Server-map表在ASPF/ALG中的作用(多通道协议的应用通常需要建立控制通道和数据通道两个连接)

Server-map表在ASPF/ALG中的作用

Server-map表是实现ASPF/ALG功能的基础之一。
Server-map表用于放行某些在安全策略中无法明确放行的报文，是通过ASPF/ALG功能自动生成的精细“安全策略”，是FW上的“隐形通道”。
ASPF/ALG功能可以检测某些报文的应用层信息，并将应用层信息中的关键数据记录在Serve-map表中。后续报文命中Server-map表直接放行或进行NAT，并建立会话，不受安全策略控制。
以多通道协议（如FTP、H.323、SIP等）的ASPF为例，这些多通道协议的应用通常需要建立控制通道和数据通道两个连接。控制通道建立后，通过控制通道协商后续数据通道的地址和端口，然后根据协商结果建立数据通道。FW通过动态检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表。后续的数据报文命中Server-map表被放行，从而成功建立数据通道。
以FTP协议的主动模式（服务器主动访问客户端）为例，FW检测PORT命令报文的应用层信息，将应用层携带的IP地址和端口记录在Server-map表中。
FTP主动模式的ASPF

在FW上查看生成的Server-map表。
<sysname> display firewall server-map
Type: ASPF, 2.2.2.2 -> 1.1.1.1:yyyy, Zone: ---
   Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:57
   VPN: public -> public
yyyy端口即客户端通过控制通道向服务器开放的数据端口。后续服务器（2.2.2.2）主动访问客户端（1.1.1.1）的yyyy端口数据报文由于匹配了该Server-map表而被放行。
对于ASPF/ALG类型的Server-map表，只有相应的流量经过设备时，才会生成相应的Server-map表。