防火牆分類:
1.包過濾防火牆
2.代理型防火牆
3.狀态檢測防火牆
ASPF技術背景
防火牆和傳統網絡裝置路由器有一個很大的差別就是:路由器裝置隻關注網絡層的内容,根據IP位址查找出接口完成封包的正确轉發,對于應用層的内容路由器是不關心的,完成異構網的互聯互通是路由器本質的一個功能。由于IP協定本身的特點,是以非常容易在應用層攜帶很多有害于網絡的内容,造成網絡的安全隐患
防火牆的主要功能是保證網絡的安全,防火牆除了關注網絡層的安全,同時還關注應用層的安全,關注應用層安全可以實作更智能的安全防範保證網絡的安全,更準确的識别非法的通路。在提供應用層的安全同時,高效、準确等方面也是防火牆産品很重要的一個方面,是以對于業務支援的特性是防火牆很重要的一個方面
ASPF概念:
ASPF ( Application Specific Packet Filter) 是一種進階通信過濾,它檢查應用層協定資訊并且監控連接配接的應用層協定狀态。對于特定應用協定的所有連接配接,每一個連接配接狀态資訊都将被ASPF維護并用于動态的決定資料包是否被允許通過防火牆或丢棄
ASPF不僅能夠根據連接配接的狀态對封包進行過濾還能夠對應用層封包的内容加以檢測,以對一部分攻擊加以檢測和防範
狀态檢測技術在網絡層實作所有需要的防火牆能力,它既有包過濾機制的速度和靈活,也有代理型防火牆安全的優點
ACL VS ASPF
<b>比較内容</b>
<b>ACL</b>
<b>ASPF</b>
<b>原理</b>
對每個IP資料包按照使用者所定義的政策規則(通路控制清單,ACL)進行過濾。包過濾不管會話的狀态,也不分析資料<b> </b>
對于每一個應用層協定建立會話資訊以及狀态資訊,實時檢測資料流的狀态資訊,并動态的根據狀态資訊決定資料包的動作
<b>配置</b>
較繁瑣
簡單
<b>設計實作</b>
複雜,必須支援盡可能多的應用層協定,以保證使用者的正常使用。并且需要實時增加協定的支援
<b>對系統性能影響</b>
速度快,但政策過多會導緻性能急劇下降<b> </b>
需要進行狀态檢測等複雜處理,效率相對于ACL低,并且消耗部分系統資源
<b>對多通道協定的支援</b>
不支援<b> </b>
非常适用于需要動态建立連接配接的應用協定
<b>安全性</b>
低,無法檢測某些來自于應用層的攻擊行為
高,能夠根據連接配接的狀态及應用層封包内容進行過濾,有效防範攻擊
ASPF基本概念:
會話表(Session)
在狀态防火牆中會動态維護着一個Session表項。Session表辨別一個“完整連接配接”,一個完整的連接配接由5元組構成(源位址、目的位址、源端口、目的端口、協定号),Session表中記錄了連接配接的狀态資訊,可以用來監控會話的狀态躍遷,不符合狀态躍遷的封包會被丢棄
單通道協定可以使用Session表來檢查連接配接狀态的變化,但對連接配接未完全建立起來的多通道協定來說,還不夠,是以引入了Servermap表來處理多通道連接配接的狀态檢查
多通道協定
某個應用協定通話時需要建立兩個以上的會話(通道),其中有一個控制通道,其他的通道根據控制通道中雙方協商的資訊動态建立,一般稱為資料通道或子通道
多通道協定在防火牆以及NAT裝置的應用中需要特殊處理,因為資料通道的端口是不固定的(協商出來的),其封包方向也是不固定的
多通道協定主要包括:資料傳輸協定(FTP、TFTP等)、 音視訊相關(H.323協定族、SIP、MGCP等)、聊天通訊軟體(MSN,QQ,ICQ等)
Servermap表項
在多通道協定中,如FTP,控制通道和資料通道是分開的。資料通道是在控制封包中動态協商出來的,為了避免協商出來的通道不因其他規則的限制(如ACL)而中斷,需要臨時開啟一個通道,而Servermap就是為了滿足這種應用而設計的一種資料結構
Servermap表是辨別一個“不完整連接配接”的。不完整連接配接的含義是:在防火牆上建立表項的時候,五元組不能完全知道,隻能知道目的位址、目的端口、協定号三元組
Servermap是一個“臨時通道”,利用該“臨時通道”,外部連接配接可以進入内部網絡
NAT ALG(Application Level Gateway,應用級網關)
對封包中資料部分的IP位址解析并進行NAT轉換,如FTP的資料封包
端口映射PAM(Port to Application Mapping)
?是解決端口和服務類型映射關系的一個配置功能,對于使用非知名端口提供知名服務時的業務識别非常有用。例如ftp的服務端口是21,如果有些使用者将1021端口作為ftp的服務端口,可以通過Port Mapping來綁定該對應關系,這樣1021端口的服務就被自動識别成ftp服務了。此時防火牆顯示的映射關系如下:
SERVICE PORT ACL TYPE
-------------------------------------------------
ftp 21 system defined
smtp 25 system defined
http 80 system defined
rtsp 554 system defined
h323 1720 system defined
ftp 1021 2010 user defined
?配置端口映射時,必須通過ACL指定主機範圍
?不能删除或修改系統定義的端口号,但可以重新定義
?對于同一協定,可以多次使用指令配置多個識别端口
?對于同一端口,可以配置識别不同的協定,但需要通過ACL來為不同的協定定義不同的主機範圍
ASPF處理流程:
封包轉發
?對于單通道協定,首包查ACL,通過後建立session表,後續包命中session表不再查ACL
?對于多通道協定,采用了5元組的session表+3元組的servermap表項的結合方式實作,先建立控制通道連接配接及對應的session表,并建立servermap表,使得資料通道的首包,命中servermap表,不再查ACL,首包通過後建立資料通道的session表,後續包就通過該session表進行轉發,不再查ACL或者servermap表
?防火牆對于應用協定采用一種通用的模式,根據應用協定注冊不同的編解碼函數,即ASPF處理函數。ASPF功能的使能開關為域間或者域上配置的detect指令,隻要ASPF功能使能開關打開,防火牆提取封包的對應資訊查找servermap表,确定封包的應用協定類型,以調用各自的編解碼函數,進行狀态檢測及NAT ALG的處理
?對于多通道協定,當資料通道建立了之後, servermap表項就删除了,後續封包基于session表轉發。這樣就避免了産生一個永久的通道,進而確定未經授權的封包不能随便透過防火牆
ASPF提供對以下應用協定的支援
?FTP(File Transfer Protocol)
?H.323( H.323 Protocol )
?HTTP(Hyper Text Transport Protocol)
?GTP ( GPRS Tunnel Protocol)
?MGCP(Media Gateway Control Protocol)
?MMS(Mircosoft Media Server)
?MSN(MSN Protocol)
?NetBIOS(Network Basic Input/Output System)
?PPTP(Point to Point Tunneling Protocol)
?QQ(QQ Protocol)
?RPC (RPC Protocol )
?RTSP(Real-Time Streaming Protocol)
?SIP(Session initiation Protocol)
?SQLNET (SQL*NET Protocol )
ASPF還提供的功能:
?支援對FTP中的get/put關鍵字過濾
?支援對HTTP中的 Activex/JAVA Appelt 進行過濾
?端口映射(port-mapping),為基于應用層協定的服務指定非通用端口
?User-define:使用者定義應用層協定識别
