解密HCIE-Security面试考点:ASPF知识全掌握
发布时间:
2020-04-09 14:19:12
ASPF(Application Specific Packet Filter,应用层报文过滤)也叫高级状态包过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。在HCIE-Security面试考试中,我们经常会遇到关于 ASPF的相关考题,下文就针对这个考点的相关知识点进行详细解读。
ASPF将应用层协议划分为单通道协议和多通道协议:
单通道协议:数据交互过程中,只有一个连接参与数据交互。或者指占用一个端口的协议如Telnet、SSH、SMTP、HTTP等。
多通道协议:控制信息的交互和数据的传送需要通过不同的连接完成。或者指占用二个或二个以上端口的协议如FTP、QQ、SIP、PPTP等。
FTP协议介绍
FTP(File Transfer Protocol,文件传输协议)协议是一个典型的基于C/S架构的多通道协议。在其工作过程中,FTP Client和FTP Server之间将会建立两条连接(也称为信道):控制连接和数据连接。控制连接用来传输FTP指令和参数,其中就包括建立数据连接所需要的信息;数据连接用来传输数据。
FTP协议有两种工作模式:被动模式(PASV)和主动模式(PORT)。如果在第二信道中,FTP Server被动接收FTP Client发起的数据连接就是被动模式;如果在第二信道中,FTP Server主动向FTP Client发起数据连接就是主动模式。也就是说区分主被模式,主要是看第二信道由谁先发起。
FTP协议主动模式举例说明如下图:
由于FTP协议使用的是TCP协议,首先要建立TCP三次握手,FTP客户端使用随机端口xxxx向FTP服务器的目的端口21发起连接请求建立控制连接。当三次握手建议成功后。FTP客户端使用PORT命令协商两者进行数据连接的端口号,协商出来的端口是yyyy,第一信道建立完成。所以FTP主模式也叫PORT模式,因为在第一信道中,客户端使用PORT命令协商。
在第二信道中,同样要建立TCP三次握手。FTP服务器以源端口20主动向FTP客户端的yyyy端口发起连接请求,建立数据连接。数据连接建立成功后,才能进行数据传输。第一信道建立完成。
通过上图分析,我们理解了FTP主动模式协商过程。如果FTP客户端和FTP服务器之间有防火墙设备,我们该如何处理呢?下面我们通过实验进行分析。
解决方案一 通过安全策略解决,实验拓扑如下图:
由于华为防火墙默认启用了ASPF FTP功能,所以我们要手动关闭
[NGFW]undo firewall detect ftp
防火墙安全策略配置:
security-policy
rule name ftp1 ##放行控制信道流量
source-zone trust
destination-zone untrust
destination-address 202.100.1.1 mask 255.255.255.255
service ftp
action permit
rule name ftp2 ##放行数据信道流量
source-zone untrust
destination-zone trust
source-address 202.100.1.1 mask 255.255.255.255
destination-address 192.168.1.1 mask 255.255.255.255
action permit
测试结果如下:
查看防火墙会话表如下:
查看客户端日志信息:
如果通过安全策略解决此问题,数据连接使用的端口是在控制连接中临时协商出来的,具有随机性,无法精确预知,所以只能开放客户端的所有端口,这样就会给FTP客户端带来安全隐患。所以华为防火墙中引入了ASPF。
FTP协议ASPF主动模式举例说明如下图:
当防火墙启用ASPF功能后,FW分析了报文的应用层信息,提前预测到后面报文的行为方式,记录应用层信息中关键数据并动态生成Server-map表,报文命中该表项后,不再受安全策略的控制。ASPF生成的Server-map表项,相当于在FW上打开了一个隐藏的通道,使类似FTP的多通道协议的后续报文不受安全策略的控制,利用该通道就可以穿越FW。
解决方案二 通过ASPF解决:
防火墙全局启用ASPF FTP功能,默认开启
[NGFW]firewall detect ftp
防火墙安全策略配置:
security-policy
rule name ftp1 ##放行控制信道流量
source-zone trust
destination-zone untrust
destination-address 202.100.1.1 mask 255.255.255.255
service ftp
action permit
测试结果如下:
Web界面启用ASPF功能:
通过上面的内容,我们详细解读了ASPF。最后留下几个问题,引导大家去思考:
1. FTP ASPF被动模式如何协商的?
2. FTP ASPF被动模式会话表是怎么样的?
3. 如何通过会话表得知已开启ASPF功能?
4. 华为安全技术中哪些会生成Server-map表项?
5. 如果华为防火墙作为FTP Server,是否需要开启ASPF功能?
上一篇:
华为HCIE中国部分考试中心将恢复考试服务!
下一篇:
最新!华为认证考试政策有这些变化