防火墙分类:

1.包过滤防火墙

2.代理型防火墙

3.状态检测防火墙

 

ASPF技术背景

防火墙和传统网络设备路由器有一个很大的区别就是:路由器设备只关注网络层的内容,根据IP地址查找出接口完成报文的正确转发,对于应用层的内容路由器是不关心的,完成异构网的互联互通是路由器本质的一个功能。由于IP协议本身的特点,因此非常容易在应用层携带很多有害于网络的内容,造成网络的安全隐患

防火墙的主要功能是保证网络的安全,防火墙除了关注网络层的安全,同时还关注应用层的安全,关注应用层安全可以实现更智能的安全防范保证网络的安全,更准确的识别非法的访问。在提供应用层的安全同时,高效、准确等方面也是防火墙产品很重要的一个方面,因此对于业务支持的特性是防火墙很重要的一个方面

ASPF概念:

ASPF ( Application Specific Packet Filter) 是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃

ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,以对一部分攻击加以检测和防范

状态检测技术在网络层实现所有需要的防火墙能力,它既有包过滤机制的速度和灵活,也有代理型防火墙安全的优点

ACL VS ASPF

比较内容

ACL

ASPF

原理

对每个IP数据包按照用户所定义的策略规则(访问控制列表,ACL)进行过滤。包过滤不管会话的状态,也不分析数据

对于每一个应用层协议建立会话信息以及状态信息,实时检测数据流的状态信息,并动态的根据状态信息决定数据包的动作

配置

较繁琐

简单

设计实现

简单

复杂,必须支持尽可能多的应用层协议,以保证用户的正常使用。并且需要实时增加协议的支持

对系统性能影响

速度快,但策略过多会导致性能急剧下降

需要进行状态检测等复杂处理,效率相对于ACL低,并且消耗部分系统资源

对多通道协议的支持

不支持

非常适用于需要动态建立连接的应用协议

安全性

低,无法检测某些来自于应用层的攻击行为

高,能够根据连接的状态及应用层报文内容进行过滤,有效防范攻击

 

ASPF基本概念:

会话表(Session)

在状态防火墙中会动态维护着一个Session表项。Session表标识一个“完整连接”,一个完整的连接由5元组构成(源地址、目的地址、源端口、目的端口、协议号),Session表中记录了连接的状态信息,可以用来监控会话的状态跃迁,不符合状态跃迁的报文会被丢弃

单通道协议可以使用Session表来检查连接状态的变化,但对连接未完全建立起来的多通道协议来说,还不够,因此引入了Servermap表来处理多通道连接的状态检查

 

多通道协议

某个应用协议通话时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道根据控制通道中双方协商的信息动态创建,一般称为数据通道或子通道

多通道协议在防火墙以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的),其报文方向也是不固定的

多通道协议主要包括:数据传输协议(FTP、TFTP等)、 音视频相关(H.323协议族、SIP、MGCP等)、聊天通讯软件(MSN,QQ,ICQ等)

Servermap表项

在多通道协议中,如FTP,控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的,为了避免协商出来的通道不因其他规则的限制(如ACL)而中断,需要临时开启一个通道,而Servermap就是为了满足这种应用而设计的一种数据结构

Servermap表是标识一个“不完整连接”的。不完整连接的含义是:在防火墙上建立表项的时候,五元组不能完全知道,只能知道目的地址、目的端口、协议号三元组

Servermap是一个“临时通道”,利用该“临时通道”,外部连接可以进入内部网络