安全與VPN-ASPF技術(shù)白皮書-D

1、，安全與VPN-ASPF技術(shù)白皮書ASPF技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 2頁，共12頁ASPF技術(shù)白皮書關(guān)鍵詞：ASPF，包過濾摘 要：ASPF是一種應(yīng)用層狀態(tài)檢測(cè)技術(shù)，它通過與NAT和ALG等技術(shù)的組合應(yīng)用，實(shí)現(xiàn)對(duì)應(yīng)用層協(xié)議狀態(tài)的處理和檢測(cè)。本文詳細(xì)介紹了ASPF技術(shù)的工作機(jī)制以及典型組網(wǎng)應(yīng)用。縮略語：縮略語英文全名中文解釋ACLAccess Control List訪問控制列表ALGApplication Level Gateway應(yīng)用層網(wǎng)關(guān)ASPFApplication Specific Packet Filter基于應(yīng)用層包過濾DMZDemi

2、litarized Zone非軍事區(qū)FTPFile Transfer Protocol文件傳輸協(xié)議HTTPHypertext Transfer Protocol超文本傳輸協(xié)議ICMPInternet Control Message ProtocolInternet控制報(bào)文協(xié)議ILSInternet Locator ServerInternet定位服務(wù)NBTNetwork Basic Input/Output System網(wǎng)絡(luò)基本輸入/輸出系統(tǒng)NATNetwork Address Translation網(wǎng)絡(luò)地址轉(zhuǎn)換PAMPort to Application Mapping端口到應(yīng)用的映射PPT

3、PPoint-to-Point Tunneling Protocol點(diǎn)到點(diǎn)隧道協(xié)議RTSPReal Time Streaming Protocol實(shí)時(shí)流協(xié)議SIPSession Initiation Protocol會(huì)話發(fā)起協(xié)議SQLNET-一種Oracle數(shù)據(jù)庫語言目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 ASPF的優(yōu)點(diǎn) HYPERLINK l _bookmark1 4 HY

4、PERLINK l _bookmark1 ASPF運(yùn)行機(jī)制 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 協(xié)議檢測(cè) HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 TCP檢測(cè) HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 UDP檢測(cè) HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 應(yīng)用層狀態(tài)檢測(cè)和多通道檢測(cè) HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark5

5、 ASPF的安全特性 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark5 端口到應(yīng)用的映射 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 Java阻斷和ActiveX阻斷 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark6 ICMP差錯(cuò)報(bào)文丟棄 HYPERLINK l _bookmark6 9 HYPERLINK l _bookmark7 TCP首包非SYN報(bào)文丟棄 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmar

6、k7 會(huì)話日志與調(diào)試跟蹤 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark7 H3C實(shí)現(xiàn)的技術(shù)特色 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark8 ASPF典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark8 11ASPF技術(shù)白皮書杭州華三通信技術(shù)有限公司 HYPERLINK / 第 PAGE 12頁, 共12頁概述產(chǎn)生背景隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)安全問題也越來越得到關(guān)注。防火墻作為一種控制兩個(gè)網(wǎng)絡(luò)之間IP通信的安全機(jī)制，已成為網(wǎng)絡(luò)安全部署的首要選擇。防火墻的目的就是在信任網(wǎng)絡(luò)（區(qū)

7、域）和非信任網(wǎng)絡(luò)（區(qū)域）之間建立一道屏障，并實(shí)施相應(yīng)的安全策略。應(yīng)該說，在網(wǎng)絡(luò)中應(yīng)用防火墻是一種非常有效的網(wǎng)絡(luò)安全手段。通常，防火墻的實(shí)現(xiàn)技術(shù)分為兩類：包過濾技術(shù)和應(yīng)用層報(bào)文過濾技術(shù)。包過濾技術(shù)的核心是定義ACL規(guī)則來過濾IP數(shù)據(jù)包。對(duì)于需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，包過濾防火墻首先獲取其包頭信息（包括IP層所承載的上層協(xié)議的協(xié)議號(hào)、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等），然后與用戶設(shè)定的ACL規(guī)則進(jìn)行比較， 根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行處理（允許通過或者丟棄）。包過濾技術(shù)的優(yōu)點(diǎn)在于它只進(jìn)行網(wǎng)絡(luò)層的過濾，處理速度較快，尤其是在流量中等、配置的ACL規(guī)模適中的情況下對(duì)設(shè)備的性能幾乎沒有影響。而且，包過

8、濾技術(shù)的實(shí)現(xiàn)對(duì)于上層應(yīng)用以及用戶來講都是透明的，無須在用戶主機(jī)上安裝特定的軟件。盡管包過濾技術(shù)具有以上優(yōu)勢(shì)，但其卻具有明顯的弊端，主要表現(xiàn)在以下幾個(gè)方面：基于 IP 包頭的靜態(tài)數(shù)據(jù)過濾通常，IP數(shù)據(jù)包中的目的地址、源地址、源端口和目標(biāo)端口被用來判斷是否允許數(shù)據(jù)包通過。這種基于IP包頭的靜態(tài)匹配，雖然可以允許或拒絕特定的應(yīng)用層服務(wù)， 但是無法理解特定服務(wù)的上下文會(huì)話。例如，對(duì)于多通道的應(yīng)用層協(xié)議，由于傳統(tǒng)的包過濾防火墻只能知曉控制通道的連接信息，而無法預(yù)知后續(xù)動(dòng)態(tài)協(xié)商的數(shù)據(jù)通道信息，因此就無法對(duì)其制定完善的安全過濾策略。無法檢測(cè)來自于應(yīng)用層的攻擊行為由于包過濾防火墻僅對(duì)網(wǎng)絡(luò)層進(jìn)行檢查和過濾，不對(duì)

9、報(bào)文的應(yīng)用層內(nèi)容進(jìn)行解析和檢測(cè)，因此無法對(duì)一些來自于應(yīng)用層的威脅進(jìn)行防范，例如無法防范來自不可信網(wǎng)站的Java applet或Active X插件對(duì)內(nèi)部主機(jī)的破壞。維護(hù)比較困難網(wǎng)絡(luò)管理人員為了滿足企業(yè)網(wǎng)絡(luò)安全的需要以及各種Internet應(yīng)用服務(wù)的需求，必須配置復(fù)雜繁瑣的ACL以實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾，一旦ACL的配置出現(xiàn)錯(cuò)誤，將會(huì)導(dǎo)致安全漏洞的產(chǎn)生。而且，由于缺少有效的工具對(duì)配置規(guī)則的正確性進(jìn)行驗(yàn)證，也會(huì)增加維護(hù)的難度。缺乏有效的日志功能包過濾防火墻僅對(duì)靜態(tài)的報(bào)文特征信息進(jìn)行過濾和輸出日志記錄，不能對(duì)整個(gè)應(yīng)用連接輸出日志記錄，因此無法實(shí)現(xiàn)對(duì)于應(yīng)用連接的跟蹤。由于包過濾防火墻在應(yīng)用層報(bào)文過濾方面具

10、有以上先天的不足，因此提出了應(yīng)用層報(bào)文過濾的概念A(yù)SPF。ASPF的優(yōu)點(diǎn)ASPF是針對(duì)應(yīng)用層的報(bào)文過濾，即基于狀態(tài)的報(bào)文過濾。它具有以下優(yōu)點(diǎn)：支持傳輸層協(xié)議檢測(cè)（通用 TCP/UDP 檢測(cè)）和 ICMP、RAWIP 協(xié)議檢測(cè)。支持對(duì)應(yīng)用層協(xié)議的解析和連接狀態(tài)的檢測(cè)，這樣每一個(gè)應(yīng)用連接的狀態(tài)信息都將被 ASPF 維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。支持 PAM（Port to Application Map，應(yīng)用協(xié)議端口映射），允許用戶自定義應(yīng)用層協(xié)議使用非通用端口?？梢灾С?Java 阻斷和 ActiveX 阻斷功能，分別用于實(shí)現(xiàn)對(duì)來自于不信任站點(diǎn)的 Java applet

11、和 ActiveX 的過濾。支持 ICMP 差錯(cuò)報(bào)文檢測(cè)，可以根據(jù) ICMP 差錯(cuò)報(bào)文中攜帶的連接信息，決定是否丟棄該 ICMP 報(bào)文。支持 TCP 連接首包檢測(cè)，通過檢測(cè) TCP 連接的首報(bào)文是否為 SYN 報(bào)文，決定是否丟棄該報(bào)文。提供了增強(qiáng)的會(huì)話日志和調(diào)試跟蹤功能，可以對(duì)所有的連接進(jìn)行記錄，可以針對(duì)不同的應(yīng)用協(xié)議實(shí)現(xiàn)對(duì)連接狀態(tài)的跟蹤與調(diào)試?？梢姡珹SPF技術(shù)不僅彌補(bǔ)了包過濾防火墻應(yīng)用中的缺陷，提供針對(duì)應(yīng)用層的報(bào)文過濾，而且還具有多種增強(qiáng)的安全特性，是一種智能的高級(jí)過濾技術(shù)。ASPF運(yùn)行機(jī)制ASPF不僅能夠?qū)P層的數(shù)據(jù)包根據(jù)ACL規(guī)則來進(jìn)行過濾，還能對(duì)傳輸層、應(yīng)用層的報(bào)文進(jìn)行檢測(cè)。ASP

12、F在TCP/IP協(xié)議棧中所處的位置如下圖所示。應(yīng)用層ASPF傳輸層(TCP/UDP)IP層圖1 ASPF在協(xié)議棧中的位置協(xié)議檢測(cè)ASPF支持的協(xié)議檢測(cè)包括：傳輸層協(xié)議檢測(cè)和ICMP、RAWIP協(xié)議檢測(cè)。ASPF的傳輸層協(xié)議檢測(cè)通常指通用TCP/UDP檢測(cè)。通用TCP/UDP檢測(cè)是對(duì)報(bào)文的傳輸層信息（如報(bào)文的源地址、目的地址、端口號(hào)、傳輸層狀態(tài)等）進(jìn)行的檢測(cè)。下文將對(duì)ASPF的傳輸層協(xié)議檢測(cè)原理做詳細(xì)介紹。TCP檢測(cè)TCP檢測(cè)是指，ASPF檢測(cè)TCP連接發(fā)起和結(jié)束的狀態(tài)轉(zhuǎn)換過程，包括連接發(fā)起的3次握手狀態(tài)和連接關(guān)閉的4次握手狀態(tài)，然后根據(jù)這些狀態(tài)來創(chuàng)建、更新和刪除設(shè)備上的連接狀態(tài)表。TCP檢測(cè)是

13、其它基于TCP的應(yīng)用協(xié)議檢測(cè)的基礎(chǔ)。TCP檢測(cè)的具體過程為，當(dāng)ASPF檢測(cè)到TCP連接發(fā)起方的第一個(gè)SYN報(bào)文時(shí)，開始建立該連接的一個(gè)連接狀態(tài)表，用于記錄并維護(hù)此連接的狀態(tài)，以允許后續(xù)該連接的相關(guān)報(bào)文能夠通過防火墻，而其它的非相關(guān)報(bào)文則被阻斷和丟棄。圖2 ASPF的TCP狀態(tài)檢測(cè)如 HYPERLINK l _bookmark2 圖2所示，ASPF對(duì)Host A向Host B發(fā)起的TCP連接進(jìn)行狀態(tài)檢測(cè)，對(duì)于建立連接的TCP的3次握手報(bào)文，允許其正常通過，并建立TCP連接。在該過程中，對(duì)于來自其它主機(jī)的TCP報(bào)文，或者來自Host B的不符合正確狀態(tài)的報(bào)文，則被防火墻丟棄。UDP檢測(cè)UDP協(xié)議沒

14、有狀態(tài)的概念，ASPF的UDP檢測(cè)是指，針對(duì)UDP連接的地址和端口進(jìn)行的檢測(cè)。UDP檢測(cè)是其它基于UDP的應(yīng)用協(xié)議檢測(cè)的基礎(chǔ)。UDP檢測(cè)的具體過程為，當(dāng)ASPF檢測(cè)到UDP連接發(fā)起方的第一個(gè)數(shù)據(jù)報(bào)時(shí)， ASPF開始維護(hù)此連接的信息。當(dāng)ASPF收到接收方回送的UDP數(shù)據(jù)報(bào)時(shí)，此連接才能建立，其它與此連接無關(guān)的報(bào)文則被阻斷和丟棄。圖3 ASPF對(duì)UDP的連接檢測(cè)如 HYPERLINK l _bookmark3 圖3所示，ASPF對(duì)UDP報(bào)文的地址和端口進(jìn)行檢測(cè)，在UDP連接建立過程中， 來自其它地址或端口的UDP報(bào)文將被防火墻丟棄。應(yīng)用層狀態(tài)檢測(cè)和多通道檢測(cè)基于應(yīng)用的狀態(tài)檢測(cè)技術(shù)是一種基于應(yīng)用連接

15、的報(bào)文狀態(tài)檢測(cè)機(jī)制。ASPF通過創(chuàng)建連接狀態(tài)表來維護(hù)一個(gè)連接某一時(shí)刻所處的狀態(tài)信息，并依據(jù)該連接的當(dāng)前狀態(tài)來匹配后續(xù)的報(bào)文。目前， ASPF支持進(jìn)行狀態(tài)檢測(cè)的應(yīng)用協(xié)議包括FTP 、H.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET。除了可以對(duì)應(yīng)用協(xié)議的狀態(tài)進(jìn)行檢測(cè)外，ASPF還支持對(duì)應(yīng)用連接協(xié)商的數(shù)據(jù)通道進(jìn)行解析和記錄，用于匹配后續(xù)數(shù)據(jù)通道的報(bào)文。比如，部分多媒體應(yīng)用協(xié)議（如H.323）和FTP協(xié)議會(huì)先使用約定的端口來初始化一個(gè)控制連接，然后再動(dòng)態(tài)的選擇用于數(shù)據(jù)傳輸?shù)亩丝凇０^濾防火墻無法檢測(cè)到動(dòng)態(tài)端口上進(jìn)行的連接，而ASPF則能夠解析并記錄每一個(gè)應(yīng)用的每一個(gè)連接所使用的端口

16、，并建立動(dòng)態(tài)防火墻過濾規(guī)則讓應(yīng)用連接的數(shù)據(jù)通過，在數(shù)據(jù)連接結(jié)束時(shí)則刪除該動(dòng)態(tài)過濾規(guī)則，從而對(duì)使用動(dòng)態(tài)端口的應(yīng)用連接實(shí)現(xiàn)有效的訪問控制。下面以FTP協(xié)議為例，說明ASFP如何進(jìn)行應(yīng)用層的狀態(tài)檢測(cè)以及多通道的報(bào)文解析和檢測(cè)：Private networkPublic networkFTP serverInternetHost向FTP server發(fā)起FTP連接HostTCP連接建立，ASPF記錄該連接 Host的非USER報(bào)文Host發(fā)送USER報(bào)文，向FTP server發(fā)送用戶名 Host的非PASS報(bào)文Server發(fā)送PASS報(bào)文，要求用戶輸入密碼Host 向Server發(fā)送PASS報(bào)文，提

17、供正確的密碼，成功登錄圖4 ASPF對(duì)應(yīng)用層進(jìn)行狀態(tài)檢測(cè)如 HYPERLINK l _bookmark4 圖4所示，ASPF在Host登錄FTP server的過程中記錄并維護(hù)該應(yīng)用的連接狀態(tài)。在FTP應(yīng)用的TCP連接建立后，只允許Host向FTP server發(fā)送用戶名。在發(fā)送用戶名之后，只允許Host向FTP server發(fā)送密碼。FTP連接過程中所有不符合FTP 協(xié)議交互過程的報(bào)文都被ASPF拒絕，防止外部惡意用戶對(duì)服務(wù)器資源的占用以及攻擊。Private networkPublic networkHostInternet目的端口非Port的報(bào)文Host向FTP server發(fā)起FTP連

18、接FTP server控制通道建立，ASPF記錄該連接Host發(fā)送PORT報(bào)文，要求FTP server向（IP Port）發(fā)起數(shù)據(jù)連接ASPF建立動(dòng)態(tài)過濾規(guī)則數(shù)據(jù)通道建立，雙方進(jìn)行數(shù)據(jù)傳輸數(shù)據(jù)傳輸結(jié)束，ASPF刪除動(dòng)態(tài)過濾規(guī)則 發(fā)往Host的Port 端口的報(bào)文圖5 ASPF進(jìn)行動(dòng)態(tài)通道的檢測(cè)如 HYPERLINK l _bookmark5 圖5所示，ASPF在Host登錄FTP server的過程中記錄并維護(hù)該應(yīng)用的連接信息。當(dāng)Host向FTP server發(fā)送PORT報(bào)文協(xié)商數(shù)據(jù)通道后，ASPF記錄PORT報(bào)文中數(shù)據(jù)通道的信息，建立動(dòng)態(tài)過濾規(guī)則，允許雙方進(jìn)行數(shù)據(jù)通道的建立和數(shù)據(jù)傳輸，同時(shí)

19、拒絕其它不屬于該數(shù)據(jù)通道的報(bào)文通過，并在數(shù)據(jù)通道傳輸結(jié)束后，刪除該動(dòng)態(tài)過濾規(guī)則。ASPF的安全特性除了上述通用TCP/UDP檢測(cè)和基于應(yīng)用的狀態(tài)檢測(cè)功能外，ASPF還支持一些增強(qiáng)性的安全特性。端口到應(yīng)用的映射通常情況下，應(yīng)用層協(xié)議使用通用的端口號(hào)進(jìn)行通信，而端口到應(yīng)用的映射（PAM）允許用戶為不同的應(yīng)用協(xié)議定義一組新的端口號(hào)。用戶可以通過配置端口到應(yīng)用的映射，建立應(yīng)用層協(xié)議和應(yīng)用到該協(xié)議上的自定義端口之間的映射關(guān)系。PAM獨(dú)立于ASPF，ASPF支持PAM即表示可以對(duì)這些自定義端口對(duì)應(yīng)的應(yīng)用連接進(jìn)行檢測(cè)。PAM提供了對(duì)應(yīng)用層協(xié)議的非標(biāo)準(zhǔn)端口應(yīng)用的支持，包括兩類映射機(jī)制：通用端口映射和基于基本訪

20、問控制列表的主機(jī)端口映射。通用端口映射通用端口映射是將用戶自定義端口號(hào)和應(yīng)用層協(xié)議建立映射關(guān)系，例如：將8080 端口映射為HTTP應(yīng)用時(shí)，所有目的端口是8080的TCP報(bào)文都被認(rèn)為是HTTP報(bào)文，這樣就可以通過端口號(hào)來識(shí)別應(yīng)用層協(xié)議。通用端口映射不僅可以支持一個(gè)端口與一個(gè)應(yīng)用的映射，也可以支持多個(gè)端口到一個(gè)應(yīng)用的映射。主機(jī)端口映射主機(jī)端口映射是將某一主機(jī)范圍的某一端口和一個(gè)應(yīng)用層協(xié)議建立映射關(guān)系。主機(jī)范圍可以通過標(biāo)準(zhǔn)ACL來指定。例如：將目的地址為/24網(wǎng)段的、使用8080端口的TCP報(bào)文映射為HTTP報(bào)文。主機(jī)端口映射支持如下兩種映射方式：同一個(gè)主機(jī)范圍內(nèi)，一個(gè)或多個(gè)端口到一個(gè)應(yīng)用的主機(jī)映

21、射方式；不同主機(jī)范圍內(nèi)，一個(gè)端口到多個(gè)應(yīng)用的映射。Java阻斷和ActiveX阻斷在用戶訪問網(wǎng)頁的過程中，若攜帶惡意代碼的Java applet或者ActiveX插件被客戶端下載到本地執(zhí)行，則可能會(huì)對(duì)用戶的計(jì)算機(jī)系統(tǒng)資源造成破壞，因而需要限制未經(jīng)用戶允許的Java applet和ActiveX插件下載到用戶的網(wǎng)絡(luò)中。Java阻斷和ActiveX 阻斷功能分別用于實(shí)現(xiàn)對(duì)來自于不信任站點(diǎn)的Java applet和ActiveX的過濾。Java阻斷功能是通過配置ACL來標(biāo)識(shí)可信任的與不可信的主機(jī)或網(wǎng)段。當(dāng)防火墻配置了支持Java阻斷功能的HTTP協(xié)議檢測(cè)時(shí)，受保護(hù)網(wǎng)絡(luò)內(nèi)的用戶如果試圖通過Web頁面訪

22、問不可信站點(diǎn)，則Web頁面中為獲取包含Java applet程序而發(fā)送的請(qǐng)求指令將會(huì)被ASPF阻斷。ActiveX阻斷功能啟動(dòng)后，所有對(duì)Web頁面中ActiveX插件的請(qǐng)求將被過濾掉。如果用戶仍然希望能夠獲取部分Web頁面的ActiveX插件，必須配置ACL規(guī)則來允許用戶獲取該Web頁面的ActiveX插件。ICMP差錯(cuò)報(bào)文丟棄包過濾防火墻無法識(shí)別來自網(wǎng)絡(luò)中偽造的ICMP差錯(cuò)報(bào)文，從而無法避免ICMP的惡意攻擊。由于正常ICMP差錯(cuò)報(bào)文中均攜帶有本報(bào)文對(duì)應(yīng)連接的相關(guān)信息，ASPF可根據(jù)這些信息匹配到相應(yīng)的連接。如果匹配失敗，就可以根據(jù)當(dāng)前配置決定是否丟棄該ICMP報(bào)文。TCP首包非SYN報(bào)文丟

23、棄包過濾防火墻對(duì)于TCP連接均要求其首報(bào)文為SYN報(bào)文，非SYN報(bào)文的TCP首包將被丟棄。在這種處理方式下，當(dāng)防火墻設(shè)備首次加入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)中原有TCP連接的非首包在經(jīng)過新加入的防火墻設(shè)備時(shí)均被丟棄，這會(huì)中斷已有的連接。ASPF可實(shí)現(xiàn)根據(jù)當(dāng)前配置決定對(duì)TCP首包非SYN報(bào)文是否丟棄。會(huì)話日志與調(diào)試跟蹤與包過濾防火墻相比，ASPF提供了增強(qiáng)的會(huì)話日志功能，可以對(duì)所有的連接進(jìn)行記錄，包括：連接的時(shí)間、源地址、目的地址、使用的端口和傳輸?shù)淖止?jié)數(shù)。此外，通過調(diào)試和日志信息，ASPF可以針對(duì)不同的應(yīng)用協(xié)議實(shí)現(xiàn)對(duì)連接狀態(tài)的跟蹤與調(diào)試，為系統(tǒng)故障診斷提供了豐富的信息。H3C實(shí)現(xiàn)的技術(shù)特色傳統(tǒng)防火墻的策略配置通常都是圍繞報(bào)文入接口、出接口進(jìn)行的。隨著防火墻的不斷發(fā)展，它已經(jīng)不再是僅連接外網(wǎng)和內(nèi)網(wǎng)，而是可以連接內(nèi)網(wǎng)/外網(wǎng)/DMZ多個(gè)網(wǎng)絡(luò)區(qū)域。一臺(tái)高端防火墻通常能夠提供十個(gè)以上的物理接口，同時(shí)連接多個(gè)邏輯網(wǎng)段。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式需要為每一個(gè)接口配置安全策略，給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。和傳統(tǒng)防火墻基于接口的策略配置方式不同，H3C防火墻的ASPF可以支持通過安全域來配置安全策略，即支持域間的訪問控制策略。安全域是一個(gè)虛擬的概念，通常將擁有相同安全策略的接口劃分