aspf

aspf

aspf(application specific packet filter)是針對套用層的包過濾,即基於狀態的報文過濾。它和普通的靜態防火牆協同工作,以便於實施內部網路的安全策略。aspf能夠檢測試圖通過防火牆的套用層協定會話信息,阻止不符合規則的數據報文穿過。

基本信息

aspf簡介

為保護網路安全,基於acl規則的包過濾可以在網路層和傳輸層檢測數據包,防止非法入侵。aspf能夠檢測套用層協定的信息,並對套用的流量進行監控。

aspf還提供以下功能:

dos(denial of service,拒絕服務)的檢測和防範。

java blocking(java阻斷)保護網路不受有害java applets的破壞。

activex blocking(activex阻斷)保護網路不受有害activex的破壞。

支持連線埠到套用的映射,為基於套用層協定的服務指定非通用連線埠。

增強的會話日誌功能。可以對所有的連線進行記錄,包括連線時間、源地址、目的地址、使用連線埠和傳輸位元組數等信息。

aspf對套用層的協定信息進行檢測,通過維護會話的狀態和檢查會話報文的協定和連線埠號等信息,阻止惡意的入侵。

aspf能對如下協定的流量進行監測:ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。

功能檢測

qq/msn聊天的檢測

目前,為了節省有限的ip地址資源,絕大部分網路中都部署了nat設備提供地址轉換,不同內部網路中的用戶經過nat轉換後進行聊天。對於純文本聊天,由於在qq/msn伺服器中就保存了這兩個聊天用戶的地址映射信息,因此信息互動可以順利地通過qq/msn伺服器中轉。

當兩個用戶之間傳送檔案或進行音頻/視頻聊天時,為了減少qq/msn伺服器因中轉而消耗過大資源,希望兩個用戶的設備能夠直接互動大流量的檔案/音頻/視頻信息,但是傳統的nat設備沒法實現該需求。

通過在secpath防火牆的域間(私網和公網)啟動qq/msn檢測功能,從而讓防火牆在qq/msn聊天啟動時就創建地址映射關係,這樣兩個私網用戶就能直接傳送檔案和進行音頻/視頻聊天。

三元組aspf

secpath防火牆相當於一個五元組的nat設備,即防火牆上的每個會話的建立都需要五元組:源ip地址、源連線埠、目的ip地址、目的連線埠、協定號。只有這些元素都具備了,會話才能建立成功,報文才能通過。而一些像qq、msn等實時通訊工具,通過nat設備,卻需要按三元組處理:源ip地址,源連線埠、協定號。secpath防火牆為了適配類似qq、msn等通訊機制,變五元組處理方式為三元組方式,讓類似qq、msn等的通訊方式能夠正常的穿越。

配置

aspf的配置包括:

在安全區域間套用aspf策略

使能三元組aspf

1. 在安全區域間套用aspf策略

只有將定義好aspf策略套用到安全區域間,才能對通過兩個安全區域的流量進行檢測,包括qq/msn聊天信息。

請在域間視圖下進行下列配置。

預設情況下,未在安全區域間套用aspf策略。

使用detect all命令不能設定java阻斷和activex阻斷;使用undo detect all命令不能取消所設定的java阻斷和activex阻斷。

msn使用私有協定msnp,由於msnp的通話連線埠是隨機分配的,而防火牆開放的連線埠很少,當外網向區域網路發起呼叫請求時,防火牆無法解析msnp協定,無法知道外網主機的地址。這時需要打開udp的1000-9999號連線埠,以使防火牆能夠獲得msn的外網主機地址,使msn會話能夠順利進行。

由於msn同時使用tcp的1863和443號連線埠作為登錄和文字聊天的通道,所以需要打開以上兩個連線埠,使msn會話順利進行。

2. 使能三元組aspf

請在域間視圖下進行下列配置。

在域間的入方向或出方向上使能三元組aspf時,可以引用範圍為3000~3999的acl規則。預設情況下,禁止三元組aspf處理功能。

組網需求

在secpath防火牆上配置aspf檢測,檢測通過防火牆的ftp和http流量。要求:如果該報文是從trust區域向untrust區域發起ftp和http連線的返回報文,則允許其通過防火牆再進入trust區域,其他報文被禁止;並且,此aspf檢測策略能夠過濾掉來自外部網路伺服器2.2.2.11的http報文中的java applets。本例可以套用在本地用戶需要訪問遠程網路服務的情況下。

3. 配置步驟

# 配置aspf檢測策略,定義ftp和http協定的檢測逾時時間為3000秒。

[secpath] firewall session aging-time ftp 3000

[secpath] firewall session aging-time http 3000

# 配置acl 3101,拒絕所有tcp和udp流量進入內部網路。

[secpath] acl number 3101

[secpath-acl-adv-3101] rule deny ip

# 配置acl 2010,拒絕來自站點2.2.2.11的java applets報文。

[secpath] acl number 2010

[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0

[secpath-acl-basic-2010] rule permit source any

# 配置trust和untrust區域間出方向包過濾預設動作為允許。

[secpath] firewall packet-filter default permit interzone trust untrust direction outbound

# 配置在trust和untrust區域間上套用acl規則和aspf策略。

[secpath] firewall interzone trust untrust

[secpath-interzone-trust-untrust] packet-filter 3101 inbound

[secpath-interzone-trust-untrust] detect ftp

[secpath-interzone-trust-untrust] detect http

[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound

相關詞條

相關搜尋

熱門詞條

聯絡我們