安全與aspf技術(shù)白皮書(shū)_第1頁(yè)
安全與aspf技術(shù)白皮書(shū)_第2頁(yè)
安全與aspf技術(shù)白皮書(shū)_第3頁(yè)
安全與aspf技術(shù)白皮書(shū)_第4頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、:濾縮略語(yǔ):sControlApplicationLevelApplicationSpecificPacket:濾縮略語(yǔ):sControlApplicationLevelApplicationSpecificPacketDemilitarized FileHypertext NetworkBasicInput/OutputNetworkAddressorttoApplicationPo -to- RealTimeStreaming -概產(chǎn)生背概產(chǎn)生背協(xié)議檢TCP檢UDP檢2.3.1 Java阻斷和ActiveX阻ICMP差錯(cuò)報(bào)文丟TCP首包非SYN報(bào)文丟2.3.5 .H3C實(shí)現(xiàn)的技術(shù)特1 一種

2、控制兩個(gè)網(wǎng)絡(luò)之間IP手濾技術(shù)是定義ACL規(guī)則來(lái)過(guò)濾IP數(shù)據(jù)包。對(duì)于需要轉(zhuǎn)發(fā)的數(shù)過(guò)濾首先獲取其包頭信息(包括IP地址、目的地址、源端口和目的端口等),然后與用戶設(shè)定的ACL規(guī)則進(jìn)等、配置的ACL規(guī)模適中的情況下對(duì)設(shè)備的1 一種控制兩個(gè)網(wǎng)絡(luò)之間IP手濾技術(shù)是定義ACL規(guī)則來(lái)過(guò)濾IP數(shù)據(jù)包。對(duì)于需要轉(zhuǎn)發(fā)的數(shù)過(guò)濾首先獲取其包頭信息(包括IP地址、目的地址、源端口和目的端口等),然后與用戶設(shè)定的ACL規(guī)則進(jìn)等、配置的ACL規(guī)模適中的情況下對(duì)設(shè)備的性能幾乎沒(méi)有影響。而且通常,IP據(jù)包通過(guò)。這種基于IP的濾濾和網(wǎng) 的需要以及各種 ernet第3頁(yè)共12濾。濾的濾濾。濾的濾2 ASPF第4頁(yè)共12 支持對(duì)應(yīng)用

3、層協(xié)議的 和連接狀態(tài)的檢測(cè),這樣每一個(gè)應(yīng)用連接的狀態(tài)信息都將被 ASPF 并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò) 或丟支持 Port to Application Map,應(yīng)用協(xié)議端口 ),允許用戶自定JavaActiveX阻斷功能,分別用于實(shí)現(xiàn)對(duì)來(lái)自于不信任站點(diǎn)的 Java applet 和 ActiveX 的過(guò)濾。ICMP ICMP 差錯(cuò)報(bào)文中攜帶的連接信息,決定是否丟棄該 ICMP 報(bào)文。圖1 ASPF在協(xié)議棧中的位2.1 傳輸層協(xié)議檢測(cè)通常指通用TCP/UDP檢測(cè)。通用TCP/UDP信息(如報(bào)文的源地址、目的地址、傳輸層狀態(tài)等)進(jìn)行圖1 ASPF在協(xié)議棧中的位2.1 傳輸層協(xié)議檢測(cè)通常指

4、通用TCP/UDP檢測(cè)。通用TCP/UDP信息(如報(bào)文的源地址、目的地址、傳輸層狀態(tài)等)進(jìn)行的檢測(cè)。下文將TCP檢并圖2 ASPF的TCP狀態(tài)檢第5頁(yè)共12應(yīng)用傳輸層IP如圖2所示,F(xiàn)對(duì)Host向ostB發(fā)起的CP連接進(jìn)行狀態(tài)檢測(cè),對(duì)于建立連接的C的3次握手報(bào)文,允許其正常通過(guò),并建立CP連接。在該過(guò)程中,對(duì)于TCHost UDP如圖2所示,F(xiàn)對(duì)Host向ostB發(fā)起的CP連接進(jìn)行狀態(tài)檢測(cè),對(duì)于建立連接的C的3次握手報(bào)文,允許其正常通過(guò),并建立CP連接。在該過(guò)程中,對(duì)于TCHost UDPUDP協(xié)議沒(méi)有狀態(tài)的概念,ASPF的UDP檢測(cè)是指,針對(duì)UDP連接的地址和行的檢測(cè)。UDP檢測(cè)是其它基于U

5、DP的應(yīng)用協(xié)議檢測(cè)UDP檢測(cè)的具體過(guò)程為, 當(dāng)ASPF檢測(cè)到UDP連接發(fā)起方的第一個(gè)數(shù)據(jù)報(bào)時(shí),ASPF此連接的信息。當(dāng)ASPF收到接收方回送的UDP數(shù)據(jù)報(bào)時(shí),此連圖3 ASPF對(duì)UDP的連接檢如圖3所示,ASPF對(duì)UDP報(bào)文的地址和端口進(jìn)行檢測(cè),在UDP連接建立過(guò)程中,來(lái)自其它地址或端口的UDP報(bào)文丟棄。2.2 基于應(yīng)用的狀態(tài)檢測(cè)技術(shù)是一種基于應(yīng)用連接的報(bào)文狀態(tài)檢測(cè)機(jī)制。ASPF來(lái)匹配后續(xù)的報(bào)文。目前, ASPF支持進(jìn)行狀態(tài)檢測(cè)的應(yīng)用協(xié)議包括FTPH.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET和H.323)和FTP協(xié)議會(huì)先使用約定的端口來(lái)初始化一個(gè)控制連接,然后再動(dòng)態(tài)的選

6、第6頁(yè)共12擇用于數(shù)據(jù)傳輸?shù)亩丝?。濾無(wú)法檢測(cè)到動(dòng)態(tài)端口上進(jìn)行的連接,而ASPF并Private Host向FTP server發(fā)起FTPTCP連接建立該連Host的非USERHost發(fā)送USER報(bào)文,向FTP server發(fā)送用戶Server發(fā)送PASS報(bào)文,要求用戶輸Host的非PASS向Server發(fā)送擇用于數(shù)據(jù)傳輸?shù)亩丝?。濾無(wú)法檢測(cè)到動(dòng)態(tài)端口上進(jìn)行的連接,而ASPF并Private Host向FTP server發(fā)起FTPTCP連接建立該連Host的非USERHost發(fā)送USER報(bào)文,向FTP server發(fā)送用戶Server發(fā)送PASS報(bào)文,要求用戶輸Host的非PASS向Server

7、發(fā)送PASS報(bào)文,提供正確圖4 ASPF對(duì)應(yīng)用層進(jìn)行狀態(tài)檢如圖4所示,ASPF在Host登錄FTP server的過(guò)程中并該應(yīng)用的連接狀態(tài)。在FTP應(yīng)用的TCP連接建立后,只允許Host向FTP server用戶名之后,只允許Host向FTP server發(fā)。FTP連接過(guò)程中所有不符合被。第7頁(yè)共12Private Public FTPHost向FTP server發(fā)起FTPHost發(fā)送PORT報(bào)文,要求FTP server向(IP Port)發(fā)起數(shù)據(jù)連ASPF目的端口非Port的報(bào)發(fā)往Host的Port Private Public FTPHost向FTP server發(fā)起FTPHost發(fā)送

8、PORT報(bào)文,要求FTP server向(IP Port)發(fā)起數(shù)據(jù)連ASPF目的端口非Port的報(bào)發(fā)往Host的Port 如圖5所示,ASPF在Host登錄FTP server的過(guò)程中并該應(yīng)用的連接信息。當(dāng)Host向FTP server發(fā)送PORTPORT中數(shù)據(jù)通道的信息,建立動(dòng)態(tài)過(guò)濾規(guī)則,允許雙方進(jìn)行數(shù)據(jù)通道的建立和數(shù)據(jù)傳2.3 ASPF2.3.1 通常情況下,應(yīng)用層協(xié)議使用通用的端進(jìn)行通信,而端口到應(yīng)用的(PAM)關(guān)系。PAM獨(dú)立于ASPF,ASPF支持PAM第8頁(yè)共12口。1被認(rèn)為是HTTP端為HTTP應(yīng)用時(shí),所有目的端口是8080的TCP。2范圍可以通過(guò)標(biāo)準(zhǔn)ACL來(lái)指定。例如:將目的地

9、址為/24網(wǎng)段的、8080端口的TCP為HTTP報(bào)文口。1被認(rèn)為是HTTP端為HTTP應(yīng)用時(shí),所有目的端口是8080的TCP。2范圍可以通過(guò)標(biāo)準(zhǔn)ACL來(lái)指定。例如:將目的地址為/24網(wǎng)段的、8080端口的TCP為HTTP報(bào)文代碼的Java applet或者ActiveX端經(jīng)用戶允許的Javaapplet和ActiveX 配置了支持Java阻斷功能的HTTP不濾意第9頁(yè)共122.3.4 TCP首包非SYN濾2.3.5 相比,ASPF外,通過(guò)調(diào)試和日志信息,ASPF3H3C實(shí)現(xiàn)的技術(shù)特?cái)?.3.4 TCP首包非SYN濾2.3.5 相比,ASPF外,通過(guò)調(diào)試和日志信息,ASPF3H3C實(shí)現(xiàn)的技術(shù)特?cái)喟l(fā)展,它已經(jīng)不再是僅連和內(nèi)網(wǎng),而是可以連接內(nèi)網(wǎng)的ASPF圖6 配置域間控制策略組網(wǎng)如圖6所示網(wǎng)絡(luò)受保護(hù)的主機(jī)屬圖6 配置域間控制策略組網(wǎng)如圖6所示網(wǎng)絡(luò)受保護(hù)的主機(jī)屬任的Trust域,對(duì)外提供FTP4 ASPF圖7 ASPF典型組網(wǎng)應(yīng)用Tust nust F Tust t 域的所有連接進(jìn)行傳輸層協(xié)議以及應(yīng)用層協(xié)議狀態(tài)的檢測(cè),從而實(shí)現(xiàn)域間的訪問(wèn)控制以及應(yīng)用狀態(tài) 。DMZUntrustASPFDMZUntrust如圖7所示,私網(wǎng)側(cè)某公司通過(guò)啟用了ASPF功能對(duì)外提供FTP服務(wù)和

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論