防火墙技术之ASPF：应用层报文过滤

ASPF：Application Specific Packet Filter，针对应用层的包过滤

• 为了解决多通道协议的转发而引入。

•对这种协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为

其开放相应的访问规则，解决这些协议不能正常转发的问题。

• 并且动态生成Server-map表项（ASPF的实现基础），既简化了安全策略的配置又

确保了安全性。

•可以把ASPF看作是一种穿越FW的技术，ASPF生成的Server-map表项，相当于在

FW上打开了一个通道，使多通道协议的后续报文不受安全策略的控制，利用该通道

就可以穿越FW。

注：Server-map：该表项主要是用于存放一种映射关系，设备根据这种映射关系对报文的地址进行转换，并转发，不再受安全策略的控制。