防火墙基本功能教程课件.pptVIP

课程名称 华为技术有限公司 版权所有 未经许可不得扩散 x-* 所谓的多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道；多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为数据通道的端口是不固定的（协商出来的）其报文方向也是不固定的 多通道协议的典型应用： 这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN，QQ，ICQ等。 防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能，即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则——ServerMap表项，这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换，如此才能保证多通道协议业务的正常。 ServerMap的实质 ServerMap表项本质上是一个三元组表项，五元组表项过于严格，导致多通道协议不能通过防火墙，因为多通道协议再没有子通道报文通过的时候，并不知道完整的5元组信息，只能预测到3元组信息。 ServerMap表项就是用在NAT ALG、ASPF当中，满足多通道协议通过防火墙设计的一个数据结构。 课程名称 华为技术有限公司 版权所有 未经许可不得扩散 x-* ASPF在session表的数据结构中维护着连接的状态信息，并利用这些信息来维护会话的访问规则。ASPF保存着不能由访问列表规则保存的重要的状态信息。防火墙检验数据流中的每一个报文，确保报文的状态与报文本身符合用户所定义的安全规则。连接状态信息用于智能的允许/禁止报文。当一个会话终止时，session表项也将被删除，防火墙中的会话也将被关闭。 对于TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。 UDP是无连接的报文，所以也没有真正的UDP“连接”。因为ASPF是基于连接的，它将对UDP报文的源、目的IP地址、端口进行检查，通过判断该报文是否与所设定的时间段内的其他UDP报文相类似，而近似判断是否存在一个连接。 在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一定的灵活性，在很多负责应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是非常困难的。 ASPF使得系列防火墙能够支持一个控制连接上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。大部分多媒体应用协议（如H.323、SIP）及FTP、netmeeting等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。因此包过滤防火墙只有阻止单通道的应用传输，以免内部网络遭受攻击，只能仅仅阻止了一些使用固定端口的应用，而留下了许多安全隐患。而ASPF监听每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入防火墙，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。 课程名称 华为技术有限公司 版权所有 未经许可不得扩散 x-* FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的servermap表项，以允许相关的报文通过。 从图中可以看出，servermap表项是对FTP控制通道中动态检测的过程中动态产生的，当报文通过防火墙时，ASPF将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，ASPF将动态的产生servermap表项，对于回来的报文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便透过防火墙。因此通过ASPF技术可以保证在应用复杂的情况下，依然可以非常精确的保证网络的安全。PASV和PORT方式 防火墙在对多通道协议支持的时候，采用了5元组