状态防火墙是什么？

1、ASPF基本概念

Java阻塞是对通过HTTP协议发送的Java小程序的拦截。配置Java Blocking将阻止用户发送的请求语句，用户将在网页上搜索Java Applets程序。

1）单通道和多通道协议

单通道协议：从会话创建到删除，只有一个通道用于SMTP和HTTP等数据交换。

多信道协议：包括多个控制或数据信道，这些信道与多个控制信道交互，用于控制信息和数据传输，如FTP和RTSP。

为了保护内部网络，通常必须在路由器上配置访问控制列表，以便内部网络中的主机可以访问外部网络，但外部网络中的主持人无法访问内部网络。但是，访问控制列表会过滤用户建立连接后返回的消息。无法正确建立链接。

在设备上配置应用层协议测试后，ASPF可以检测应用层会话，并生成状态表条目和临时访问控制列表（TACL）。

如果ASPF在指定的时间段内保持会话状态，并检测到确认会话状态转换正确的第一条发送消息，则会创建一个状态表条目。

2）临时访问控制列表和状态表中的表条目将同时创建，并在会话结束后删除。TACL主要用于匹配会话中返回的所有数据包，您可以在防火墙的外部接口中为特定应用程序返回的数据集设置临时返回通道。以下是FTP测试示例，说明了多通道应用层协议测试的过程。

建立FTP连接的过程如下：假设FTP客户端从FTP服务器的1333端口开始，连接到FTP控制通道的21端口，通过协商，数据通道连接从FTP服务器20端口开始，到FTP客户端1600端口结束。

FTP检查处理从FTP连接到反向组件过程的过程，如下所示：

A 在发送接口中检查外部发送的IP数据包，验证是否为基于TCP的FTP数据包。

B 检查端口号，确认连接是否为控制连接，并为返回的消息设置TACL和状态表条目。

C 检查FTP控制连接消息，解析FTP语句，并按照说明更新状态表条目。如果有设置数据通道的命令，请为数据连接创建TACL。数据连接不执行状态测试。

D 根据日志类型验证返回的消息是否一致。协议中的状态表条目和TACL决定消息是否可以传递。

删除FTP连接时，状态表和TACL也将被删除。

单通道应用层协议（如SMTP和HTTP）的测试相对简单。启动连接时设置TACL，删除连接时删除TACL。

3）传输层协议检查的基本原理

传输层协议的测试是典型的TCP/UDP测试。一般TCP/UDP测试和应用层协议测试的区别在于，源检测消息的传输层信息，如目的地地址和端口号。一个常见的TCP/UDP检测要求是返回到外部ASPF接口的消息源。必须与目标地址和端口号完全匹配，否则返回的消息将被阻止。因此，对于FTP和H.323等多通道应用层协议，如果在没有应用层测试的情况下直接配置TCP测试，则可能无法建立数据连接。