经存在的有效连接才会被允许通过防火墙。在处理回来的报文时,状态表也需要更新。当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能穿过防火墙。
- ServerMap是一种映射关系,当数据连接匹配了动态ServerMap表项时,不需要再查找包过滤策略,保证了某些特殊应用的正常转发。
- ServerMap通常只是用来检查首个报文,通道建立后的报文还是根据会话表来转发。