目  錄

1 ASPF配置

1.1 ASPF簡介

1.1.1 ASPF的主要功能

1.1.2 ASPF應用

1.1.3 ASPF基本概念

1.1.4 ASPF檢測原理

1.2 ASPF配置限製和指導

1.3 ASPF配置任務簡介

1.4 配置ASPF策略

1.5 在接口上應用ASPF策略

1.6 ASPF顯示和維護

1.6.1 顯示ASPF策略信息

1.6.2 清除ASPF的會話表

1.7 ASPF典型配置舉例

1.7.1 檢測FTP應用的ASPF配置舉例

1.7.2 檢測ICMP和SYN報文的ASPF配置舉例

1.7.3 ASPF支持H.323應用配置舉例

 

1 ASPF配置

1.1  ASPF簡介

為了解決包過濾防火牆存在的問題，提出了狀態防火牆——ASPF（Advanced Stateful Packet Filter，高級狀態包過濾）的概念。

1.1.1  ASPF的主要功能

ASPF能夠實現的主要功能有：

·     應用層協議檢測：檢查應用層協議信息，如報文的協議類型和端口號等信息，並且監控每一個連接的應用層協議狀態。對於所有連接，每一個連接狀態信息都將被ASPF維護，並用於動態地決定數據包是否被允許通過防火牆進入內部網絡，以阻止惡意的入侵。

·     傳輸層協議檢測：檢測傳輸層協議信息，包括TCP協議、UDP協議、UDP-Lite協議、SCTP協議、Raw IP協議、ICMP協議、ICMPv6協議和DCCP協議。例如TCP/UDP檢測，能夠根據源、目的地址及端口號決定TCP或UDP報文是否可以通過防火牆進入內部網絡。

·     ICMP差錯報文檢測：正常ICMP差錯報文中均攜帶有本報文對應連接的相關信息，根據這些信息可以匹配到相應的連接。如果匹配失敗，則根據當前配置決定是否丟棄該ICMP報文。

·     TCP連接首包檢測：對TCP連接的首報文進行檢測，查看是否為SYN報文，如果不是SYN報文則根據當前配置決定是否丟棄該報文。缺省情況下，不丟棄非SYN首包，適用於不需要嚴格TCP協議狀態檢查的組網場景。例如當防火牆設備首次加入網絡時，網絡中原有TCP連接的非首包在經過新加入的設備時如果被丟棄，會中斷已有的連接，造成不好的用戶體驗，因此建議暫且不丟棄非SYN首包，等待網絡拓撲穩定後，再開啟非SYN首包丟棄功能。

1.1.2  ASPF應用

在網絡邊界，ASPF和包過濾防火牆協同工作，包過濾防火牆負責按照ACL規則進行報文過濾（阻斷或放行），ASPF負責對已放行報文進行信息記錄，使已放行的報文的回應報文可以正常通過配置了包過濾防火牆的接口。因此，ASPF能夠為企業內部網絡提供更全麵的、更符合實際需求的安全策略。

1.1.3  ASPF基本概念

1. 單通道協議和多通道協議

ASPF將應用層協議劃分為：

·     單通道協議：完成一次應用的全過程中，隻有一個連接參與數據交互，如SMTP、HTTP。

·     多通道協議：完成一次應用的全過程中，需要多個連接配合，即控製信息的交互和數據的傳送需要通過不同的連接完成的，如FTP。

2. 內部接口和外部接口

如果設備連接了內部網絡和外部網絡，並且要通過部署ASPF來保護內部網絡中的主機和服務器，則設備上與內部網絡連接的接口就稱為內部接口，與外部網絡相連的接口就稱為外部接口。

若需要保護內部網絡，則可以將ASPF應用於設備外部接口的出方向或者應用於設備內部接口的入方向。

1.1.4  ASPF檢測原理

1. 應用層協議檢測基本原理

圖1-1 應用層協議檢測基本原理示意圖

 

如圖1-1所示，為了保護內部網絡，可以在邊界設備上配置訪問控製列表，以允許內部網絡的主機訪問外部網絡，同時拒絕外部網絡的主機訪問內部網絡。但是訪問控製列表會將用戶發起連接後返回的報文過濾掉，導致連接無法正常建立。利用ASPF的應用層協議檢測可以解決此問題。

當在設備上配置了應用層協議檢測後，ASPF可以檢測每一個應用層的連接，具體檢測原理如下：

·     對於單通道協議，ASPF在檢測到第一個向外發送的報文時創建一個會話表項。該會話表項中記錄了對應的正向報文信息和反向報文信息，用於維護會話狀態並檢測會話狀態的轉換是否正確。匹配某條會話表項的所有報文都將免於接受靜態包過濾策略的檢查。

·     對於多通道協議，ASPF除了創建會話表項之外，還會根據協議的協商情況，創建一個或多個關聯表項，用於關聯屬於同一個應用業務的不同會話。關聯表項在多通道協議協商的過程中創建，在多通道協議協商完成後刪除。關聯表項主要用於匹配會話首報文，使已通過協商的會話報文可免於接受靜態包過濾策略的檢查。

單通道應用層協議（如HTTP）的檢測過程比較簡單，當發起連接時建立會話表項，連接刪除時隨之刪除會話表項即可。下麵以FTP檢測為例說明多通道應用層協議檢測的過程。

圖1-2 FTP檢測過程示意圖

 

如圖1-2所示，FTP連接的建立過程如下：假設FTP client以1333端口向FTP server的21端口發起FTP控製通道的連接，通過協商決定在FTP server的20端口與FTP Client的1600端口之間建立數據通道，並由FTP server發起數據連接，數據傳輸超時或結束後數據通道刪除。

FTP檢測在FTP連接建立到拆除過程中的處理如下：

(1)     檢查FTP client向FTP server發送的IP報文，確認為基於TCP的FTP報文。檢查端口號，確認該連接為FTP client與FTP server之間的控製連接，建立會話表項。

(2)     檢查FTP控製連接報文，根據會話表項進行TCP狀態檢測。解析FTP指令，如果包含數據通道建立指令，則創建關聯表項描述對應數據連接的特征。

(3)     對於返回的FTP控製連接報文，根據會話表項進行TCP狀態檢測，檢測結果決定是否允許報文通過。

(4)     FTP數據連接報文通過設備時，將會觸發建立數據連接的會話表項，並刪除所匹配的關聯表項。

(5)     對於返回的FTP數據連接報文，則通過匹配數據連接的會話表項進行TCP狀態檢測，檢查結果決定是否允許報文通過。

(6)     數據連接結束時，數據連接的會話表項將被刪除。FTP連接刪除時，控製連接的會話表項也會被刪除。

2. 傳輸層協議檢測基本原理

傳輸層協議檢測通過建立會話表項記錄報文的傳輸層信息，如源地址、目的地址及端口號等，達到動態放行報文的目的。

傳輸層協議檢測要求返回到ASPF外部接口的報文要與之前從ASPF外部接口發出去的報文完全匹配，即源地址、目的地址及端口號完全對應，否則返回的報文將被丟棄。因此對於FTP這樣的多通道應用層協議，在不配置應用層檢測而直接配置TCP檢測的情況下會導致數據連接無法建立。

1.2  ASPF配置限製和指導

若配置了detect命令，則對報文的應用層協議進行ASPF檢查；若沒有配置detect命令，則對報文的傳輸層協議和應用層協議FTP進行ASPF檢查。

如果設備上其他業務模塊開啟ALG功能時，即便未配置多通道應用層協議的ASPF檢測，多通道協議的數據連接也可以建立成功。例如：開啟DPI相關業務功能時會打開ALG功能，此時DPI處理的多通道協議（如SIP等）報文進行ASPF處理時，即便未配置SIP協議的ASPF檢測，SIP協議的數據連接也可以建立成功；開啟NAT ALG功能時，即便未配置多通道協議的ASPF檢測，多通道協議的數據連接也可以建立成功。但是在設備上未配置DPI（Deep Packet Inspection，深度報文檢測）相關業務功能隻配置了ASPF功能的情況下，必須配置detect命令，否則會導致數據連接無法建立。detect命令支持的應用層協議中除HTTP、SMTP和TFTP之外的所有應用層協議均為多通道應用層協議。

ASPF策略默認已經開啟對傳輸層協議的檢測，無需進行配置，也不能修改。

可以根據需要在ASPF策略中配置應用層協議檢測。目前，設備對於部分應用層協議（DNS、FTP、H323、HTTP、SCCP、SIP、SMTP），還支持進行協議狀態合法性檢查功能，對不符合協議狀態的報文進行丟棄。對於其它應用層協議，僅進行連接狀態信息的維護，不做協議狀態合法性檢查。

1.3  ASPF配置任務簡介

ASPF配置任務如下：

(1)     配置ASPF策略

(2)     在接口上應用ASPF策略

1.4  配置ASPF策略

(1)     進入係統視圖。

system-view

(2)     創建ASPF策略，並進入ASPF策略視圖。

aspf policy aspf-policy-number

創建ASPF策略後，係統默認開啟對傳輸層協議的檢測，無需進行配置，也不能修改。

(3)     （可選）配置對應用層協議的ASPF檢測。

detect { dns [ action { drop | logging } * ] | { ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }

缺省情況下，配置了應用層協議FTP的ASPF檢測。

配置action參數時，ASPF還會對應用層協議進行協議狀態合法性檢查，對不符合協議狀態的報文可進行丟棄。

(4)     （可選）開啟ICMP差錯報文丟棄功能。

icmp-error drop

缺省情況下，不丟棄ICMP差錯報文。

(5)     （可選）開啟非SYN的TCP首報文丟棄功能。

tcp syn-check

缺省情況下，不丟棄非SYN的TCP首報文。

1.5  在接口上應用ASPF策略

1. 功能簡介

隻有將定義好的ASPF策略應用到接口的出或入方向上，才能對通過接口的特定方向的流量進行檢測。在處理入接口報文時需要查找對應接口入方向的策略；在處理出接口報文時需要查找對應接口出方向的策略。如果接口應用了ASPF策略，所有進入或離開該接口的報文都需要與會話表項進行匹配，查找不到與之匹配的會話表項時會觸發創建會話表。

如果ASPF與包過濾防火牆協同工作，可以在外部接口或內部接口的入方向或出方向上配置特定的ASPF和包過濾策略，根據特定配置，可以拒絕外部網絡上的用戶對內部網絡的主動訪問，但內部網絡的用戶訪問外部網絡時，返回的報文可以按照外部接口出方向或內部接口入方向上的ASPF配置進行ASPF檢測。

2. 配置限製和指導

由於ASPF對於應用層協議狀態的保存和維護都是基於接口的，因此在實際應用中，必須保證報文入口的一致性，即必須保證連接發起方發送的報文和響應端返回的報文經過同一接口。

3. 配置步驟

(1)     進入係統視圖。

system-view

(2)     進入接口視圖。

interface interface-type interface-number

(3)     在接口上應用ASPF策略。

aspf apply policy aspf-policy-number { inbound | outbound }

缺省情況下，接口上沒有應用ASPF策略。

1.6  ASPF顯示和維護

1.6.1  顯示ASPF策略信息

可在任意視圖下執行以下命令：

·     查看ASPF策略配置信息及應用ASPF策略的信息。

display aspf all

·     查看接口上的ASPF策略信息。

display aspf interface

·     查看ASPF策略的配置信息。

display aspf policy { aspf-policy-number | default }

·     查看ASPF的會話表信息。

display aspf session [ ipv4 | ipv6 ] [ slot slot-number ] [ verbose ]

1.6.2  清除ASPF的會話表

請在用戶視圖下執行以下命令，清除ASPF的會話表。

reset aspf session [ ipv4 | ipv6 ] [ slot slot-number ]

1.7  ASPF典型配置舉例

1.7.1  檢測FTP應用的ASPF配置舉例

1. 組網需求

Router A為連接內部網絡與外部網絡的邊界設備，內部網絡中的本地用戶需要訪問外部網絡提供的FTP服務。要求配置ASPF策略，檢測通過Router A的FTP流量。如果該報文是內部網絡用戶發起的FTP連接的返回報文，則允許其通過Router A進入內部網絡，其它報文被禁止。

2. 組網圖

圖1-3 檢測FTP應用的ASPF配置組網圖

‌

3. 配置步驟

# 配置ACL 3111，定義規則：拒絕所有IP流量進入內部網絡。

<RouterA> system-view

[RouterA] acl advanced 3111

[RouterA-acl-ipv4-adv-3111] rule deny ip

[RouterA-acl-ipv4-adv-3111] quit

# 創建ASPF策略1，配置檢測應用層協議FTP。

[RouterA] aspf policy 1

[RouterA-aspf-policy-1] detect ftp

[RouterA-aspf-policy-1] quit

# 在接口GigabitEthernet0/0/1的入方向上應用包過濾策略，拒絕所有IP流量進入內部網絡。

[RouterA] interface gigabitethernet 0/0/1

[RouterA-GigabitEthernet0/0/1] packet-filter 3111 inbound

# 在接口GigabitEthernet0/0/1的出方向上應用ASPF策略，ASPF會為內部網絡和外部網絡之間的FTP連接創建會話表項，並允許匹配該表項的外部網絡返回報文進入內部網絡。

[RouterA-GigabitEthernet0/0/1] aspf apply policy 1 outbound

4. 驗證配置

以上配置完成後，從Host向Server發起的FTP連接可正常建立，而從外部網絡發起連接的報文則無法進入內部網絡。在Router A上可以查看到已經建立的ASPF會話。

<RouterA> display aspf session ipv4

Slot 0:

Initiator:

  Source      IP/port: 192.168.1.2/1877

  Destination IP/port: 2.2.2.11/21

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet0/0/1

 

Total sessions found: 1

1.7.2  檢測ICMP和SYN報文的ASPF配置舉例

1. 組網需求

Router A為連接內部網絡與外部網絡的邊界設備，內部網絡中的本地用戶需要訪問外部網絡。為避免來自外部網絡的ICMP和SYN報文的惡意攻擊，要求在Router A上配置ASPF策略，實現ICMP差錯報文檢測及TCP非SYN首報文丟棄功能。

2. 組網圖

圖1-4 檢測ICMP和SYN報文的ASPF配置組網圖

‌

3. 配置步驟

# 配置ACL 3111，定義規則：拒絕所有IP流量進入內部網絡。

<RouterA> system-view

[RouterA] acl advanced 3111

[RouterA-acl-ipv4-adv-3111] rule deny ip

[RouterA-acl-ipv4-adv-3111] quit

# 創建ASPF策略1。

[RouterA] aspf policy 1

# 設置ASPF策略1丟棄ICMP差錯報文。

[RouterA-aspf-policy-1] icmp-error drop

# 設置ASPF策略1丟棄非SYN的TCP首報文。

[RouterA-aspf-policy-1] tcp syn-check

# 配置ASPF策略1檢測應用層協議FTP。（此處僅為示例，可根據實際組網配置需要檢測的協議）

[RouterA-aspf-policy-1] detect ftp

[RouterA-aspf-policy-1] quit

# 在接口GigabitEthernet0/0/1的入方向上應用包過濾策略，拒絕所有IP流量進入內部網絡。

[RouterA] interface gigabitethernet 0/0/1

[RouterA-GigabitEthernet0/0/1] packet-filter 3111 inbound

# 在接口GigabitEthernet0/0/1的出方向上應用ASPF策略。

[RouterA-GigabitEthernet0/0/1] aspf apply policy 1 outbound

[RouterA-GigabitEthernet0/0/1] quit

4. 驗證配置

# 查看策略號為1的ASPF策略的配置信息。

[RouterA] display aspf policy 1

ASPF policy configuration:

  Policy number: 1

    ICMP error message check: Enabled

    TCP SYN packet check: Enabled

    Inspected protocol    Action

      FTP                  None

 

通過以上配置，Router A能夠識別出來自網絡中偽造的ICMP差錯報文，可以避免ICMP的惡意攻擊，而且非SYN報文的TCP首包也將被丟棄。

1.7.3  ASPF支持H.323應用配置舉例

1. 組網需求

在如圖1-5所示的一種常見的H.323典型組網應用中，Router A為連接內部網絡與外部網絡的邊界設備，外部網絡中的Gateway B需要訪問內部網絡中的H.323 GateKeeper，並通過GateKeeper的協助，與內網中的H.323端點Gateway A建立呼叫連接。要求配置ASPF策略，檢測通過Router A的H.323協議報文，允許外部網絡設備主動訪問內部網絡的GateKeeper，並通過與其協商進而實現訪問Gateway A，其它協議的外部網絡報文均被禁止。

2. 組網圖

圖1-5 ASPF支持H.323配置組網圖

‌

3. 配置步驟

# 配置ACL 3200，定義規則：拒絕所有除訪問GateKeeper之外的IP流量進入內部網絡。

<RouterA> system-view

[RouterA] acl advanced 3200

[RouterA-acl-ipv4-adv-3200] rule 0 permit ip destination 192.168.1.2 0

[RouterA-acl-ipv4-adv-3200] rule 5 deny ip

[RouterA-acl-ipv4-adv-3200] quit

# 創建ASPF策略1，配置檢測應用層協議H.323。

[RouterA] aspf policy 1

[RouterA-aspf-policy-1] detect h323

[RouterA-aspf-policy-1] quit

# 在接口GigabitEthernet0/0/1的入方向上應用包過濾策略，拒絕所有除訪問GateKeeper之外的流量進入內部網絡。

[RouterA] interface gigabitethernet 0/0/1

[RouterA-GigabitEthernet0/0/1] packet-filter 3200 inbound

# 在接口GigabitEthernet0/0/1的入方向上應用ASPF策略，ASPF會為內部網絡和外部網絡之間的H.323連接創建會話表項，並允許匹配該表項的外部網絡返回報文進入內部網絡。

[RouterA-GigabitEthernet0/0/1] aspf apply policy 1 inbound

[RouterA-GigabitEthernet0/0/1] quit

4. 驗證配置

以上配置完成後，從Gateway B向GateKeeper發起的H.323連接以及從Gateway B向Gateway A發起的H323連接均可正常建立，但外部網絡發起的其它協議的報文則無法進入內部網絡。在Router A上可以查看到已經建立的ASPF會話。

[RouterA] display aspf session ipv4

Slot 0:

Initiator:

  Source      IP/port: 1.1.1.111/33184

  Destination IP/port: 192.168.1.3/32828

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet0/0/1

 

Initiator:

  Source      IP/port: 1.1.1.111/1719

  Destination IP/port: 192.168.1.2/1719

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet0/0/1

 

Initiator:

  Source      IP/port: 1.1.1.111/3521

  Destination IP/port: 192.168.1.2/20155

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet0/0/1

 

Initiator:

  Source      IP/port: 1.1.1.111/33185

  Destination IP/port: 192.168.1.3/32829

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: UDP(17)

  Inbound interface: GigabitEthernet0/0/1

 

Initiator:

  Source      IP/port: 1.1.1.111/3688

  Destination IP/port: 192.168.1.2/1720

  VPN instance/VLAN ID/INLINE ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet0/0/1

 

Total sessions found: 5