基于ASPF的安全检测实验

1、实验九 基于ASPF的安全检测实验实验所属系列：网络安全综合实验系列 实验对象： 本科相关课程及专业：计算机网络安全、信息安全 实验时数（学分）： 4学时实验类别：实践实验类 实验开发教师：谌黔燕【实验目的】1、了解硬件防火墙中的安全检测原理。2、掌握配置ASPF防火墙的方法。【实验内容】1、在防火墙上配置一ASPF策略，检测通过防火墙的FTP和HTTP流量。要求：如果该报文是内部网络用户发起的FTP和HTTP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止。该ASPF策略能够过滤掉来自服务器1的HTTP报文中的Java Applets。 2、配置完成，测试配置结果

2、。【实验环境】1、 连网的个人计算机2台，内部网络PC安装Windows 2000/pro/xp等操作系统，并安装FTP客户端软件；外部网络PC安装Windows 2000 SERVER操作系统。并安装FTP服务器端软件。 2、 Quidway SecPath 100F硬件放火墙一台 3、 RJ-45连接电缆两根。 4、 Console配置电缆一根。【实验参考步骤】1、 按图3-1组网。ethernet 0/0ethernet 1/02.2.210外部PC内部PC防火墙2.2.211FTP Server图3-1 ASPF组网图2、按实验一的相应方法建

3、立配置环境并进入超级终端配置状态。3、对防火墙进行配置（1）在ASPF 安全网关上配置允许防火墙。Quidway firewall packet-filter enable（2）配置访问控制列表3111，以拒绝所有TCP和UDP流量进入内部网络，ASPF会为允许通过的流量创建临时的访问控制列表。Quidway acl number 3111Quidway-acl-adv-3111 rule deny ip（3）创建ASPF策略，策略号为1，该策略检测应用层的两个协议：FTP和HTTP协议，并定义没有任何行为的情况下，FTP协议的超时时间为3000秒。Quidway aspf-policy 1Q

4、uidway-aspf-policy-1 detect ftp aging-time 3000Quidway-aspf-policy-1 detect http java-blocking 2001 aging-time 3000（4）配置访问控制列表2001，以过滤来自站点1的Java Applets。Quidway acl number 2001Quidway-acl-basic-2001 rule deny source 1 0Quidway-acl-basic-2001 rule permit（5）配置本端以太网口的IP地址Quidwayinterface

5、ethernet 0/0Quidway-Ethernet0/0 ip address （6）配置本端广域网口的IP地址Quidwayinterface ethernet 1/0Quidway-Ethernet1/0 ip address 0 （7）在接口上应用ASPF策略Quidway-Ethernet1/0 firewall aspf 1 outbound（8）在接口上应用访问控制列表3111Quidway-Ethernet1/0 firewall packet-filter 3111 inbound（9）配置

6、ethernet 0/0（LAN口）为内部安全区域接口。QuidwayA firewall zone trustQuidwayA -zone-trust add interface ethernet 0/0（10）配置ethernet 1/0（WAN口）为外部广域网接口。QuidwayA firewall zone untrustQuidwayA -zone-untrust add interface ethernet 1/0QuidwayAsave4、 用ping命令检测网络连通性，记录测试数据。5、 从内部网络PC向外部网络服务器发FTP连接，记录测试数据和结果。【实验报告】1、说明本次实

7、验的实验原理。2、提交规划组网的地址信息表。3、分析ping命令检测结果。【实验预备知识】1、ASPF简介基于ACL的包过滤防火墙为静态防火墙，目前存在如下问题：l 对于多通道的应用层协议（如FTP，H.323等），部分安全策略配置无法预知。l 无法检测某些来自于应用层的攻击行为（如TCP SYN，Java applet等）。故提出了状态防火墙ASPF的概念。ASPF（Application Specific Packet Filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。ASPF能够实现的应用层协议检测包括：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.2

8、45， RTP/RTCP）检测；能够实现的传输层协议检测包括对通用TCP/UDP检测。2、ASPF的主要功能如下l 能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。l 能够检测传输层协议信息（即通用TCP和UDP协议检测），能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。ASPF的其它功能：l DoS（Denial of Service，拒绝服务）攻击的检测和防范。l 对应用层报文的内容加以检测

9、，提供对不可信站点的Java Blocking（Java阻断）功能，用于保护网络不受有害的Java Applets的破坏。l 增强的会话日志功能。可以对所有的连接进行记录，包括：记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。l 支持应用协议端口映射PAM（Port to Application Map），允许用户自定义应用层协议使用非通用端口。在网络边界，ASPF和普通的静态防火墙协同工作，能够为企业内部网络提供更全面的、更符合实际需求的安全策略。 3、几个基本概念l Java BlockingJava Blocking 是对通过HTTP协议传输的Java applet小程序进行

10、阻断。当配置了Java Blocking时，用户为试图在web页面中获取包含Java applet的程序而发送的请求指令将会被ASPF阻断过滤。l 端口映射应用层协议使用通用的端口号进行通信。端口映射允许用户对不同的应用定义一组新的端口号。端口映射提供了一些机制来维护和使用用户定义的端口配置信息。PAM支持两类映射机制：通用端口映射和基于基本访问控制列表（ACL）的主机端口映射。通用端口映射是将用户自定义端口号和应用层协议建立映射关系，例如：将8080端口映射为HTTP协议，这样所有目标端口是8080的TCP报文被认为是HTTP报文。基于基本访问控制列表的主机端口映射是对去往/来自某些特定主机

11、的报文建立自定义端口号和应用协议的映射，例如：将目的地址为网段的使用8080端口的TCP报文映射为HTTP报文。主机的范围可由基本的ACL指定。l 单通道协议/多通道协议单通道协议：从会话建立到删除的全过程中，只有一个通道参与数据交互，例如SMTP，HTTP。多通道协议：包含一个控制通道和若干其它控制或数据通道，即控制信息的交互和数据的传送是在不同的通道上完成的，例如FTP，RTSP。l 内部接口和外部接口如果安全网关连接了内部网和Internet，并且安全网关要通过部署ASPF来保护内部网的服务器，则安全网关上与内部网连接的接口就是内部接口，与Internet相连的接口就

12、是外部接口。当ASPF应用于安全网关外部接口的出方向时，可以在防火墙上为内部网用户访问Internet的返回报文打开一个临时通道。4、应用层协议检测的基本原理图3-2 应用层协议检测的基本原理如上图所示，为了保护内部网络，一般情况下需要在安全网关上配置静态访问控制列表，以便允许内部网的主机访问外部网络，同时拒绝外部网络的主机访问内部网络。但静态访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法正常建立。当在安全网关上配置了应用层协议检测后，ASPF可以检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表（TACL）。状态表在检测到第一个外发报文时创建，用于维护一次会话中某一时

13、刻会话所处的状态，并检测会话状态的转换是否正确。临时访问控制列表的表项在创建状态表项的时候同时创建，会话结束后删除，它相当于一个扩展ACL的permit项。TACL主要用于匹配一个会话中的所有返回的报文，可以为某一应用返回的报文在防火墙的外部接口上建立了一个临时的返回通道。下面以FTP检测为例说明多通道应用层协议检测的过程。图3-3 FTP检测过程示意图FTP连接的建立过程如下：假设FTP Client以1333端口向FTP Server的21端口发起FTP控制通道的连接，通过协商决定由Server端的20端口向Client端的1600端口发起数据通道的连接，数据传输超时或结束后连接删除。FT

14、P检测在FTP连接建立到拆除过程中的处理如下：(1) 检查从出接口上向外发送的IP报文，确认为基于TCP的FTP报文。(2) 检查端口号确认连接为控制连接，建立返回报文的TACL和状态表。(3) 检查FTP控制连接报文，解析FTP指令，根据指令更新状态表，如果包含数据通道建立指令，则创建数据连接的TACL；对于数据连接，不进行状态检测。(4) 对于返回报文，根据协议类型做相应匹配检查，检查将根据相应协议的状态表和TACL决定报文是否允许通过。(5) FTP连接删除时，状态表及TACL随之删除。单通道应用层协议（例如SMTP，HTTP）的检测过程比较简单，当发起连接时建立TACL，连接删除时随之删除TACL即可。5、传输层协议检测基本原理这里的传输层协议检测是指通用TCP/UDP检测。通用TCP和UDP检测与应用层协议检测不同，是对报文的传输