aspf

aspf簡介

為保護網路安全，基於acl規則的包過濾可以在網路層和傳輸層檢測數據包，防止非法入侵。aspf能夠檢測套用層協定的信息，並對套用的流量進行監控。

aspf還提供以下功能：

dos（denial of service，拒絕服務）的檢測和防範。

java blocking（java阻斷）保護網路不受有害java applets的破壞。

activex blocking（activex阻斷）保護網路不受有害activex的破壞。

支持連線埠到套用的映射，為基於套用層協定的服務指定非通用連線埠。

增強的會話日誌功能。可以對所有的連線進行記錄，包括連線時間、源地址、目的地址、使用連線埠和傳輸位元組數等信息。

aspf對套用層的協定信息進行檢測，通過維護會話的狀態和檢查會話報文的協定和連線埠號等信息，阻止惡意的入侵。

aspf能對如下協定的流量進行監測：ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。

功能檢測

qq/msn聊天的檢測

目前，為了節省有限的ip地址資源，絕大部分網路中都部署了nat設備提供地址轉換，不同內部網路中的用戶經過nat轉換後進行聊天。對於純文本聊天，由於在qq/msn伺服器中就保存了這兩個聊天用戶的地址映射信息，因此信息互動可以順利地通過qq/msn伺服器中轉。

當兩個用戶之間傳送檔案或進行音頻/視頻聊天時，為了減少qq/msn伺服器因中轉而消耗過大資源，希望兩個用戶的設備能夠直接互動大流量的檔案/音頻/視頻信息，但是傳統的nat設備沒法實現該需求。

通過在secpath防火牆的域間（私網和公網）啟動qq/msn檢測功能，從而讓防火牆在qq/msn聊天啟動時就創建地址映射關係，這樣兩個私網用戶就能直接傳送檔案和進行音頻/視頻聊天。

三元組aspf

secpath防火牆相當於一個五元組的nat設備，即防火牆上的每個會話的建立都需要五元組：源ip地址、源連線埠、目的ip地址、目的連線埠、協定號。只有這些元素都具備了，會話才能建立成功，報文才能通過。而一些像qq、msn等實時通訊工具，通過nat設備，卻需要按三元組處理：源ip地址，源連線埠、協定號。secpath防火牆為了適配類似qq、msn等通訊機制，變五元組處理方式為三元組方式，讓類似qq、msn等的通訊方式能夠正常的穿越。

配置

aspf的配置包括：

在安全區域間套用aspf策略

使能三元組aspf

1. 在安全區域間套用aspf策略

只有將定義好aspf策略套用到安全區域間，才能對通過兩個安全區域的流量進行檢測，包括qq/msn聊天信息。

請在域間視圖下進行下列配置。

預設情況下，未在安全區域間套用aspf策略。

使用detect all命令不能設定java阻斷和activex阻斷；使用undo detect all命令不能取消所設定的java阻斷和activex阻斷。

msn使用私有協定msnp，由於msnp的通話連線埠是隨機分配的，而防火牆開放的連線埠很少，當外網向區域網路發起呼叫請求時，防火牆無法解析msnp協定，無法知道外網主機的地址。這時需要打開udp的1000-9999號連線埠，以使防火牆能夠獲得msn的外網主機地址，使msn會話能夠順利進行。

由於msn同時使用tcp的1863和443號連線埠作為登錄和文字聊天的通道，所以需要打開以上兩個連線埠，使msn會話順利進行。

2. 使能三元組aspf

請在域間視圖下進行下列配置。

在域間的入方向或出方向上使能三元組aspf時，可以引用範圍為3000～3999的acl規則。預設情況下，禁止三元組aspf處理功能。

組網需求

在secpath防火牆上配置aspf檢測，檢測通過防火牆的ftp和http流量。要求：如果該報文是從trust區域向untrust區域發起ftp和http連線的返回報文，則允許其通過防火牆再進入trust區域，其他報文被禁止；並且，此aspf檢測策略能夠過濾掉來自外部網路伺服器2.2.2.11的http報文中的java applets。本例可以套用在本地用戶需要訪問遠程網路服務的情況下。

3. 配置步驟

# 配置aspf檢測策略，定義ftp和http協定的檢測逾時時間為3000秒。

[secpath] firewall session aging-time ftp 3000

[secpath] firewall session aging-time http 3000

# 配置acl 3101，拒絕所有tcp和udp流量進入內部網路。

[secpath] acl number 3101

[secpath-acl-adv-3101] rule deny ip

# 配置acl 2010，拒絕來自站點2.2.2.11的java applets報文。

[secpath] acl number 2010

[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0

[secpath-acl-basic-2010] rule permit source any

# 配置trust和untrust區域間出方向包過濾預設動作為允許。

[secpath] firewall packet-filter default permit interzone trust untrust direction outbound

# 配置在trust和untrust區域間上套用acl規則和aspf策略。

[secpath] firewall interzone trust untrust

[secpath-interzone-trust-untrust] packet-filter 3101 inbound

[secpath-interzone-trust-untrust] detect ftp

[secpath-interzone-trust-untrust] detect http

[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound