j'ai compris

Explication détaillée et exemple de configuration du pare-feu ASPF

publié il y a  2021-9-19 15:38:10 155 0 0 0 0

Explication détaillée et exemple de configuration du pare-feu ASPF

Bonjour, aujourd'hui, je souhaite vous présenter le pare-feu. Cet article présente principalement le principe du pare-feu ASPF et utilise le simulateur Huawei eNSP pour créer un scénario d'application montrant la configuration liée à X d'ASPF.

ASPF

L'ASPF, Application Specific Packet Filter, applique le filtrage des paquets de couche et donne l'état du filtrage des messages. la session et vérifier le protocole et le numéro de port des messages de session. ASPF a été introduit pour résoudre le transfert de services spéciaux tels que les protocoles multicanaux. Ces protocoles négocient automatiquement certains ports aléatoires pendant le processus de communication. Les messages envoyés par ces ports aléatoires peuvent ne pas être transférés correctement sous des politiques de sécurité strictes. Grâce à la fonction ASPF, les données de la couche application de ces protocoles peuvent être analysées, les numéros de port négociés par ces protocoles peuvent être identifiés et les règles d'accès correspondantes peuvent être automatiquement développé pour eux afin de résoudre le processus selon lequel ces protocoles ne peuvent pas être transmis normalement.

Aider les datagrammes FTP à traverser les pare-feu

eNSP est utilisé pour simuler la mise en réseau d'un client FTP accédant au serveur FTP. Comme le montre la figure, le client FTP et le serveur FTP sont directement connectés au pare-feu. Le client FTP appartient à la zone de sécurité Trust et le serveur FTP appartient à la zone de sécurité Untrust.


1

20200829011548549

Comment configurer une politique de sécurité sur le pare-feu pour permettre aux clients FTP d'accéder au serveur FTP ? Il n'est pas facile d'autoriser les paquets FTP d'adresses IP de source et de destination spécifiques à passer entre la zone de confiance et la zone de non-confiance.

[FW] policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound] policy 1
[FW-policy-interzone-trust-untrust-outbound-1] policy source 192.168.0.10
[FW-policy-interzone-trust-untrust-outbound-1] policy destination 172.16.0.10

La configuration est terminée, utilisation dans le client FTP eNSP pour accéder au serveur FTP, accès impossible ! Retournez vérifier les informations de configuration, constatez que la politique de sécurité 1 doit être touchée par les statistiques, expliquez que la stratégie doit prendre effet.

Il s'agit de commencer par le point spécial du protocole FTP, le protocole FTP est un protocole multicanal typique, dans son processus de travail, le client FTP et le serveur FTP établiront deux connexions : la connexion de contrôle et la connexion de données. La connexion de contrôle est utilisée pour transférer des instructions et des paramètres FTP, y compris l'établissement des informations requises pour la connexion de données ; Les connexions de données sont utilisées pour récupérer des répertoires et transférer des données. Sur la base du mode d'initiation de la connexion de données, FTP peut fonctionner en deux modes : le mode actif (mode PORT) et le mode passif (mode PASV). En mode actif, le serveur FTP initie une connexion de données avec le client FTP. En mode passif, le serveur FTP reçoit passivement les connexions de données initiées par le client FTP.

En résumé, ASPF peut générer dynamiquement des entrées de mappe de serveur en fonction des informations de la couche d'application de paquets, simplifiant la configuration des politiques de sécurité et garantissant la sécurité. ASPF peut être considéré comme une technologie de traversée de pare-feu. Les entrées de mappage de serveur générées par ASPF ouvrent un canal sur le pare-feu afin que les paquets suivants de protocoles multicanaux tels que FTP ne soient pas contrôlés par les politiques de sécurité et puissent traverser le pare-feu via ce canal. En plus de FTP, le pare-feu prend également en charge ASPF pour d'autres protocoles multicanaux, tels que le protocole SessionInitiation (SIP) et le protocole de contrôle de passerelle média (h.323.mgcp), le protocole de contrôle de passerelle média). Pour plus de détails, consultez la documentation du pare-feu.

Merci pour votre soutien. Merci.

t_0002.gif


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.