安全与aspf技术白皮书

1、：滤缩略语：sControlApplicationLevelApplicationSpecificPacket：滤缩略语：sControlApplicationLevelApplicationSpecificPacketDemilitarized FileHypertext NetworkBasicInput/OutputNetworkAddressorttoApplicationPo -to- RealTimeStreaming -概产生背概产生背协议检TCP检UDP检2.3.1 Java阻断和ActiveX阻ICMP差错报文丢TCP首包非SYN报文丢2.3.5 .H3C实现的技术特1 一种

2、控制两个网络之间IP手滤技术是定义ACL规则来过滤IP数据包。对于需要转发的数过滤首先获取其包头信息（包括IP地址、目的地址、源端口和目的端口等），然后与用户设定的ACL规则进等、配置的ACL规模适中的情况下对设备的1 一种控制两个网络之间IP手滤技术是定义ACL规则来过滤IP数据包。对于需要转发的数过滤首先获取其包头信息（包括IP地址、目的地址、源端口和目的端口等），然后与用户设定的ACL规则进等、配置的ACL规模适中的情况下对设备的性能几乎没有影响。而且通常，IP据包通过。这种基于IP的滤滤和网 的需要以及各种 ernet第3页共12滤。滤的滤滤。滤的滤2 ASPF第4页共12 支持对应用

3、层协议的 和连接状态的检测，这样每一个应用连接的状态信息都将被 ASPF 并用于动态地决定数据包是否被允许通过 或丢支持 Port to Application Map，应用协议端口 ），允许用户自定JavaActiveX阻断功能，分别用于实现对来自于不信任站点的 Java applet 和 ActiveX 的过滤。ICMP ICMP 差错报文中携带的连接信息，决定是否丢弃该 ICMP 报文。图1 ASPF在协议栈中的位2.1 传输层协议检测通常指通用TCP/UDP检测。通用TCP/UDP信息（如报文的源地址、目的地址、传输层状态等）进行图1 ASPF在协议栈中的位2.1 传输层协议检测通常指

4、通用TCP/UDP检测。通用TCP/UDP信息（如报文的源地址、目的地址、传输层状态等）进行的检测。下文将TCP检并图2 ASPF的TCP状态检第5页共12应用传输层IP如图2所示，F对Host向ostB发起的CP连接进行状态检测，对于建立连接的C的3次握手报文，允许其正常通过，并建立CP连接。在该过程中，对于TCHost UDP如图2所示，F对Host向ostB发起的CP连接进行状态检测，对于建立连接的C的3次握手报文，允许其正常通过，并建立CP连接。在该过程中，对于TCHost UDPUDP协议没有状态的概念，ASPF的UDP检测是指，针对UDP连接的地址和行的检测。UDP检测是其它基于U

5、DP的应用协议检测UDP检测的具体过程为， 当ASPF检测到UDP连接发起方的第一个数据报时，ASPF此连接的信息。当ASPF收到接收方回送的UDP数据报时，此连图3 ASPF对UDP的连接检如图3所示，ASPF对UDP报文的地址和端口进行检测，在UDP连接建立过程中，来自其它地址或端口的UDP报文丢弃。2.2 基于应用的状态检测技术是一种基于应用连接的报文状态检测机制。ASPF来匹配后续的报文。目前， ASPF支持进行状态检测的应用协议包括FTPH.323、ILS、NBT、PPTP、RTSP、SIP和SQLNET和H.323）和FTP协议会先使用约定的端口来初始化一个控制连接，然后再动态的选

6、第6页共12择用于数据传输的端口。滤无法检测到动态端口上进行的连接，而ASPF并Private Host向FTP server发起FTPTCP连接建立该连Host的非USERHost发送USER报文，向FTP server发送用户Server发送PASS报文，要求用户输Host的非PASS向Server发送择用于数据传输的端口。滤无法检测到动态端口上进行的连接，而ASPF并Private Host向FTP server发起FTPTCP连接建立该连Host的非USERHost发送USER报文，向FTP server发送用户Server发送PASS报文，要求用户输Host的非PASS向Server

7、发送PASS报文，提供正确图4 ASPF对应用层进行状态检如图4所示，ASPF在Host登录FTP server的过程中并该应用的连接状态。在FTP应用的TCP连接建立后，只允许Host向FTP server用户名之后，只允许Host向FTP server发。FTP连接过程中所有不符合被。第7页共12Private Public FTPHost向FTP server发起FTPHost发送PORT报文，要求FTP server向（IP Port）发起数据连ASPF目的端口非Port的报发往Host的Port Private Public FTPHost向FTP server发起FTPHost发送

8、PORT报文，要求FTP server向（IP Port）发起数据连ASPF目的端口非Port的报发往Host的Port 如图5所示，ASPF在Host登录FTP server的过程中并该应用的连接信息。当Host向FTP server发送PORTPORT中数据通道的信息，建立动态过滤规则，允许双方进行数据通道的建立和数据传2.3 ASPF2.3.1 通常情况下，应用层协议使用通用的端进行通信，而端口到应用的（PAM）关系。PAM独立于ASPF，ASPF支持PAM第8页共12口。1被认为是HTTP端为HTTP应用时，所有目的端口是8080的TCP。2范围可以通过标准ACL来指定。例如：将目的地

9、址为/24网段的、8080端口的TCP为HTTP报文口。1被认为是HTTP端为HTTP应用时，所有目的端口是8080的TCP。2范围可以通过标准ACL来指定。例如：将目的地址为/24网段的、8080端口的TCP为HTTP报文代码的Java applet或者ActiveX端经用户允许的Javaapplet和ActiveX 配置了支持Java阻断功能的HTTP不滤意第9页共122.3.4 TCP首包非SYN滤2.3.5 相比，ASPF外，通过调试和日志信息，ASPF3H3C实现的技术特断2.3.4 TCP首包非SYN滤2.3.5 相比，ASPF外，通过调试和日志信息，ASPF3H3C实现的技术特断发展，它已经不再是仅连和内网，而是可以连接内网的ASPF图6 配置域间控制策略组网如图6所示网络受保护的主机属图6 配置域间控制策略组网如图6所示网络受保护的主机属任的Trust域，对外提供FTP4 ASPF图7 ASPF典型组网应用Tust nust F Tust t 域的所有连接进行传输层协议以及应用层协议状态的检测，从而实现域间的访问控制以及应用状态 。DMZUntrustASPFDMZUntrust如图7所示，私网侧某公司通过启用了ASPF功能对外提供FTP服务和