De acuerdo

Conociendo la función ASPF/ALG utilizado en firewall de Huawei.

Última respuesta oct. 12, 2021 14:54:02 235 1 6 0 0

Entendiendo ASPF

El filtro de paquetes específico de la aplicación o Application Specific Packet Filter (ASPF), también llamado filtrado de paquetes con estado, puede detectar automáticamente la información de la capa de la aplicación de ciertos paquetes y crear reglas de acceso basadas en la información de la capa de la aplicación (generar un mapa del servidor).

 

Por ejemplo, para protocolos multicanal (como FTP, H.323 y SIP), la dirección y el puerto de un canal de datos deben negociarse en un canal de control, y luego el canal de datos se puede establecer en función del resultado de la negociación. El administrador no puede predecir la dirección y el puerto del canal de datos, ya que se negocian dinámicamente. Por lo tanto, es imposible que el administrador configure políticas de seguridad precisa y completa. Para garantizar el establecimiento adecuado del canal de datos, es necesario abrir todos los puertos, lo que conlleva el riesgo de ser atacado al servidor o cliente.

 

Después de que se habilita ASPF, el FW genera automáticamente un mapa de servidor basado en la información de dirección y puerto transportada en la capa de aplicación del paquete de negociación, permitiendo que el paquete subsiguiente establezca un canal de datos. Esto equivale a crear automáticamente una política de seguridad refinada.

 

Entendiendo ALG

En escenarios NAT, la función Application Level Gateway (ALG) puede detectar automáticamente la información de la capa de aplicación de ciertos paquetes, generar las reglas de acceso correspondientes basadas en la información de la capa de aplicación (generar un mapa del servidor) y traducir automáticamente la dirección IP y la información del puerto en cargas útiles de paquetes.

 

La NAT común traduce solo la dirección IP y el puerto en el encabezado del paquete, pero no los datos de la capa de aplicación. En muchos protocolos de la capa de aplicación, la carga útil del paquete también contiene la dirección o la información del puerto. Si los datos no se traducen, la comunicación posterior puede ser anormal.

 

ALG le permite crear las reglas de acceso correspondientes basadas en la información de la capa de aplicación y realizar NAT en los datos de la capa de aplicación.


Comparación entre ASPF y ALG

ASPF y ALG usan la misma configuración y solo se diferencian en la forma en que el FW procesa los paquetes. Por tanto, tienen diferentes nombres. ASPF es para escenarios que no son NAT y ALG es para escenarios NAT.

 

Tabla 1 Comparación entre ASPF y ALG


Elemento

ASPF

ALG

Escenario de aplicación

Escenario Non-NAT

Escenario NAT

Ya sea para modificar la información de la capa de aplicación de los   paquetes.

La información de la capa de aplicación no se modifica.

La información de la capa de aplicación no se modifica.


Saludos.

 

FIN.


También te puede interesar:

Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei

Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei

Una introducción a las zonas de seguridad en un firewall de Huawei

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

 

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

 

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • convención:

edelchino
Publicado 2021-10-12 14:54:02
#EncuentraComunidadEnterprise2021
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.