在TCP/IP模型中,应用层提供常见的网络应用服务,如Telnet、HTTP、FTP等协议。而应用层协议根据占用的端口数量可以分为单通道应用层协议与多通道应用层协议。
1、单通道应用层协议:通信过程中只需占用一个端口的协议。例如: Telnet只需占用23端口,HTTP只需占用80端口;
2、多通道应用层协议:通信过程中需占用两个或两个以上端口的协议。例如:FTP被动模式下需要占用21号端口以及一个随机端口。
传统包过滤防火墙针对多通道应用层协议访问控制的不足:
1、传统的包过滤防火墙只能实现简单的访问控制;
2、传统的包过滤防火墙只能阻止一些使用固定端口的单通道协议的应用数据。
FTP两种模式:
1、主动模式
2、被动模式
不管哪种模式,FTP基于C/S架构工作,C/S之间会建立两个通道,一个是控制通道(交互ftp控制报文),第二个是数据通道(交互数据信息)
两种模式的区分:站在server角度区分,如果server主动发起数据通道连接,则是主动模式;如果server被动接收数据通道连接,就是被动模式。
不管是主动模式,还是被动模式。server监听21号端口,这个端口用于控制通道;20端口只会出现在主动模式,被动模式不会出现20端口。
1、控制通道,C/S之间使用ftp报文交互相关指令,例如用户名、密码、文件列表获取等指令;
2、数据通道,C/S之间以控制通道为基础传输数据,例如上传、下载文件数据等操作(数据通道依赖控制通道生成。
ASPF针对应用层包过滤技术,比如多通道协议穿越防火墙问题,可以使用该技术实现;如果不配置ASPF技术,防火墙无法检测多通道协议控制,通道所交互的相关载荷信息,导致后续数据通道无法穿越防火墙;如果启动ASPF功能,未来多通道报文穿越防火墙,就有能力检测多通道协议携带控制通道中交互的载荷信息,从而感知出动态端口、即后续的数据通道连接报文的特点。
ASPF如何让记录检测结果(动态端口,即ftp数据连接的特征)------>放入防火墙上的Server-Map表(ASPF类型的Server-map),流量抵达防火墙时,首先匹配会话表,如果没有匹配会话表,但是可以被Server-Map表匹配,则防火墙会把该流量直接放行,无需安全策略,会创建会话。
Server-map用于存放一种映射关系,这种映射关系可以是控制数据协商出来的数据连接关系,也可以是配置NAT中的地址映射关系,使得外部网络能透过设备主动访问内部网络。
