状态检测防火墙用在哪

第1篇：状态检测防火墙用在哪

计算机安全状态检测和防Dos攻击防火墙

状态检测和防Dos攻击防火墙

摘要：针对DoS(DenialofService)拒绝服务攻击 ,在分析DoS的攻击原理和现有的检测、防范手段的基础上 ,提出了一种检测、防范DoS的分布式模型 ,并提出了利用简单网络管理协议 (SNMP)技术实现该模型的方案 ,分析了实现后的检测系统自身的安全性 .研究结果表明 ,分布式检测防范模型能在一定程度上对付DoS攻击 ,能在更高的层面处理分布式攻击 .利用类似的方法还可以检测其他的入侵攻击。

关键词：状态检测，防Dos攻击，防火墙

引言：

互联网的发展，极大的推动了整个社会的发展，QQ:18078197081在社会、经济、教育和娱乐等各方面都产生了重大的影响。互联网与人们的生活越来越紧密，人们通过网络互相交流，共享一些资源，互联网也缩小了人们地理上的距离，我们生活的这个星球也被称为“地球村”。

与此同时，网络安全也成为了人们关注的焦点。病毒、网络攻击等术语也越来越经常出现在人们的面前。 政府或公司的机密数据被黑客盗取、个人计算机被病毒感染造成重要数据被删除等这些事件时常发生。网络安全已经成为政府、科研机构和公司关注的一个焦点。网络攻击手段的不断升级，其破坏性也越来越大，造成的损失也就越来越多。在这些网络攻击中，拒绝服务(DenialofService，DoS)攻击作为一种重要的网络攻击手段，该攻击主要利用了网络协议的缺陷。由于DoS攻击的原理简单，攻击的工具也能够很容易的得到，因此利用它对受害主机进行攻击占了网络攻击中的近一半，其造成的损失也比较高。

1防火墙的概念

防火墙是一种用来加强网络之间访问控制的特殊网络设备，常常被安装在受保护的内部网络连接到Internet的结点上。它对传输的数据包和连接方式按照一定的安全策略进行检测，从而决定网络之间的通信是否允许。防火墙能有效控制内部网络和外部网络之间的访问及数据传输，从而达到保护内部网络信息不受外部非授权用户的访问和对不良信息的过滤。

2状态检测防火墙

状态检测防火墙又称动态报过滤，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有QQ:18078197081关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟QQ:18078197081连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。这是第三代防火墙技术，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤 进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠 与应用层有关的代理，而是依靠某种算法来识别进出

的应用层数据，这些算法通 过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

2.1状态检测型防火墙工作原理

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核QQ:18078197081心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。

2.2 状态检测型防火墙优点

(1)安全性好

状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中;然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。

(2)性能高效

状态检测防火墙工作在协议栈的较低层，通过防火墙的所有的数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议头的开销，执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。

(3)扩展性好

状态检测防火墙不像应用网关式防火墙那样，每一个应用对应一个服务程序，这样所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。

(4)配置方便,应用范围广

状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用(DNS、WAIS、Archie等)等。对于无连接的协议，连接请求和应答没有区别，包过滤

1

防火墙和应用网关对此类应用要么不支持，要么开放一个大范围的UDP端口，这样暴露了内部网，降低了安全性。

2.3状态防火墙的缺点

包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施，但又不能满足建立精细规则的要求，并不能分析高级协议中的数据。应用网络关防火墙的每个连接都必须建立在为之创建的有一套复杂的协议分析机制的代理程序进程上，这会导致数据延迟的现象。

状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷，不能满足用户对于安全性的不断的要求，于是深度包检测防火墙技术被提出了。

3防Dos攻击防火墙

DoS(Denial of Service拒绝服务)和DoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一。

3.1Dos攻击原因

(1)软件弱点造成的漏洞。这包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商，所以对于由软件引起的漏洞只能依靠打补丁来弥补。

(2)错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置、服务器系统或者应用程序中，大多是由于一些没经验、不负责任员工或者错误的理论所造成。因此我们必须保证对网络中的路由器、交换机等网络连接设备和服务器系统都进行正确的配置，这样才会减小这些错误发生的可能性。

(3)重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支持能力时就会造成拒绝服务攻击

3.2防Dos攻击

首先是加固操作系统，即对各种操作系统参数进行配置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数，可提高系统的抗攻击能力。例如，DoS攻击的典型种类——SYN Flood，利用TCP/IP协议漏洞发送大量伪造的TCP连接请求，以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数：可等待的数据包的链接数和超时等待数据包的时间长度。用户可以将数据包的链接数从缺省值128或512修改为2048或更大，加长每次处理数据包队列的长度，以缓解和消化更多数据包的攻击;此外，用户还可将超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包。但通常这些方法的防攻击能力非常有限。

其次是利用防火墙，通常有2种算法技术。一是Random Drop算法，当流量达到一定的阀值时，按照算法规则丢弃后续报文，以保持主机的处理能力。其不足是会误丢正常的数据包，特别是在大

2

流量数据包的攻击下，正常数据包犹如九牛一毛，容易随非法数据包被拒之网外。另一种是SYN Cookie算法，采用6次握手技术，极大地降低了受攻率。其不足是依据列表查询，当数据流量增大时，列表急剧膨胀，计算量随之提升，容易造成响应延迟乃至系统瘫痪。此外，DoS攻击种类较多，而防火墙只能抵挡有限的几种。

还有，就是负载均衡技术，也就是把应用业务分布到几台不同的服务器上，甚至不同的地点。采用循环DNS服务或者硬件路由器技术，将进入系统的请求分流到多台服务器上。这种方法的不足之处是投资比较大，维护费用高，通常很少有企业专为防DoS攻击而专门建一套负载均衡系统。

综上所述，采用传统方法对流量小、针对性强、结构简单的个别DoS攻击进行防范还是很有效的。然而，随着网络应用的深入和网络带宽的增长，DoS攻击呈现出新的迹象：利用多攻击源进攻单一目标和路由器的多点传送功能，高倍扩大了攻击流量;采用更加智能化的技术，试图绕过防火墙防御体系，并躲过IDS的检测跟踪;借助多种DoS攻击手段，瓦解已有防御方案。所以，传统的防范手段已是捉襟见肘。尤其是具有网上交易业务或具有关键、绝密信息流通的企业以及政府部门，急切需要反大流量、防多类型DoS攻击的新技术出现。

3.3针对SYN Flood 防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。

YN网关防火墙收到客户端的SYN包时，直接转发给服务器;防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

被动式SYN网关设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。

SYN中继防火墙在收到客户端的SYN 包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送 SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。

3 4 结束语

防火墙作为网络安全方面的一个重要产品，在维护网络安全中做出了重要的贡献。防火墙作为网络安全方面的一个重要产品随着网络技术的发展也在不断的提高和完善。

DoS攻击作为网络攻击中的一个重要手段，主要是利用网络协议设计上的漏洞，造成的损失大，并且难以防范。单纯的包过滤防火墙只能对数据包进行简单的过滤，很难适应发展的网络防御要求。状态检测防火墙作为防火墙发展中的一个里程碑，由于它对数据包的检测与先前的数据包相关联，使其对DoS攻击的防御成为可能。

本文正是针对上述的问题，以状态检测防火墙为基础，对各种常见DoS攻击原理和方法做了介绍，在深入分析状态检测防火墙源代码的基础上，对防DoS攻击的问题进行了研究和探索。

参考文献：

[1]王雅超;基于主机资源保护防御DoS攻击的算法及实现[D];北京林业大学;2007年 [2]韦宝兴;ISDNIAD防火墙的设计与实现[D];西南交通大学;2006年

[3]熊太松;状态检测和防DoS攻击防火墙的设计及实现[D];电子科技大学;2006年

第2篇：状态防火墙

防火墙技术之--状态防火墙(ASPF)1

2009-08-22 19:06:52 标签：防火墙 状态 ASPF 技术

应用状态防火墙技术介绍

前面讲到了包过滤防火墙的一些细节东西，大家可以发现我一直强调包过滤的核心在于ACL，ACL起源于防火墙的需要，但是应用远远不止于防火墙。ACL需要提前定义分类数据包，然后跟packet filtering进行接口绑定然后对流经接口的数据包进行ACL匹配，如果匹配便根据firewall定义的permit还是deny对数据包进行允许还是拒绝(丢弃)处理，如果不匹配ACL那么就将数据包丢给全局防火墙默认策略处理，对于默认策略各家厂商定义不同，也可以自定义.

那么从包过滤技术的分析中大家可以看到，包过滤是静态的，静态的原因在于提前需要定义ACL及策略，而且包过滤关注协议的IP层，也就是三层以下.这样来说她的处理就显的简单而单一.熟悉网络技术的人都知道，其实我们的业务应用更加复杂，除了复杂的协议状态机转换，许多的协议都是多通道的，这样来说这些状态及应用层信息一般来说都非静态的，会根据报文的交互进行状态机转换.所以包过滤将显的心有余而力不足.在这样的需求下基于应用状态的防火墙技术(ASPF)诞生了. 那么ASPF采用什么样的方式来处理数据包呢?首先ASPF所关心的对象已经发生变化，不再是IP包头，不再是单纯的五元组信息，而是关心技术IP层的连接的数据流信息，当然这个数据流信息包括如TCP的三次握手建连接，四次握手终结连接的状态机FSM变化，还包括应用层如FTP协议的控制与数据通道的建立及解除等等.那么在这个过程中有这样几个问题需要注意：

1)ASPF关注数据流，那么如何识别一条数据流?

ASPF的处理一般是基于session(会话)的，所有属于同一会话的所有数据包都被堪称一条流并统一对待.那么会话是一个什么的东西呢?会话一般包括如下这样信息：

协议 状态(老化时间) 源IP(源端口)-->目的IP(目的端口) 目的IP(目的端口)<--源IP(源端口)

如上所示一条会话是有如上七元组来标示的，如果一个数据包可以匹配会话的话就称为同一数据流.

2)如何确定一应用性连接的正确性?

所谓的状态防火墙就是对协议的状态进行动态监控，如果状态转化不符合协议定义，那么这样的报文将被DROP掉.只有那些完全匹配符合协议状态机的报文将会呗正确投递到相应的模块进行处理.那么如何来确定一条应用性连接的正确性呢?答案就是状态转换表，也就是所谓的状态机(FSM).下面来举个例子说明： TCP的FSM：

NONE--->SYN_SENT，received TCP_SYN TCP_SENT--->SYN_RCV，received TCP_SYN_ACK

SYN_RCV--->ESTABLISH，received TCP_ACK

ESTABLISH--->ESTABLISH，received TCP_ACK

ESTABLISH--->TIN_WAIT，received TCP_FIN

FIN_WAIT--->FIN_WAIT，received TCP_ACK

FIN_WAIT--->FIN_WAIT，received TCP_FIN

FIN_WAIT--->CLOSED，received TCP_ACK 上面就详细的表述了TCP的FSM状态机转换及触发条件，会话会维护每种支持协议的状态机，ASPF会依赖会话管理模块进行状态动态监控以实现动态防火墙处理.还有一点需要注意的是，不同的系统可能对如UDP，ICMP这样的无状态的协议的定义是不同的，处理上也有一些差异，在这里不再详细讲述，轻关注会话管理详细讲解. 3)如何检测应用层内容的合法性(如Java applets)? ASPF还可以对应用层的报文的内容加以检测，如Java blocking等，对不信任站点的java阻断功能，当然这方面的ASPF检测是有限的，对于应用层数据的合法性的检测更多的依赖WEB过滤技术进行.Java Blocking是对通过HTTP协议传输的Java Applets程序进行阻断。当配臵了Java Blocking后，用户为试图在Web页面中获取包含Java Applets程序而发送的请求指令将会被阻断。 4)如何保证传输层(应用层)数据通道的正确建立?

传输层协议检测一般指通用的TCP/UDP检测，与应用层数据不同，传输层协议检测主要关注传输层数据(插口地址).对于ASPF要求返回aspf外部接口的报文要跟出ASPF接口报文完全匹配，也就是说五元组要完全匹配。否则返回的数据报文将被丢弃处理。

至此介绍了一些ASPF实现需要的一些概念，准备，那么下面将详细的介绍ASPF的细节. (未完待续，尽请关注防火墙技术之--状态防火墙2)

防火墙技术之--状态防火墙ASPF(2)

2009-08-22 21:07:11 标签：防火墙 状态 ASPF 技术

应用状态防火墙功能介绍

前面介绍了ASPF的基本原理，跟踪协议状态机以实现对应用层状态的动态监控，所以状态防火墙被称为动态防火墙。动态就在于状态机是动态变化的，这样的处理使得对数据的过滤更加周全，更加深入。本文想细致区分状态防火墙的功能，以期能更深入的了解状态防火墙技术。 综合来说ASPF可以具有如下几个方面的功能：

支持应用层协议检测，包括：FTP，HTTP，SMTP，RSTP，H323，SIP等



支持通用TCP、UDP通道检测 支持会话状态动态管理 支持IP分片报文检测

支持端口到应用的映射(PAM) 支持Java阻塞 支持会话日志与调试跟踪

下面将逐个对这些功能进行分析： 1.应用层协议检测

a.SMTP(简单邮件传输协议)：ASPF检测基于TCP/IP传输的SMTP应用，包括对SMTP协议状态机转换的检测，错误的状态报文将被阻塞或丢弃.

b.HTTP检测：HTTP是超文本传输协议，ASPF检测基于TCP/IP传输的HTTP应用，HTTP是无状态的协议因此ASPF检测应用协议的状态完全等同于通用TCP检测.对于HTTP协议，ASPF提供的对来自制定网段或主机的HTTP传输的Java applets的检测和过滤.

c.FTP检测：ASPF检测基于TCP/IP的FTP应用，包括对FTP控制通道的状态机进行检测，错误的状态转换报文将被阻塞丢弃.支持对PASV和PORT两种方式的数据通道协商的检测，并根据协商参数动态创建数据通道的会话状态表和临时访问控制列表. d.RSTP检测：RSTP实时流传输协议.ASPF检测基于TCP/IP传输的RSTP应用.包括对RSTP控制通道重媒体传输通道(基于UDP的RTP/RTCP)参数协商的检测，并动态创建媒体通道的会话状态表和临时访问控制列表.

e.H323检测：H323是ITU-U制定的分组网络的多媒体传输协议.ASPF检测基于TCP/IP传输的H323应用，包括对Q931呼叫信令的检测，用于检测和维护动态创建H245媒体控制通道，ASPF检测基于H245媒体控制通道重媒体传输通道(基于UDP的RTP/RTCP)参数协商的检测，并动态创建媒体通道的状态表和临时访问控制列表. 2.通用的TCP/UDP协议检测

ASPF检测TCP会话的发起和结束的状态转换过程，包括会话发起的3次握手和关闭的4次握手，根据这些状态来创建.更新和删除会话状态表和临时访问控制表.当检测到第一个临时访问控制和允许表项，以允许该会话所有的相关的报文能通过防火墙，而且它非相关报文则呗阻塞和丢弃，TCP检测是其他基于TCP应用层协议的基础. UDP协议没有连接和状态的概念.当ASPF检测到UDP会话发起的第一个数据包时，ASPF开始维护这些会话相关的状态，并创建一个TACL(临时访问控制列表)允许表项，ASPF以为发起方收到的第一个接受方回送的UDP数据流的时候，此会话建立其他的与此回话无关的报文则被阻塞和丢弃，UDP检测是其他基于UDP的应用层协议检测的基础。 3.会话状态动态管理

ASPF支持通过配臵会话超时时间实现会话状态信息的管理。用户可以通过对TCP的SYN等状态等待超时老化时间进行配臵管理，达到根据会话时间对会话状态进行管理的目的。 此外，在应用层协议检测中提到，对于存在状态机转换的应用层协议，ASPF也支持根据FSM的正确性与否管理会话状态信息的目的。ASPF可以实现会话状态的自动创建与删除。 4.IP分片报文检测

如果IP报文内容大于接口MTU的大小，数据包将会被分片，形成多个更小的IP包，在所有分片后的IP数据包中只有第一个分片包含了完整的IP包信息，其他分片只有IP地址信息。ASPF检测根据TCP的分片标识把收到的报文区分为非分片和分片首片及非首片报文三类报文。

ASPF记录所有被分片报文的状态信息以提供对分片报文正常检测和过滤的支持，对于首片报文，ASPF根据报文的IP层信息及IP层以外的信息创建会话状态表与TACL表，当所有后续分片到达时，ASPF使用保存的会话信息和TACL中的每一匹配条件进行精确匹配。

5.端口到应用的映射(PAM)

应用层协议使用通用的端口进行通信，PAM允许用户对不同应用定义一组新的端口号，用于应用使用非通用端口时的情况，如应用在81号端口提供http，就可以用PAM指定，从而知道81端口是http数据。 6.Java阻塞功能

由于恶意的applets对用户计算机资源造成破坏，用户需要限制未经用户允许的Java applets下载至用户网络中，Java blocking功能便可以实现对来自不可信任站点的applets的过滤。 而实现上是采用ACL定义站点的信任与否，当检测到报文是不可信任的站点的applets时采取丢弃操作。

(未完待续--请关注防火墙之--状态防火墙(3))

防火墙技术之---状态防火墙ASPF(3)

2009-08-23 09:41:09 标签：防火墙 ASPF 状态 技术

状态防火墙ASPF工作原理 一般来说跟其他安全业务一样，ASPF也是基于会话管理模块的，我们知道会话session是动态的，所以ASPF也是动态的，有状态跟踪的，另外ASPF的精髓还在于出报文打开一个安全的通道，返回报文在这个安全的通道中传输，而维护这个安全通道的依然是访问控制列表ACL，当然这儿的ACL称为临时访问控制列表TACL，之所以称为临时，因为它是动态的用过即删，首报文动态创建TACL，然后返回报文检查是否匹配TACL，如果完全匹配责放行，如果不匹配责丢弃。说来说去，大家也许可以看到之所以称状态防火墙ASPF是动态防火墙，原因在于两点： 1.ASPF是以session为基础的，session的动态性决定了ASPF的动态性。

2.ASPF需要创建TACL打开报文返回的安全通道，TACL是动态创建和删除的，所以注定ASPF是动态的。

理解了以上两点，那么你也就从心里开始接受ASPF了，因为这是ASPF的精华核心。下面介绍一下ASPF维护的两个表：

a 会话状态表

前面也讲到了会话表项是一个七元组：

协议 状态(老化时间) 源IP(源端口)-->目的IP(目的端口) 目的IP(目的端口)<--源IP(源端口)(用于返回报文匹配)

可以看出一条会话其实就可以理解为一个TCP连接(当然不一定是TCP会话)，会话状态表维护了一个会话中某一个时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否是正确的。session table是在检测到第一个报文时创建的，随着不同的状态触发条件会进入到不同的状态中并维护。ASPF于包过滤的最大区别就在于ASPF考虑到会话的上下文，不仅包括当前的会话状态，还记录了本次会话之前的通信信息，具有更好的灵活性与安全性，这也是ASPF动态过滤的关键。 b 临时访问控制列表TACL

虽然被称为TACL，但是它独立于ACL，更确切的说是利用了ACL访问控制的思想，是动态的，非静态配臵指定的。TACL在创建session table时创建，会话结束后自动删除，依赖于session的，从功能上说它相当于一个扩展的ACL的permit项，用于匹配一个会话中所有应答报文。

下面以FTP为例来说明一下ASPF多通道应用层协议检测的过程：

如上图所示假设FTP client向FTP server的21号端口发起FTP控制通道的连接，通过协商由服务器端的21端口想客户端的20号端口发起数据通道的连接，数据传输超时或结束连接删除。

FTP检测在FTP连接建立到关闭的过程中的处理如下：

1.检查从出接口向外发送的IP报文，确认为基于TCP的IP报文 2.检查端口号确认连接为控制连接，建立返回报文的TACL和session table

3.检查FTP控制连接报文，解析FTP指令，根据指令更新状态表，如果包含数据通道建立指令，则创建数据连接的临时访问控制列表，对数据连接不进行状态处理。

4.对于返回报文，根据协议类型做相应的匹配检查，检查将根据ingredients的协议的状态表和TACL决定报文是否允许通过。

5.FTP连接删除时，会话状态表及TACL随之删除。

以上介绍了ASPF是如何处理多通道协议的应用协议检查的。对于像SMTP.HTTP等单通道协议的检测过程就相对较为简单，当发起连接时建立会话状态表和TACL，连接删除是系统自动删除。

而对于传输层协议TCP/UDP检测，跟应用层协议检测不同，传输层协议检测只是简单的五元组信息检查，要求返回报文必须完全跟原报文sip，sport，dip，dport和proto一致才可以放行，否则直接丢弃。

上面介绍就是ASPF的工作原理。