安全與VPN-ASPF技術(shù)白皮書-D

1、，安全與VPN-ASPF技術(shù)白皮書ASPF技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 2頁，共12頁ASPF技術(shù)白皮書關(guān)鍵詞：ASPF，包過濾摘 要：ASPF是一種應(yīng)用層狀態(tài)檢測技術(shù)，它通過與NAT和ALG等技術(shù)的組合應(yīng)用，實現(xiàn)對應(yīng)用層協(xié)議狀態(tài)的處理和檢測。本文詳細介紹了ASPF技術(shù)的工作機制以及典型組網(wǎng)應(yīng)用。縮略語：縮略語英文全名中文解釋ACLAccess Control List訪問控制列表ALGApplication Level Gateway應(yīng)用層網(wǎng)關(guān)ASPFApplication Specific Packet Filter基于應(yīng)用層包過濾DMZDemi

2、litarized Zone非軍事區(qū)FTPFile Transfer Protocol文件傳輸協(xié)議HTTPHypertext Transfer Protocol超文本傳輸協(xié)議ICMPInternet Control Message ProtocolInternet控制報文協(xié)議ILSInternet Locator ServerInternet定位服務(wù)NBTNetwork Basic Input/Output System網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)NATNetwork Address Translation網(wǎng)絡(luò)地址轉(zhuǎn)換PAMPort to Application Mapping端口到應(yīng)用的映射PPT

3、PPoint-to-Point Tunneling Protocol點到點隧道協(xié)議RTSPReal Time Streaming Protocol實時流協(xié)議SIPSession Initiation Protocol會話發(fā)起協(xié)議SQLNET-一種Oracle數(shù)據(jù)庫語言目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 ASPF的優(yōu)點 HYPERLINK l _bookmark1 4 HY

4、PERLINK l _bookmark1 ASPF運行機制 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 協(xié)議檢測 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 TCP檢測 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 UDP檢測 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 應(yīng)用層狀態(tài)檢測和多通道檢測 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark5

5、 ASPF的安全特性 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 端口到應(yīng)用的映射 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 Java阻斷和ActiveX阻斷 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 ICMP差錯報文丟棄 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 TCP首包非SYN報文丟棄 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmar

6、k7 會話日志與調(diào)試跟蹤 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark7 H3C實現(xiàn)的技術(shù)特色 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark8 ASPF典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark8 11ASPF技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 12頁, 共12頁概述產(chǎn)生背景隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)安全問題也越來越得到關(guān)注。防火墻作為一種控制兩個網(wǎng)絡(luò)之間IP通信的安全機制，已成為網(wǎng)絡(luò)安全部署的首要選擇。防火墻的目的就是在信任網(wǎng)絡(luò)（區(qū)

7、域）和非信任網(wǎng)絡(luò)（區(qū)域）之間建立一道屏障，并實施相應(yīng)的安全策略。應(yīng)該說，在網(wǎng)絡(luò)中應(yīng)用防火墻是一種非常有效的網(wǎng)絡(luò)安全手段。通常，防火墻的實現(xiàn)技術(shù)分為兩類：包過濾技術(shù)和應(yīng)用層報文過濾技術(shù)。包過濾技術(shù)的核心是定義ACL規(guī)則來過濾IP數(shù)據(jù)包。對于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，包過濾防火墻首先獲取其包頭信息（包括IP層所承載的上層協(xié)議的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等），然后與用戶設(shè)定的ACL規(guī)則進行比較， 根據(jù)比較的結(jié)果對數(shù)據(jù)包進行處理（允許通過或者丟棄）。包過濾技術(shù)的優(yōu)點在于它只進行網(wǎng)絡(luò)層的過濾，處理速度較快，尤其是在流量中等、配置的ACL規(guī)模適中的情況下對設(shè)備的性能幾乎沒有影響。而且，包過

8、濾技術(shù)的實現(xiàn)對于上層應(yīng)用以及用戶來講都是透明的，無須在用戶主機上安裝特定的軟件。盡管包過濾技術(shù)具有以上優(yōu)勢，但其卻具有明顯的弊端，主要表現(xiàn)在以下幾個方面：基于 IP 包頭的靜態(tài)數(shù)據(jù)過濾通常，IP數(shù)據(jù)包中的目的地址、源地址、源端口和目標(biāo)端口被用來判斷是否允許數(shù)據(jù)包通過。這種基于IP包頭的靜態(tài)匹配，雖然可以允許或拒絕特定的應(yīng)用層服務(wù)， 但是無法理解特定服務(wù)的上下文會話。例如，對于多通道的應(yīng)用層協(xié)議，由于傳統(tǒng)的包過濾防火墻只能知曉控制通道的連接信息，而無法預(yù)知后續(xù)動態(tài)協(xié)商的數(shù)據(jù)通道信息，因此就無法對其制定完善的安全過濾策略。無法檢測來自于應(yīng)用層的攻擊行為由于包過濾防火墻僅對網(wǎng)絡(luò)層進行檢查和過濾，不對

9、報文的應(yīng)用層內(nèi)容進行解析和檢測，因此無法對一些來自于應(yīng)用層的威脅進行防范，例如無法防范來自不可信網(wǎng)站的Java applet或Active X插件對內(nèi)部主機的破壞。維護比較困難網(wǎng)絡(luò)管理人員為了滿足企業(yè)網(wǎng)絡(luò)安全的需要以及各種Internet應(yīng)用服務(wù)的需求，必須配置復(fù)雜繁瑣的ACL以實現(xiàn)對數(shù)據(jù)包的過濾，一旦ACL的配置出現(xiàn)錯誤，將會導(dǎo)致安全漏洞的產(chǎn)生。而且，由于缺少有效的工具對配置規(guī)則的正確性進行驗證，也會增加維護的難度。缺乏有效的日志功能包過濾防火墻僅對靜態(tài)的報文特征信息進行過濾和輸出日志記錄，不能對整個應(yīng)用連接輸出日志記錄，因此無法實現(xiàn)對于應(yīng)用連接的跟蹤。由于包過濾防火墻在應(yīng)用層報文過濾方面具

10、有以上先天的不足，因此提出了應(yīng)用層報文過濾的概念A(yù)SPF。ASPF的優(yōu)點ASPF是針對應(yīng)用層的報文過濾，即基于狀態(tài)的報文過濾。它具有以下優(yōu)點：支持傳輸層協(xié)議檢測（通用 TCP/UDP 檢測）和 ICMP、RAWIP 協(xié)議檢測。支持對應(yīng)用層協(xié)議的解析和連接狀態(tài)的檢測，這樣每一個應(yīng)用連接的狀態(tài)信息都將被 ASPF 維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。支持 PAM（Port to Application Map，應(yīng)用協(xié)議端口映射），允許用戶自定義應(yīng)用層協(xié)議使用非通用端口?？梢灾С?Java 阻斷和 ActiveX 阻斷功能，分別用于實現(xiàn)對來自于不信任站點的 Java applet

11、和 ActiveX 的過濾。支持 ICMP 差錯報文檢測，可以根據(jù) ICMP 差錯報文中攜帶的連接信息，決定是否丟棄該 ICMP 報文。支持 TCP 連接首包檢測，通過檢測 TCP 連接的首報文是否為 SYN 報文，決定是否丟棄該報文。提供了增強的會話日志和調(diào)試跟蹤功能，可以對所有的連接進行記錄，可以針對不同的應(yīng)用協(xié)議實現(xiàn)對連接狀態(tài)的跟蹤與調(diào)試?？梢?，ASPF技術(shù)不僅彌補了包過濾防火墻應(yīng)用中的缺陷，提供針對應(yīng)用層的報文過濾，而且還具有多種增強的安全特性，是一種智能的高級過濾技術(shù)。ASPF運行機制ASPF不僅能夠?qū)P層的數(shù)據(jù)包根據(jù)ACL規(guī)則來進行過濾，還能對傳輸層、應(yīng)用層的報文進行檢測。ASP

12、F在TCP/IP協(xié)議棧中所處的位置如下圖所示。應(yīng)用層ASPF傳輸層(TCP/UDP)IP層圖1 ASPF在協(xié)議棧中的位置協(xié)議檢測ASPF支持的協(xié)議檢測包括：傳輸層協(xié)議檢測和ICMP、RAWIP協(xié)議檢測。ASPF的傳輸層協(xié)議檢測通常指通用TCP/UDP檢測。通用TCP/UDP檢測是對報文的傳輸層信息（如報文的源地址、目的地址、端口號、傳輸層狀態(tài)等）進行的檢測。下文將對ASPF的傳輸層協(xié)議檢測原理做詳細介紹。TCP檢測TCP檢測是指，ASPF檢測TCP連接發(fā)起和結(jié)束的狀態(tài)轉(zhuǎn)換過程，包括連接發(fā)起的3次握手狀態(tài)和連接關(guān)閉的4次握手狀態(tài)，然后根據(jù)這些狀態(tài)來創(chuàng)建、更新和刪除設(shè)備上的連接狀態(tài)表。TCP檢測是

13、其它基于TCP的應(yīng)用協(xié)議檢測的基礎(chǔ)。TCP檢測的具體過程為，當(dāng)ASPF檢測到TCP連接發(fā)起方的第一個SYN報文時，開始建立該連接的一個連接狀態(tài)表，用于記錄并維護此連接的狀態(tài)，以允許后續(xù)該連接的相關(guān)報文能夠通過防火墻，而其它的非相關(guān)報文則被阻斷和丟棄。圖2 ASPF的TCP狀態(tài)檢測如 HYPERLINK l _bookmark2 圖2所示，ASPF對Host A向Host B發(fā)起的TCP連接進行狀態(tài)檢測，對于建立連接的TCP的3次握手報文，允許其正常通過，并建立TCP連接。在該過程中，對于來自其它主機的TCP報文，或者來自Host B的不符合正確狀態(tài)的報文，則被防火墻丟棄。UDP檢測UDP協(xié)議沒

14、有狀態(tài)的概念，ASPF的UDP檢測是指，針對UDP連接的地址和端口進行的檢測。UDP檢測是其它基于UDP的應(yīng)用協(xié)議檢測的基礎(chǔ)。UDP檢測的具體過程為，當(dāng)ASPF檢測到UDP連接發(fā)起方的第一個數(shù)據(jù)報時， ASPF開始維護此連接的信息。當(dāng)ASPF收到接收方回送的UDP數(shù)據(jù)報時，此連接才能建立，其它與此連接無關(guān)的報文則被阻斷和丟棄。圖3 ASPF對UDP的連接檢測如 HYPERLINK l _bookmark3 圖3所示，ASPF對UDP報文的地址和端口進行檢測，在UDP連接建立過程中， 來自其它地址或端口的UDP報文將被防火墻丟棄。應(yīng)用層狀態(tài)檢測和多通道檢測基于應(yīng)用的狀態(tài)檢測技術(shù)是一種基于應(yīng)用連接

15、的報文狀態(tài)檢測機制。ASPF通過創(chuàng)建連接狀態(tài)表來維護一個連接某一時刻所處的狀態(tài)信息，并依據(jù)該連接的當(dāng)前狀態(tài)來匹配后續(xù)的報文。目前， ASPF支持進行狀態(tài)檢測的應(yīng)用協(xié)議包括FTP 、H.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET。除了可以對應(yīng)用協(xié)議的狀態(tài)進行檢測外，ASPF還支持對應(yīng)用連接協(xié)商的數(shù)據(jù)通道進行解析和記錄，用于匹配后續(xù)數(shù)據(jù)通道的報文。比如，部分多媒體應(yīng)用協(xié)議（如H.323）和FTP協(xié)議會先使用約定的端口來初始化一個控制連接，然后再動態(tài)的選擇用于數(shù)據(jù)傳輸?shù)亩丝?。包過濾防火墻無法檢測到動態(tài)端口上進行的連接，而ASPF則能夠解析并記錄每一個應(yīng)用的每一個連接所使用的端口

16、，并建立動態(tài)防火墻過濾規(guī)則讓應(yīng)用連接的數(shù)據(jù)通過，在數(shù)據(jù)連接結(jié)束時則刪除該動態(tài)過濾規(guī)則，從而對使用動態(tài)端口的應(yīng)用連接實現(xiàn)有效的訪問控制。下面以FTP協(xié)議為例，說明ASFP如何進行應(yīng)用層的狀態(tài)檢測以及多通道的報文解析和檢測：Private networkPublic networkFTP serverInternetHost向FTP server發(fā)起FTP連接HostTCP連接建立，ASPF記錄該連接 Host的非USER報文Host發(fā)送USER報文，向FTP server發(fā)送用戶名 Host的非PASS報文Server發(fā)送PASS報文，要求用戶輸入密碼Host 向Server發(fā)送PASS報文，提

17、供正確的密碼，成功登錄圖4 ASPF對應(yīng)用層進行狀態(tài)檢測如 HYPERLINK l _bookmark4 圖4所示，ASPF在Host登錄FTP server的過程中記錄并維護該應(yīng)用的連接狀態(tài)。在FTP應(yīng)用的TCP連接建立后，只允許Host向FTP server發(fā)送用戶名。在發(fā)送用戶名之后，只允許Host向FTP server發(fā)送密碼。FTP連接過程中所有不符合FTP 協(xié)議交互過程的報文都被ASPF拒絕，防止外部惡意用戶對服務(wù)器資源的占用以及攻擊。Private networkPublic networkHostInternet目的端口非Port的報文Host向FTP server發(fā)起FTP連

18、接FTP server控制通道建立，ASPF記錄該連接Host發(fā)送PORT報文，要求FTP server向（IP Port）發(fā)起數(shù)據(jù)連接ASPF建立動態(tài)過濾規(guī)則數(shù)據(jù)通道建立，雙方進行數(shù)據(jù)傳輸數(shù)據(jù)傳輸結(jié)束，ASPF刪除動態(tài)過濾規(guī)則 發(fā)往Host的Port 端口的報文圖5 ASPF進行動態(tài)通道的檢測如 HYPERLINK l _bookmark5 圖5所示，ASPF在Host登錄FTP server的過程中記錄并維護該應(yīng)用的連接信息。當(dāng)Host向FTP server發(fā)送PORT報文協(xié)商數(shù)據(jù)通道后，ASPF記錄PORT報文中數(shù)據(jù)通道的信息，建立動態(tài)過濾規(guī)則，允許雙方進行數(shù)據(jù)通道的建立和數(shù)據(jù)傳輸，同時

19、拒絕其它不屬于該數(shù)據(jù)通道的報文通過，并在數(shù)據(jù)通道傳輸結(jié)束后，刪除該動態(tài)過濾規(guī)則。ASPF的安全特性除了上述通用TCP/UDP檢測和基于應(yīng)用的狀態(tài)檢測功能外，ASPF還支持一些增強性的安全特性。端口到應(yīng)用的映射通常情況下，應(yīng)用層協(xié)議使用通用的端口號進行通信，而端口到應(yīng)用的映射（PAM）允許用戶為不同的應(yīng)用協(xié)議定義一組新的端口號。用戶可以通過配置端口到應(yīng)用的映射，建立應(yīng)用層協(xié)議和應(yīng)用到該協(xié)議上的自定義端口之間的映射關(guān)系。PAM獨立于ASPF，ASPF支持PAM即表示可以對這些自定義端口對應(yīng)的應(yīng)用連接進行檢測。PAM提供了對應(yīng)用層協(xié)議的非標(biāo)準(zhǔn)端口應(yīng)用的支持，包括兩類映射機制：通用端口映射和基于基本訪

20、問控制列表的主機端口映射。通用端口映射通用端口映射是將用戶自定義端口號和應(yīng)用層協(xié)議建立映射關(guān)系，例如：將8080 端口映射為HTTP應(yīng)用時，所有目的端口是8080的TCP報文都被認(rèn)為是HTTP報文，這樣就可以通過端口號來識別應(yīng)用層協(xié)議。通用端口映射不僅可以支持一個端口與一個應(yīng)用的映射，也可以支持多個端口到一個應(yīng)用的映射。主機端口映射主機端口映射是將某一主機范圍的某一端口和一個應(yīng)用層協(xié)議建立映射關(guān)系。主機范圍可以通過標(biāo)準(zhǔn)ACL來指定。例如：將目的地址為/24網(wǎng)段的、使用8080端口的TCP報文映射為HTTP報文。主機端口映射支持如下兩種映射方式：同一個主機范圍內(nèi)，一個或多個端口到一個應(yīng)用的主機映

21、射方式；不同主機范圍內(nèi)，一個端口到多個應(yīng)用的映射。Java阻斷和ActiveX阻斷在用戶訪問網(wǎng)頁的過程中，若攜帶惡意代碼的Java applet或者ActiveX插件被客戶端下載到本地執(zhí)行，則可能會對用戶的計算機系統(tǒng)資源造成破壞，因而需要限制未經(jīng)用戶允許的Java applet和ActiveX插件下載到用戶的網(wǎng)絡(luò)中。Java阻斷和ActiveX 阻斷功能分別用于實現(xiàn)對來自于不信任站點的Java applet和ActiveX的過濾。Java阻斷功能是通過配置ACL來標(biāo)識可信任的與不可信的主機或網(wǎng)段。當(dāng)防火墻配置了支持Java阻斷功能的HTTP協(xié)議檢測時，受保護網(wǎng)絡(luò)內(nèi)的用戶如果試圖通過Web頁面訪

22、問不可信站點，則Web頁面中為獲取包含Java applet程序而發(fā)送的請求指令將會被ASPF阻斷。ActiveX阻斷功能啟動后，所有對Web頁面中ActiveX插件的請求將被過濾掉。如果用戶仍然希望能夠獲取部分Web頁面的ActiveX插件，必須配置ACL規(guī)則來允許用戶獲取該Web頁面的ActiveX插件。ICMP差錯報文丟棄包過濾防火墻無法識別來自網(wǎng)絡(luò)中偽造的ICMP差錯報文，從而無法避免ICMP的惡意攻擊。由于正常ICMP差錯報文中均攜帶有本報文對應(yīng)連接的相關(guān)信息，ASPF可根據(jù)這些信息匹配到相應(yīng)的連接。如果匹配失敗，就可以根據(jù)當(dāng)前配置決定是否丟棄該ICMP報文。TCP首包非SYN報文丟

23、棄包過濾防火墻對于TCP連接均要求其首報文為SYN報文，非SYN報文的TCP首包將被丟棄。在這種處理方式下，當(dāng)防火墻設(shè)備首次加入網(wǎng)絡(luò)時，網(wǎng)絡(luò)中原有TCP連接的非首包在經(jīng)過新加入的防火墻設(shè)備時均被丟棄，這會中斷已有的連接。ASPF可實現(xiàn)根據(jù)當(dāng)前配置決定對TCP首包非SYN報文是否丟棄。會話日志與調(diào)試跟蹤與包過濾防火墻相比，ASPF提供了增強的會話日志功能，可以對所有的連接進行記錄，包括：連接的時間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。此外，通過調(diào)試和日志信息，ASPF可以針對不同的應(yīng)用協(xié)議實現(xiàn)對連接狀態(tài)的跟蹤與調(diào)試，為系統(tǒng)故障診斷提供了豐富的信息。H3C實現(xiàn)的技術(shù)特色傳統(tǒng)防火墻的策略配置通常都是圍繞報文入接口、出接口進行的。隨著防火墻的不斷發(fā)展，它已經(jīng)不再是僅連接外網(wǎng)和內(nèi)網(wǎng)，而是可以連接內(nèi)網(wǎng)/外網(wǎng)/DMZ多個網(wǎng)絡(luò)區(qū)域。一臺高端防火墻通常能夠提供十個以上的物理接口，同時連接多個邏輯網(wǎng)段。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式需要為每一個接口配置安全策略，給網(wǎng)絡(luò)管理員帶來了極大的負擔(dān)，安全策略的維護工作量成倍增加，從而也增加了因為配置引入安全風(fēng)險的概率。和傳統(tǒng)防火墻基于接口的策略配置方式不同，H3C防火墻的ASPF可以支持通過安全域來配置安全策略，即支持域間的訪問控制策略。安全域是一個虛擬的概念，通常將擁有相同安全策略的接口劃分