ASPF applicationspecificpacketfilter,APP应用层的包过滤)也称为基于状态的消息过滤,aspf功能可以自动检测特定消息的APP应用层信息并APP
ALGapplicationlevelgateway )功能在NAT场景中自动检测特定消息的APP应用层信息,基于APP应用层信息释放相应的访问规则生成Server-map表),并生成消息
ASPF和ALG功能使用相同的配置,但不同的场景对FW消息的处理不同,因此称呼方式不同。 在非NAT场景中称为ASPF,在NAT场景中称为ALG。 ASPF功能性的主要目的是通过APP应用层协议的消息分析来释放合适的包过滤规则,而NAT ALG的主要目的是释放合适的NAT规则。
Server-map表是实现ASPF/ALG功能的基础之一。
Server-map表用于传递不能明确通过安全策略的消息,是由ASPF/ALG功能自动生成的精细“安全策略”,是FW上的“看不见的信道”
ASPF/ALG功能可检测特定消息的APP应用层信息,并将APP应用层信息中的重要数据记录在Serve-map表中。 随后的消息将命中Server-map表,直接发布或进行NAT,并建立会话,而不受安全策略的限制。
例如,对于多通道协议ASPF 如FTP、H.323和SIP ),应用这些多通道协议通常需要同时建立控制和数据通道连接。 控制通道建立后,通过控制通道协商后续数据通道的地址和端口,并根据协商结果建立数据通道。 FW通过动态检测协商消息的APP应用层拥有的地址和端口信息,自动生成相应的服务器映射表。 后续数据消息命中Server-map表并被释放,成功建立了数据通道。
firewall detectprotocol命令打开全局ASPF/ALG功能后
会话发起协议sip )可创建、修改一个或多个参与者的会话,例如语音呼叫、多媒体会议、虚拟现实等多媒体元素的交互式用户会话
SIP是多通道协议,呼叫对方除了建立用于传输信令的信令信道之外,还建立用于传输语音、视频等媒体数据的数据信道。 因此,SIP流量被分为沉默的樱桃和媒体流。 的樱桃通过UDP或TCP传输。 这包括呼叫双方的请求和响应消息。 媒体流通过RTP和RTCP传输,包含语音、视频等媒体数据消息。
要在更改ASPF/ALG配置例如关闭ASPF/ALG功能)后使配置立即生效,请在诊断视图中使用reset firewall server-map或reset firewall ipv6 server-map命令清除Server-map表时,必须清除相应的会话。 如果不清除,则无法清除Server-map表