aspf簡介
為保護網路安全,基於acl規則的包過濾可以在網路層和傳輸層檢測數據包,防止非法入侵。aspf能夠檢測套用層協定的信息,並對套用的流量進行監控。
aspf還提供以下功能:
dos(denial of service,拒絕服務)的檢測和防範。
java blocking(java阻斷)保護網路不受有害java applets的破壞。
activex blocking(activex阻斷)保護網路不受有害activex的破壞。
支持連線埠到套用的映射,為基於套用層協定的服務指定非通用連線埠。
增強的會話日誌功能。可以對所有的連線進行記錄,包括連線時間、源地址、目的地址、使用連線埠和傳輸位元組數等信息。
aspf對套用層的協定信息進行檢測,通過維護會話的狀態和檢查會話報文的協定和連線埠號等信息,阻止惡意的入侵。
aspf能對如下協定的流量進行監測:ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。
功能檢測
qq/msn聊天的檢測
目前,為了節省有限的ip地址資源,絕大部分網路中都部署了nat設備提供地址轉換,不同內部網路中的用戶經過nat轉換後進行聊天。對於純文本聊天,由於在qq/msn伺服器中就保存了這兩個聊天用戶的地址映射信息,因此信息互動可以順利地通過qq/msn伺服器中轉。
當兩個用戶之間傳送檔案或進行音頻/視頻聊天時,為了減少qq/msn伺服器因中轉而消耗過大資源,希望兩個用戶的設備能夠直接互動大流量的檔案/音頻/視頻信息,但是傳統的nat設備沒法實現該需求。
通過在secpath防火牆的域間(私網和公網)啟動qq/msn檢測功能,從而讓防火牆在qq/msn聊天啟動時就創建地址映射關係,這樣兩個私網用戶就能直接傳送檔案和進行音頻/視頻聊天。
三元組aspf
secpath防火牆相當於一個五元組的nat設備,即防火牆上的每個會話的建立都需要五元組:源ip地址、源連線埠、目的ip地址、目的連線埠、協定號。只有這些元素都具備了,會話才能建立成功,報文才能通過。而一些像qq、msn等實時通訊工具,通過nat設備,卻需要按三元組處理:源ip地址,源連線埠、協定號。secpath防火牆為了適配類似qq、msn等通訊機制,變五元組處理方式為三元組方式,讓類似qq、msn等的通訊方式能夠正常的穿越。
配置
aspf的配置包括:
在安全區域間套用aspf策略
使能三元組aspf
1. 在安全區域間套用aspf策略
只有將定義好aspf策略套用到安全區域間,才能對通過兩個安全區域的流量進行檢測,包括qq/msn聊天信息。
請在域間視圖下進行下列配置。
預設情況下,未在安全區域間套用aspf策略。
使用detect all命令不能設定java阻斷和activex阻斷;使用undo detect all命令不能取消所設定的java阻斷和activex阻斷。
msn使用私有協定msnp,由於msnp的通話連線埠是隨機分配的,而防火牆開放的連線埠很少,當外網向區域網路發起呼叫請求時,防火牆無法解析msnp協定,無法知道外網主機的地址。這時需要打開udp的1000-9999號連線埠,以使防火牆能夠獲得msn的外網主機地址,使msn會話能夠順利進行。
由於msn同時使用tcp的1863和443號連線埠作為登錄和文字聊天的通道,所以需要打開以上兩個連線埠,使msn會話順利進行。
2. 使能三元組aspf
請在域間視圖下進行下列配置。
在域間的入方向或出方向上使能三元組aspf時,可以引用範圍為3000~3999的acl規則。預設情況下,禁止三元組aspf處理功能。
組網需求
在secpath防火牆上配置aspf檢測,檢測通過防火牆的ftp和http流量。要求:如果該報文是從trust區域向untrust區域發起ftp和http連線的返回報文,則允許其通過防火牆再進入trust區域,其他報文被禁止;並且,此aspf檢測策略能夠過濾掉來自外部網路伺服器2.2.2.11的http報文中的java applets。本例可以套用在本地用戶需要訪問遠程網路服務的情況下。
3. 配置步驟
# 配置aspf檢測策略,定義ftp和http協定的檢測逾時時間為3000秒。
[secpath] firewall session aging-time ftp 3000
[secpath] firewall session aging-time http 3000
# 配置acl 3101,拒絕所有tcp和udp流量進入內部網路。
[secpath] acl number 3101
[secpath-acl-adv-3101] rule deny ip
# 配置acl 2010,拒絕來自站點2.2.2.11的java applets報文。
[secpath] acl number 2010
[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0
[secpath-acl-basic-2010] rule permit source any
# 配置trust和untrust區域間出方向包過濾預設動作為允許。
[secpath] firewall packet-filter default permit interzone trust untrust direction outbound
# 配置在trust和untrust區域間上套用acl規則和aspf策略。
[secpath] firewall interzone trust untrust
[secpath-interzone-trust-untrust] packet-filter 3101 inbound
[secpath-interzone-trust-untrust] detect ftp
[secpath-interzone-trust-untrust] detect http
[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound