安全與aspf技術(shù)白皮書

1、：濾縮略語：sControlApplicationLevelApplicationSpecificPacket：濾縮略語：sControlApplicationLevelApplicationSpecificPacketDemilitarized FileHypertext NetworkBasicInput/OutputNetworkAddressorttoApplicationPo -to- RealTimeStreaming -概產(chǎn)生背概產(chǎn)生背協(xié)議檢TCP檢UDP檢2.3.1 Java阻斷和ActiveX阻ICMP差錯報文丟TCP首包非SYN報文丟2.3.5 .H3C實現(xiàn)的技術(shù)特1 一種

2、控制兩個網(wǎng)絡(luò)之間IP手濾技術(shù)是定義ACL規(guī)則來過濾IP數(shù)據(jù)包。對于需要轉(zhuǎn)發(fā)的數(shù)過濾首先獲取其包頭信息（包括IP地址、目的地址、源端口和目的端口等），然后與用戶設(shè)定的ACL規(guī)則進等、配置的ACL規(guī)模適中的情況下對設(shè)備的1 一種控制兩個網(wǎng)絡(luò)之間IP手濾技術(shù)是定義ACL規(guī)則來過濾IP數(shù)據(jù)包。對于需要轉(zhuǎn)發(fā)的數(shù)過濾首先獲取其包頭信息（包括IP地址、目的地址、源端口和目的端口等），然后與用戶設(shè)定的ACL規(guī)則進等、配置的ACL規(guī)模適中的情況下對設(shè)備的性能幾乎沒有影響。而且通常，IP據(jù)包通過。這種基于IP的濾濾和網(wǎng) 的需要以及各種 ernet第3頁共12濾。濾的濾濾。濾的濾2 ASPF第4頁共12 支持對應(yīng)用

3、層協(xié)議的 和連接狀態(tài)的檢測，這樣每一個應(yīng)用連接的狀態(tài)信息都將被 ASPF 并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過 或丟支持 Port to Application Map，應(yīng)用協(xié)議端口 ），允許用戶自定JavaActiveX阻斷功能，分別用于實現(xiàn)對來自于不信任站點的 Java applet 和 ActiveX 的過濾。ICMP ICMP 差錯報文中攜帶的連接信息，決定是否丟棄該 ICMP 報文。圖1 ASPF在協(xié)議棧中的位2.1 傳輸層協(xié)議檢測通常指通用TCP/UDP檢測。通用TCP/UDP信息（如報文的源地址、目的地址、傳輸層狀態(tài)等）進行圖1 ASPF在協(xié)議棧中的位2.1 傳輸層協(xié)議檢測通常指

4、通用TCP/UDP檢測。通用TCP/UDP信息（如報文的源地址、目的地址、傳輸層狀態(tài)等）進行的檢測。下文將TCP檢并圖2 ASPF的TCP狀態(tài)檢第5頁共12應(yīng)用傳輸層IP如圖2所示，F(xiàn)對Host向ostB發(fā)起的CP連接進行狀態(tài)檢測，對于建立連接的C的3次握手報文，允許其正常通過，并建立CP連接。在該過程中，對于TCHost UDP如圖2所示，F(xiàn)對Host向ostB發(fā)起的CP連接進行狀態(tài)檢測，對于建立連接的C的3次握手報文，允許其正常通過，并建立CP連接。在該過程中，對于TCHost UDPUDP協(xié)議沒有狀態(tài)的概念，ASPF的UDP檢測是指，針對UDP連接的地址和行的檢測。UDP檢測是其它基于U

5、DP的應(yīng)用協(xié)議檢測UDP檢測的具體過程為， 當(dāng)ASPF檢測到UDP連接發(fā)起方的第一個數(shù)據(jù)報時，ASPF此連接的信息。當(dāng)ASPF收到接收方回送的UDP數(shù)據(jù)報時，此連圖3 ASPF對UDP的連接檢如圖3所示，ASPF對UDP報文的地址和端口進行檢測，在UDP連接建立過程中，來自其它地址或端口的UDP報文丟棄。2.2 基于應(yīng)用的狀態(tài)檢測技術(shù)是一種基于應(yīng)用連接的報文狀態(tài)檢測機制。ASPF來匹配后續(xù)的報文。目前， ASPF支持進行狀態(tài)檢測的應(yīng)用協(xié)議包括FTPH.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET和H.323）和FTP協(xié)議會先使用約定的端口來初始化一個控制連接，然后再動態(tài)的選

6、第6頁共12擇用于數(shù)據(jù)傳輸?shù)亩丝?。濾無法檢測到動態(tài)端口上進行的連接，而ASPF并Private Host向FTP server發(fā)起FTPTCP連接建立該連Host的非USERHost發(fā)送USER報文，向FTP server發(fā)送用戶Server發(fā)送PASS報文，要求用戶輸Host的非PASS向Server發(fā)送擇用于數(shù)據(jù)傳輸?shù)亩丝?。濾無法檢測到動態(tài)端口上進行的連接，而ASPF并Private Host向FTP server發(fā)起FTPTCP連接建立該連Host的非USERHost發(fā)送USER報文，向FTP server發(fā)送用戶Server發(fā)送PASS報文，要求用戶輸Host的非PASS向Server

7、發(fā)送PASS報文，提供正確圖4 ASPF對應(yīng)用層進行狀態(tài)檢如圖4所示，ASPF在Host登錄FTP server的過程中并該應(yīng)用的連接狀態(tài)。在FTP應(yīng)用的TCP連接建立后，只允許Host向FTP server用戶名之后，只允許Host向FTP server發(fā)。FTP連接過程中所有不符合被。第7頁共12Private Public FTPHost向FTP server發(fā)起FTPHost發(fā)送PORT報文，要求FTP server向（IP Port）發(fā)起數(shù)據(jù)連ASPF目的端口非Port的報發(fā)往Host的Port Private Public FTPHost向FTP server發(fā)起FTPHost發(fā)送

8、PORT報文，要求FTP server向（IP Port）發(fā)起數(shù)據(jù)連ASPF目的端口非Port的報發(fā)往Host的Port 如圖5所示，ASPF在Host登錄FTP server的過程中并該應(yīng)用的連接信息。當(dāng)Host向FTP server發(fā)送PORTPORT中數(shù)據(jù)通道的信息，建立動態(tài)過濾規(guī)則，允許雙方進行數(shù)據(jù)通道的建立和數(shù)據(jù)傳2.3 ASPF2.3.1 通常情況下，應(yīng)用層協(xié)議使用通用的端進行通信，而端口到應(yīng)用的（PAM）關(guān)系。PAM獨立于ASPF，ASPF支持PAM第8頁共12口。1被認(rèn)為是HTTP端為HTTP應(yīng)用時，所有目的端口是8080的TCP。2范圍可以通過標(biāo)準(zhǔn)ACL來指定。例如：將目的地

9、址為/24網(wǎng)段的、8080端口的TCP為HTTP報文口。1被認(rèn)為是HTTP端為HTTP應(yīng)用時，所有目的端口是8080的TCP。2范圍可以通過標(biāo)準(zhǔn)ACL來指定。例如：將目的地址為/24網(wǎng)段的、8080端口的TCP為HTTP報文代碼的Java applet或者ActiveX端經(jīng)用戶允許的Javaapplet和ActiveX 配置了支持Java阻斷功能的HTTP不濾意第9頁共122.3.4 TCP首包非SYN濾2.3.5 相比，ASPF外，通過調(diào)試和日志信息，ASPF3H3C實現(xiàn)的技術(shù)特斷2.3.4 TCP首包非SYN濾2.3.5 相比，ASPF外，通過調(diào)試和日志信息，ASPF3H3C實現(xiàn)的技術(shù)特斷發(fā)展，它已經(jīng)不再是僅連和內(nèi)網(wǎng)，而是可以連接內(nèi)網(wǎng)的ASPF圖6 配置域間控制策略組網(wǎng)如圖6所示網(wǎng)絡(luò)受保護的主機屬圖6 配置域間控制策略組網(wǎng)如圖6所示網(wǎng)絡(luò)受保護的主機屬任的Trust域，對外提供FTP4 ASPF圖7 ASPF典型組網(wǎng)應(yīng)用Tust nust F Tust t 域的所有連接進行傳輸層協(xié)議以及應(yīng)用層協(xié)議狀態(tài)的檢測，從而實現(xiàn)域間的訪問控制以及應(yīng)用狀態(tài) 。DMZUntrustASPFDMZUntrust如圖7所示，私網(wǎng)側(cè)某公司通過啟用了ASPF功能對外提供FTP服務(wù)和