一、题目
关于ASPF 和 Server-map 的说法,正确的是( )
A. Server-map 通常只是用检查首个报文通道建立后的报文还是根据会话表来转发
B. 通道建立后的报文还是根据 Server-map 来转发
C. Server-map 表项由于一直没有报文匹配,经过定老化时间后就会被删除。这种机制保证了Server-map 表项这种较为宽松的通道能够及时被删除;保证了网络的安全性。当后续发起新的数据连接时会重新触发建立Server-map 表项
D. 只有 ASPF 会生成Sever-map表
二、答案
AC
三、解析
1. 选项A解析:Server-map 表的核心作用是辅助建立会话通道,首个报文通过Server-map 检查并触发会话表建立后,后续报文不再依赖Server-map,而是根据会话表进行快速转发,因此A说法正确。
2. 选项B解析:通道建立后,报文会依据会话表转发,而非继续依赖Server-map 表,Server-map 表仅在通道建立初期发挥作用,因此B说法错误。
3. 选项C解析:Server-map 表项存在老化机制,若长期无报文匹配,会按时删除,避免宽松通道长期存在带来的安全隐患;当新的连接发起时,会重新触发Server-map 表项建立,保障连接正常建立,因此C说法正确。
4. 选项D解析:除了ASPF,静态配置的Server-map(如手动配置的端口映射)也会生成Server-map 表项,并非只有ASPF 能生成,因此D说法错误。
四、扩展——ASPF与Server-map的核心关联
1. ASPF(应用层状态检测防火墙):属于动态防火墙技术,能够感知应用层协议(如FTP、HTTP)的会话状态,动态生成Server-map 表项和会话表,解决传统包过滤防火墙无法处理动态端口应用的问题。
2. Server-map 表:本质是“地址+端口”的映射表,分为静态和动态两类——静态由手动配置,动态由ASPF 触发生成;其核心作用是为首个报文提供转发依据,触发会话表建立,实现动态通道的打通。
3. 转发逻辑总结:首个报文→匹配Server-map 表→触发会话表建立→后续报文→匹配会话表→快速转发,老化机制保障网络安全与资源合理利用。