王月春 張少芳 劉延鋒

摘 要：在企業(yè)網(wǎng)絡(luò)邊界往往需要部署安全策略來保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，區(qū)別于傳統(tǒng)的ACL技術(shù)，ASPF技術(shù)通過對(duì)應(yīng)用協(xié)議的交互過程進(jìn)行監(jiān)聽和記錄，對(duì)會(huì)話過程進(jìn)行檢測(cè)和跟蹤，在理解會(huì)話過程的基礎(chǔ)上通過動(dòng)態(tài)設(shè)置安全策略來進(jìn)行內(nèi)外網(wǎng)通信流量的精確控制，以保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。

關(guān)鍵詞：網(wǎng)絡(luò);ASPF;訪問控制列表;安全;通信

中圖分類號(hào)：TP393.1

Abstract：In the enterprise network boundary，it is often necessary to deploy security policies to protect the security of the internal network，which is different from the traditional ACL technology.ASPF technology monitors and records the interaction process of the application protocol，and detects and tracks the session process.Based on the understanding of the session process，the communication flow of the internal and external networks is precisely controlled by dynamically setting up security policies to ensure the security of the internal network of the enterprise.

Key words：network;ASPF;ACL;security;communication

1 緒論

傳統(tǒng)上，在企業(yè)網(wǎng)絡(luò)的邊界一般會(huì)通過訪問控制列表（Access Control List，ACL）來實(shí)現(xiàn)內(nèi)外網(wǎng)之間流量的分析和過濾，但以ACL為核心的包過濾屬于靜態(tài)過濾技術(shù)，只能根據(jù)數(shù)據(jù)報(bào)文中的特定的信息如協(xié)議的類型、IP地址、端口號(hào)以及一些特定的Flag來過濾流量，并不能檢測(cè)和記錄通信過程和連接狀態(tài)。因此無法理解特定服務(wù)的上下文會(huì)話，也就無法檢測(cè)惡意的TCP響應(yīng)報(bào)文、基于UDP報(bào)文的攻擊以及來自于應(yīng)用層的攻擊行為。

為解決以ACL為核心的靜態(tài)包過濾技術(shù)存在的問題和不足，引入了基于應(yīng)用層的包過濾技術(shù)（Application Specific Packet Filter，ASPF）。

2 ASPF的工作原理

ASPF工作的基本原理是通過對(duì)應(yīng)用協(xié)議的交互過程進(jìn)行監(jiān)聽和記錄，并根據(jù)監(jiān)聽情況動(dòng)態(tài)的創(chuàng)建ACL規(guī)則，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)轉(zhuǎn)發(fā)進(jìn)行精確控制的目的。在網(wǎng)絡(luò)邊界配置了ASPF之后，基于ASPF的包過濾將會(huì)跟蹤、檢測(cè)被審查協(xié)議所產(chǎn)生的每一個(gè)session，并創(chuàng)建對(duì)應(yīng)的連接狀態(tài)表和臨時(shí)ACL，以允許該session對(duì)應(yīng)的返回流量通過。

ASPF協(xié)議檢測(cè)技術(shù)可以分為傳輸層協(xié)議檢測(cè)和應(yīng)用層協(xié)議檢測(cè)兩種情況。

傳輸層協(xié)議檢測(cè)包括TCP協(xié)議檢測(cè)和UDP協(xié)議檢測(cè)。它會(huì)對(duì)數(shù)據(jù)報(bào)文的傳輸層字段（端口號(hào)、傳輸層狀態(tài)）以及網(wǎng)絡(luò)層字段（源IP地址、目的IP地址）等進(jìn)行檢測(cè)。

應(yīng)用層協(xié)議檢測(cè)是ASPF通過跟蹤和維護(hù)指定應(yīng)用層協(xié)議產(chǎn)生的連接狀態(tài)信息，并依據(jù)該連接的當(dāng)前狀態(tài)來匹配后續(xù)的報(bào)文。對(duì)于類似HTTP、SMTP的單通道應(yīng)用層協(xié)議，ASPF的檢測(cè)過程相對(duì)比較簡(jiǎn)單，在發(fā)起連接時(shí)建立連接狀態(tài)表和臨時(shí)ACL，連接刪除時(shí)將其刪除即可。而對(duì)于多通道應(yīng)用層協(xié)議的檢測(cè)則相對(duì)而言比較復(fù)雜。在對(duì)多通道的應(yīng)用層協(xié)議進(jìn)行檢測(cè)時(shí)，ASPF將對(duì)基于控制連接傳遞的協(xié)商建立數(shù)據(jù)連接的數(shù)據(jù)包進(jìn)行解析，從中讀取用來建立數(shù)據(jù)連接的端口，從而創(chuàng)建相應(yīng)的臨時(shí)ACL來允許建立數(shù)據(jù)連接并傳輸數(shù)據(jù)。

3 ASPF應(yīng)用舉例

在此構(gòu)建一個(gè)簡(jiǎn)單的模擬網(wǎng)絡(luò)環(huán)境如下圖所示，其中路由器RTA為連接外部網(wǎng)絡(luò)的路由器。要求允許企業(yè)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)的FTP服務(wù)，但是禁止外網(wǎng)對(duì)內(nèi)網(wǎng)的的任何訪問。

具體的配置命令如下：

[RTA]firewall zone trust

[RTA-zone-trust]priority 15

[RTA-zone-trust]quit

[RTA]firewall zone untrust

[RTA-zone-untrust]priority 1

[RTA-zone-untrust]quit

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet0/0/0]zone trust

[RTA-GigabitEthernet0/0/0]quit

[RTA]interface GigabitEthernet 0/0/1

[RTA-GigabitEthernet0/0/1]zone untrust

[RTA-GigabitEthernet0/0/1]quit

[RTA]acl 3000

[RTA-acl-adv-3000]rule deny ip

[RTA-acl-adv-3000]quit

[RTA]firewall interzone trust untrust

[RTA-interzone-trust-untrust]firewall enable

[RTA-interzone-trust-untrust]packet-filter 3000 inbound

[RTA-interzone-trust-untrust]detect aspf ftp

[RTA-interzone-trust-untrust]quit

在上面的配置中配置了一個(gè)高級(jí)ACL，應(yīng)用在了inbound方向上，即禁止外部網(wǎng)絡(luò)主動(dòng)訪問內(nèi)部網(wǎng)絡(luò)。而應(yīng)用ASPF的目的是使內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)中FTP服務(wù)的返回流量被允許。

此時(shí)，外部網(wǎng)絡(luò)主機(jī)將無法訪問內(nèi)部網(wǎng)絡(luò)的任何服務(wù)，但在內(nèi)網(wǎng)主機(jī)PC1或PC2上連接外部網(wǎng)絡(luò)中的FTP服務(wù)，應(yīng)該可以連接。

4 結(jié)語

通過在網(wǎng)絡(luò)邊界路由器上配置ASPF有效解決了靜態(tài)包過濾技術(shù)無法解析上層會(huì)話、無法監(jiān)控通信過程的問題，實(shí)現(xiàn)了在不影響企業(yè)網(wǎng)絡(luò)訪問外網(wǎng)的同時(shí)禁止外網(wǎng)訪問企業(yè)網(wǎng)絡(luò)內(nèi)部的目的，保障了網(wǎng)絡(luò)邊界的通信安全。

參考文獻(xiàn)：

[1]李冀東，張少芳.中小企業(yè)網(wǎng)絡(luò)邊界安全解決方案研究[J].電腦編程技巧與維護(hù)，2017（7）：88-90.

[2]龐鐳.訪問控制列表在校園網(wǎng)安全防護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（10）：97.104.

[3]侯顯暉.基于網(wǎng)絡(luò)防火墻的訪問控制列表的異常檢測(cè)和策略編輯[J].現(xiàn)代信息科技，2019（11）：171-172.

[4]楊禮.ACL和NAT技術(shù)在局域網(wǎng)中的應(yīng)用與實(shí)踐[J]喀什大學(xué)學(xué)報(bào)，2018（3）：108-111.

[5]張奎，楊禮.訪問控制列表在內(nèi)外網(wǎng)隔離中的應(yīng)用[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2019（2）：1-5.

[6]楊文彬.議高校網(wǎng)絡(luò)建設(shè)中ACL策略的廣泛應(yīng)用[J].太原師范學(xué)院學(xué)報(bào)，2017（1）：64-67.

作者簡(jiǎn)介：王月春（1973-），男，河北遷安人，碩士，高級(jí)工程師，研究方向?yàn)樵朴?jì)算、軟件工程;張少芳（1982-），男，河北寧晉縣人，碩士，副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與管理、網(wǎng)絡(luò)集成技術(shù);劉延鋒（1980-），男，河北邯鄲人，碩士，高級(jí)工程師，主要研究方向?yàn)橛?jì)算機(jī)基礎(chǔ)教育、計(jì)算機(jī)教學(xué)管理。