多通道协议有哪些_SCTP协议

多通道协议有哪些_SCTP协议前言单通道协议:通信过程中只需要占用一个端口的协议,例如:www只需要占用80端口多通道协议:通信过程中需要占用两个或两个以下端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口使用单纯的包过滤方法,如何精确定义(端口级别)多通道协议所使用的端口呢?ASPF概述ASPF(Appl

大家好,欢迎来到IT知识分享网。

前言

单通道协议:通信过程中只需要占用一个端口的协议,例如:www只需要占用80端口

多通道协议:通信过程中需要占用两个或两个以下端口的协议。如FTP被动模式下需占用21号端口以及一个随机端口

 

使用单纯的包过滤方法,如何精确定义(端口级别)多通道协议所使用的端口呢?

ASPF概述

ASPF(Application Specific Packet Filter,应用层的包过滤)是一种针对应用层的包过滤技术,也称为基于状态的报文过滤。

多通道协议有哪些_SCTP协议

  • ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。生成的Server-map表,用于放行后续数据通道中的报文,相当于自动创建了一条精细的“安全策略”。
  • 以多通道协议(如FTP、SIP等)为例,这些多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口,然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的,管理员无法预知,因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立,只能放开所有端口,这样显然会给服务器或客户端带来被攻击的风险。此时,开启ASPF功能就可以避免这种风险。

了解Server-map表

  1. Server-map表是实现ASPF功能的基础之一。
  2. Server-map表用于放行某些在安全策略中无法明确放行的报文,是通过ASPF功能自动生成的精细“安全策略”,是FW上的“隐形通道”。
  3. ASPF功能可以检测某些报文的应用层信息,并将应用层信息中的关键数据记录在Serve-map表中。后续报文命中Server-map表直接放行或进行NAT,并建立会话,不受安全策略控制。
  4. 以多通道协议(如FTP、H.323、SIP等)的ASPF为例,这些多通道协议的应用通常需要建立控制通道和数据通道两个连接。控制通道建立后,通过控制通道协商后续数据通道的地址和端口,然后根据协商结果建立数据通道。FW通过动态检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表。后续的数据报文命中Server-map表被放行,从而成功建立数据通道。

FTP ASPF(主动模式)

以FTP协议的主动模式(服务器主动访问客户端)为例,FW检测PORT命令报文的应用层信息,将应用层携带的IP地址和端口记录在Server-map表中。

FTP主动模式下,客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道,然后使用PORT命令协商两者建立数据通道的端口号,协商出来的端口是yyyy。然后服务器主动向客户端的yyyy端口发起连接请求,建立数据通道。数据通道建立成功后再进行数据传输。

在配置安全策略时,如果只配置了允许客户端访问服务器的21端口的安全策略,即控制连接能成功建立。但是当服务器访问客户端yyyy端口的报文到达FW后,对于FW来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端,FW上就必须配置了安全策略允许其通过,如果没有配置服务器到客户端这个方向上的安全策略,该报文无法通过FW,导致数据通道建立失败。结果是用户能访问服务器,但无法请求数据。

如果通过安全策略解决此问题,数据通道使用的端口是在控制通道中临时协商出来的,具有随机性,无法精确预知,所以只能开放客户端的所有端口,这样就会给客户端带来安全隐患。ASPF功能正是为了解决此问题,

多通道协议有哪些_SCTP协议

由于PORT命令的应用层信息中携带了客户端的IP地址和向服务器随机开放的端口,FW通过分析PORT命令的应用层信息,提前预测到后续报文的行为方式,根据应用层信息中的IP和端口创建Server-map表。服务器向客户端发起数据连接的报文到达FW后命中该Server-map表项,不再受安全策略的控制。

多通道协议有哪些_SCTP协议

当我们把ASPF给关闭后,你会发现我们可以正常连接,但是无法显示数据

多通道协议有哪些_SCTP协议

<USG6000V1>display firewall session table 
2023-01-28 07:22:18.490 
 Current Total Sessions : 1
 ftp  VPN: public --> public  10.1.3.10:2070 --> 10.1.2.10:21
[USG6000V1]firewall detect ftp    # 打开对应协议的ASPF功能

FTP ASPF(被动模式)

FTP被动模式(客户端主动访问服务器)下,客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道,然后使用PASV命令协商两者建立数据通道的端口号,协商出来的端口是yyyy。然后客户端主动向服务器的yyyy端口发起连接请求,建立数据通道。数据通道建立成功后再进行数据传输。

在配置安全策略时,如果只配置了允许客户端访问服务器的21端口的安全策略,即控制连接能成功建立。但是当客户端访问服务器yyyy端口的报文到达FW后,对于FW来说,这个报文不是前一条连接的后续报文,而是代表着一条新的连接。要想使这个报文顺利到达服务器,FW上就必须配置了安全策略允许其通过,如果没有配置客户端到服务器的yyyy端口的安全策略,该报文无法通过FW,导致数据通道建立失败。结果是用户能访问FTP服务器,但无法请求数据。

多通道协议有哪些_SCTP协议

自定义服务端口号

多通道协议有哪些_SCTP协议

我们都指定ftp端口是20,21端口,但在工作中往往不会使用默认端口。当我们遇到类似的情况如何自定义服务端口

多通道协议有哪些_SCTP协议

31端口是什么应用层协议?此时就需要进行端口识别。端口识别是把非标准协议端口映射成可识别的应用层协议端口

# 命令行/页面创建自定义服务
ip service-set tcp_31 type object 16
 service protocol tcp destination-port 31

多通道协议有哪些_SCTP协议

# 命令行/web页面创建地址
[USG6000V1]ip address-set dmz_server_network type object
[USG6000V1-object-address-set-dmz_server_network]description ftp User-defined se
rvice port number   # 描述
[USG6000V1-object-address-set-dmz_server_network]address 10.1.2.0 0.0.0.255
 address 0 10.1.2.0 0.0.0.255

多通道协议有哪些_SCTP协议

# 进行服务端口映射,命令行及页面配置
[USG6000V1]acl 2000
[USG6000V1-acl-basic-2000]rule permit source 10.1.2.0 0.0.0.255
[USG6000V1]port-mapping FTP port 31 acl 2000  # 把去往acl 2000端口号为31的识别成FTP

多通道协议有哪些_SCTP协议

Cilent测试FTP能否正常访问

多通道协议有哪些_SCTP协议

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/29800.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信