安全与aspf技术白皮书_第1页
安全与aspf技术白皮书_第2页
安全与aspf技术白皮书_第3页
安全与aspf技术白皮书_第4页
免费预览已结束,剩余8页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、:滤缩略语:sControlApplicationLevelApplicationSpecificPacket:滤缩略语:sControlApplicationLevelApplicationSpecificPacketDemilitarized FileHypertext NetworkBasicInput/OutputNetworkAddressorttoApplicationPo -to- RealTimeStreaming -概产生背概产生背协议检TCP检UDP检2.3.1 Java阻断和ActiveX阻ICMP差错报文丢TCP首包非SYN报文丢2.3.5 .H3C实现的技术特1 一种

2、控制两个网络之间IP手滤技术是定义ACL规则来过滤IP数据包。对于需要转发的数过滤首先获取其包头信息(包括IP地址、目的地址、源端口和目的端口等),然后与用户设定的ACL规则进等、配置的ACL规模适中的情况下对设备的1 一种控制两个网络之间IP手滤技术是定义ACL规则来过滤IP数据包。对于需要转发的数过滤首先获取其包头信息(包括IP地址、目的地址、源端口和目的端口等),然后与用户设定的ACL规则进等、配置的ACL规模适中的情况下对设备的性能几乎没有影响。而且通常,IP据包通过。这种基于IP的滤滤和网 的需要以及各种 ernet第3页共12滤。滤的滤滤。滤的滤2 ASPF第4页共12 支持对应用

3、层协议的 和连接状态的检测,这样每一个应用连接的状态信息都将被 ASPF 并用于动态地决定数据包是否被允许通过 或丢支持 Port to Application Map,应用协议端口 ),允许用户自定JavaActiveX阻断功能,分别用于实现对来自于不信任站点的 Java applet 和 ActiveX 的过滤。ICMP ICMP 差错报文中携带的连接信息,决定是否丢弃该 ICMP 报文。图1 ASPF在协议栈中的位2.1 传输层协议检测通常指通用TCP/UDP检测。通用TCP/UDP信息(如报文的源地址、目的地址、传输层状态等)进行图1 ASPF在协议栈中的位2.1 传输层协议检测通常指

4、通用TCP/UDP检测。通用TCP/UDP信息(如报文的源地址、目的地址、传输层状态等)进行的检测。下文将TCP检并图2 ASPF的TCP状态检第5页共12应用传输层IP如图2所示,F对Host向ostB发起的CP连接进行状态检测,对于建立连接的C的3次握手报文,允许其正常通过,并建立CP连接。在该过程中,对于TCHost UDP如图2所示,F对Host向ostB发起的CP连接进行状态检测,对于建立连接的C的3次握手报文,允许其正常通过,并建立CP连接。在该过程中,对于TCHost UDPUDP协议没有状态的概念,ASPF的UDP检测是指,针对UDP连接的地址和行的检测。UDP检测是其它基于U

5、DP的应用协议检测UDP检测的具体过程为, 当ASPF检测到UDP连接发起方的第一个数据报时,ASPF此连接的信息。当ASPF收到接收方回送的UDP数据报时,此连图3 ASPF对UDP的连接检如图3所示,ASPF对UDP报文的地址和端口进行检测,在UDP连接建立过程中,来自其它地址或端口的UDP报文丢弃。2.2 基于应用的状态检测技术是一种基于应用连接的报文状态检测机制。ASPF来匹配后续的报文。目前, ASPF支持进行状态检测的应用协议包括FTPH.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET和H.323)和FTP协议会先使用约定的端口来初始化一个控制连接,然后再动态的选

6、第6页共12择用于数据传输的端口。滤无法检测到动态端口上进行的连接,而ASPF并Private Host向FTP server发起FTPTCP连接建立该连Host的非USERHost发送USER报文,向FTP server发送用户Server发送PASS报文,要求用户输Host的非PASS向Server发送择用于数据传输的端口。滤无法检测到动态端口上进行的连接,而ASPF并Private Host向FTP server发起FTPTCP连接建立该连Host的非USERHost发送USER报文,向FTP server发送用户Server发送PASS报文,要求用户输Host的非PASS向Server

7、发送PASS报文,提供正确图4 ASPF对应用层进行状态检如图4所示,ASPF在Host登录FTP server的过程中并该应用的连接状态。在FTP应用的TCP连接建立后,只允许Host向FTP server用户名之后,只允许Host向FTP server发。FTP连接过程中所有不符合被。第7页共12Private Public FTPHost向FTP server发起FTPHost发送PORT报文,要求FTP server向(IP Port)发起数据连ASPF目的端口非Port的报发往Host的Port Private Public FTPHost向FTP server发起FTPHost发送

8、PORT报文,要求FTP server向(IP Port)发起数据连ASPF目的端口非Port的报发往Host的Port 如图5所示,ASPF在Host登录FTP server的过程中并该应用的连接信息。当Host向FTP server发送PORTPORT中数据通道的信息,建立动态过滤规则,允许双方进行数据通道的建立和数据传2.3 ASPF2.3.1 通常情况下,应用层协议使用通用的端进行通信,而端口到应用的(PAM)关系。PAM独立于ASPF,ASPF支持PAM第8页共12口。1被认为是HTTP端为HTTP应用时,所有目的端口是8080的TCP。2范围可以通过标准ACL来指定。例如:将目的地

9、址为/24网段的、8080端口的TCP为HTTP报文口。1被认为是HTTP端为HTTP应用时,所有目的端口是8080的TCP。2范围可以通过标准ACL来指定。例如:将目的地址为/24网段的、8080端口的TCP为HTTP报文代码的Java applet或者ActiveX端经用户允许的Javaapplet和ActiveX 配置了支持Java阻断功能的HTTP不滤意第9页共122.3.4 TCP首包非SYN滤2.3.5 相比,ASPF外,通过调试和日志信息,ASPF3H3C实现的技术特断2.3.4 TCP首包非SYN滤2.3.5 相比,ASPF外,通过调试和日志信息,ASPF3H3C实现的技术特断发展,它已经不再是仅连和内网,而是可以连接内网的ASPF图6 配置域间控制策略组网如图6所示网络受保护的主机属图6 配置域间控制策略组网如图6所示网络受保护的主机属任的Trust域,对外提供FTP4 ASPF图7 ASPF典型组网应用Tust nust F Tust t 域的所有连接进行传输层协议以及应用层协议状态的检测,从而实现域间的访问控制以及应用状态 。DMZUntrustASPFDMZUntrust如图7所示,私网侧某公司通过启用了ASPF功能对外提供FTP服务和

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论