Entendiendo ASPF
El filtro de paquetes específico de la aplicación o Application Specific Packet Filter (ASPF), también llamado filtrado de paquetes con estado, puede detectar automáticamente la información de la capa de la aplicación de ciertos paquetes y crear reglas de acceso basadas en la información de la capa de la aplicación (generar un mapa del servidor).
Por ejemplo, para protocolos multicanal (como FTP, H.323 y SIP), la dirección y el puerto de un canal de datos deben negociarse en un canal de control, y luego el canal de datos se puede establecer en función del resultado de la negociación. El administrador no puede predecir la dirección y el puerto del canal de datos, ya que se negocian dinámicamente. Por lo tanto, es imposible que el administrador configure políticas de seguridad precisa y completa. Para garantizar el establecimiento adecuado del canal de datos, es necesario abrir todos los puertos, lo que conlleva el riesgo de ser atacado al servidor o cliente.
Después de que se habilita ASPF, el FW genera automáticamente un mapa de servidor basado en la información de dirección y puerto transportada en la capa de aplicación del paquete de negociación, permitiendo que el paquete subsiguiente establezca un canal de datos. Esto equivale a crear automáticamente una política de seguridad refinada.
Entendiendo ALG
En escenarios NAT, la función Application Level Gateway (ALG) puede detectar automáticamente la información de la capa de aplicación de ciertos paquetes, generar las reglas de acceso correspondientes basadas en la información de la capa de aplicación (generar un mapa del servidor) y traducir automáticamente la dirección IP y la información del puerto en cargas útiles de paquetes.
La NAT común traduce solo la dirección IP y el puerto en el encabezado del paquete, pero no los datos de la capa de aplicación. En muchos protocolos de la capa de aplicación, la carga útil del paquete también contiene la dirección o la información del puerto. Si los datos no se traducen, la comunicación posterior puede ser anormal.
ALG le permite crear las reglas de acceso correspondientes basadas en la información de la capa de aplicación y realizar NAT en los datos de la capa de aplicación.
Comparación entre ASPF y ALG
ASPF y ALG usan la misma configuración y solo se diferencian en la forma en que el FW procesa los paquetes. Por tanto, tienen diferentes nombres. ASPF es para escenarios que no son NAT y ALG es para escenarios NAT.
Tabla 1 Comparación entre ASPF y ALG
Elemento | ASPF | ALG |
Escenario de aplicación | Escenario Non-NAT | Escenario NAT |
Ya sea para modificar la información de la capa de aplicación de los paquetes. | La información de la capa de aplicación no se modifica. | La información de la capa de aplicación no se modifica. |
Saludos.
FIN.
También te puede interesar:
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente