操作手册 安全分册 防火墙 第 1 章 防火墙配置
1-3
1.1.2 ASPF 简介
包过滤防火墙属于静态防火墙,目前存在的问题如下:
z 对于多通道的应用层协议(如 FTP、H.323 等),部分安全策略配置无法预知。
z 无法检测某些来自传输层和应用层的攻击行为(如 TCP SYN、Java Applets
等)。
z 无法识别来自网络中伪造的 ICMP 差错报文,从而无法避免 ICMP 的恶意攻击。
z 对于 TCP 连接均要求其首报文为 SYN 报文,非 SYN 报文的 TCP 首包将被丢
弃。在这种处理方式下,当设备首次加入网络时,网络中原有 TCP 连接的非
首包在经过新加入的防火墙设备时均被丢弃,这会对中断已有的连接。
因此,提出了状态防火墙——ASPF 的概念。ASPF 能够实现的检测有:
z 应用层协议检测,包括 FTP、HTTP、SMTP、RTSP、H.323(Q.931、H.245、
RTP/RTCP)检测;
z 传输层协议检测,包括 TCP 和 UDP 检测,即通用 TCP/UDP 检测。
1. ASPF 的功能
ASPF 的主要功能如下:
z 能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于
连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被 ASPF 维
护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶
意的入侵。
z 能够检测传输层协议信息(即通用 TCP/UDP 检测),能够根据源、目的地址
及端口号决定 TCP 或 UDP 报文是否可以通过防火墙进入内部网络。
ASPF 的其它功能有:
z ASPF 不仅能够根据连接的状态对报文进行过滤,还能够对应用层报文的内容
加以检测,提供对不可信站点的 Java Blocking 功能,用于保护网络不受有害
的 Java Applets 的破坏。
z 增强的会话日志功能。可以对所有的连接进行记录,包括:连接的时间、源地
址、目的地址、使用的端口和传输的字节数。
z 支持 PAM(Port to Application Map,应用协议端口映射),允许用户自定义
应用层协议使用非通用端口。
z 支持 ICMP 差错报文检测。正常 ICMP 差错报文中均携带有本报文对应连接的
相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前
配置决定是否丢弃该 ICMP 报文。
剩余18页未读,继续阅读
xiaoli8748_软件开发
- 粉丝: 1w+
- 资源: 1436
我的内容管理
展开
最新资源
- zlib-1.2.12压缩包解析与技术要点
- 微信小程序滑动选项卡源码模版发布
- Unity虚拟人物唇同步插件Oculus Lipsync介绍
- Nginx 1.18.0版本WinSW自动安装与管理指南
- Java Swing和JDBC实现的ATM系统源码解析
- 掌握Spark Streaming与Maven集成的分布式大数据处理
- 深入学习推荐系统:教程、案例与项目实践
- Web开发者必备的取色工具软件介绍
- C语言实现李春葆数据结构实验程序
- 超市管理系统开发:asp+SQL Server 2005实战
- Redis伪集群搭建教程与实践
- 掌握网络活动细节:Wireshark v3.6.3网络嗅探工具详解
- 全面掌握美赛:建模、分析与编程实现教程
- Java图书馆系统完整项目源码及SQL文件解析
- PCtoLCD2002软件:高效图片和字符取模转换
- Java开发的体育赛事在线购票系统源码分析
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
