操作手册 安全分册 防火墙 第 1 章 防火墙配置
1-3
1.1.2 ASPF 简介
包过滤防火墙属于静态防火墙,目前存在的问题如下:
z 对于多通道的应用层协议(如 FTP、H.323 等),部分安全策略配置无法预知。
z 无法检测某些来自传输层和应用层的攻击行为(如 TCP SYN、Java Applets
等)。
z 无法识别来自网络中伪造的 ICMP 差错报文,从而无法避免 ICMP 的恶意攻击。
z 对于 TCP 连接均要求其首报文为 SYN 报文,非 SYN 报文的 TCP 首包将被丢
弃。在这种处理方式下,当设备首次加入网络时,网络中原有 TCP 连接的非
首包在经过新加入的防火墙设备时均被丢弃,这会对中断已有的连接。
因此,提出了状态防火墙——ASPF 的概念。ASPF 能够实现的检测有:
z 应用层协议检测,包括 FTP、HTTP、SMTP、RTSP、H.323(Q.931、H.245、
RTP/RTCP)检测;
z 传输层协议检测,包括 TCP 和 UDP 检测,即通用 TCP/UDP 检测。
1. ASPF 的功能
ASPF 的主要功能如下:
z 能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于
连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被 ASPF 维
护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶
意的入侵。
z 能够检测传输层协议信息(即通用 TCP/UDP 检测),能够根据源、目的地址
及端口号决定 TCP 或 UDP 报文是否可以通过防火墙进入内部网络。
ASPF 的其它功能有:
z ASPF 不仅能够根据连接的状态对报文进行过滤,还能够对应用层报文的内容
加以检测,提供对不可信站点的 Java Blocking 功能,用于保护网络不受有害
的 Java Applets 的破坏。
z 增强的会话日志功能。可以对所有的连接进行记录,包括:连接的时间、源地
址、目的地址、使用的端口和传输的字节数。
z 支持 PAM(Port to Application Map,应用协议端口映射),允许用户自定义
应用层协议使用非通用端口。
z 支持 ICMP 差错报文检测。正常 ICMP 差错报文中均携带有本报文对应连接的
相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前
配置决定是否丢弃该 ICMP 报文。