aspf简介

1. aspf介绍

aspf（application specific packet filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。

aspf还提供以下功能：

dos（denial of service，拒绝服务）的检测和防范。

java blocking（java阻断）保护网络不受有害java applets的破坏。

activex blocking（activex阻断）保护网络不受有害activex的破坏。

支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。

增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。

aspf对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。

aspf能对如下协议的流量进行监测：ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。

2. qq/msn聊天的检测

目前，为了节省有限的ip地址资源，绝大部分网络中都部署了nat设备提供地址转换，不同内部网络中的用户经过nat转换后进行聊天。对于纯文本聊天，由于在qq/msn服务器中就保存了这两个聊天用户的地址映射信息，因此信息交互可以顺利地通过qq/msn服务器中转。

当两个用户之间传送文件或进行音频/视频聊天时，为了减少qq/msn服务器因中转而消耗过大资源，希望两个用户的设备能够直接交互大流量的文件/音频/视频信息，但是传统的nat设备没法实现该需求。

通过在secpath防火墙的域间（私网和公网）启动qq/msn检测功能，从而让防火墙在qq/msn聊天启动时就创建地址映射关系，这样两个私网用户就能直接传送文件和进行音频/视频聊天。

3. 三元组aspf

secpath防火墙相当于一个五元组的nat设备，即防火墙上的每个会话的建立都需要五元组：源ip地址、源端口、目的ip地址、目的端口、协议号。只有这些元素都具备了，会话才能建立成功，报文才能通过。而一些象qq、msn等实时通讯工具，通过nat设备，却需要按三元组处理：源ip地址，源端口、协议号。secpath防火墙为了适配类似qq、msn等通讯机制，变五元组处理方式为三元组方式，让类似qq、msn等的通讯方式能够正常的穿越。

2.5.2 aspf配置

aspf的配置包括：

在安全区域间应用aspf策略

使能三元组aspf

1. 在安全区域间应用aspf策略

只有将定义好aspf策略应用到安全区域间，才能对通过两个安全区域的流量进行检测，包括qq/msn聊天信息。

请在域间视图下进行下列配置。

缺省情况下，未在安全区域间应用aspf策略。

使用detect all命令不能设置java阻断和activex阻断；使用undo detect all命令不能取消所设置的java阻断和activex阻断。

msn使用私有协议msnp，由于msnp的通话端口是随机分配的，而防火墙开放的端口很少，当外网向内网发起呼叫请求时，防火墙无法解析msnp协议，无法知道外网主机的地址。这时需要打开udp的1000-9999号端口，以使防火墙能够获得msn的外网主机地址，使msn会话能够顺利进行。

由于msn同时使用tcp的1863和443号端口作为登录和文字聊天的通道，所以需要打开以上两个端口，使msn会话顺利进行。

2. 使能三元组aspf

请在域间视图下进行下列配置。

在域间的入方向或出方向上使能三元组aspf时，可以引用范围为3000～3999的acl规则。缺省情况下，禁止三元组aspf处理功能。

2.5.3 aspf典型配置举例

1. 组网需求

在secpath防火墙上配置aspf检测，检测通过防火墙的ftp和http流量。要求：如果该报文是从trust区域向untrust区域发起ftp和http连接的返回报文，则允许其通过防火墙再进入trust区域，其他报文被禁止；并且，此aspf检测策略能够过滤掉来自外部网络服务器2.2.2.11的http报文中的java applets。本例可以应用在本地用户需要访问远程网络服务的情况下。

2. 组网图

3. 配置步骤

# 配置aspf检测策略，定义ftp和http协议的检测超时时间为3000秒。

[secpath] firewall session aging-time ftp 3000

[secpath] firewall session aging-time http 3000

# 配置acl 3101，拒绝所有tcp和udp流量进入内部网络。

[secpath] acl number 3101

[secpath-acl-adv-3101] rule deny ip

# 配置acl 2010，拒绝来自站点2.2.2.11的java applets报文。

[secpath] acl number 2010

[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0

[secpath-acl-basic-2010] rule permit source any

# 配置trust和untrust区域间出方向包过滤缺省动作为允许。

[secpath] firewall packet-filter default permit interzone trust untrust direction outbound

# 配置在trust和untrust区域间上应用acl规则和aspf策略。

[secpath] firewall interzone trust untrust

[secpath-interzone-trust-untrust] packet-filter 3101 inbound

[secpath-interzone-trust-untrust] detect ftp

[secpath-interzone-trust-untrust] detect http

[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound