《Eudemon特性-业务特性介绍》由会员分享,可在线阅读,更多相关《Eudemon特性-业务特性介绍(13页珍藏版)》请在金锄头文库上搜索。
1、Edumon特性-业务特性介绍l 机密Eudemon特性业务特性介绍Huawei Technologies Co., Ltd. 华为技术有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2004-05-091.00initial 初稿完成Catalog 目 录1简介51.1概述51.2基本概念51.3范围52实现原理62.1概述62.2ASPF的优势62.3ASPF针对单通道协议的过滤原理72.4ASPF针对多
2、通道协议的过滤原理73eudemon业务特性的规格83.1通用TCP检测83.2通用UDP检测83.3TCP半连接检查93.4SMTP检测93.5HTTP检测93.6FTP检测93.7RTSP检测93.8H.323检测103.9RAS信令的检测113.10IP分片报文的检测113.11其他业务的支持123.12端口到应用的通用映射123.13端口到应用的主机映射124业务特性的优势124.1对多通道协议支持的安全性124.2针对业务的数据流管理134.3业务支持的完整性134.4支持完善的语音业务13Keywords 关键词:Abstract 摘 要:List of abbreviations
3、 缩略语清单: Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释1 简介1.1 概述防火墙和传统网络设备路由器有一个很大的区别就是:路由器设备只关注网络层的内容,根据IP地址查找出接口完成报文的正确转发,对于应用层的内容路由器是不关心的,完成异构网的互联互通是路由器本质的一个功能。由于IP协议本身的特点,因此非常容易在应用层携带很多有害于网络的内容,造成网络的安全隐患。防火墙的主要功能是保证网络的安全,防火墙除了关注网络层的安全,同时还关注应用层的安全,关注应用层安全可以实现更智能的安全防范保证网络的安全,更准确的识别非法的访
4、问。在提供应用层的安全同时,高效、准确等方面也是防火墙产品很重要的一个方面,因此对于业务支持的特性是防火墙很重要的一个方面。本文就是介绍eudemon系列防火墙在业务特性支持方面做的工作,介绍一下eudemon系列防火墙如何更好的支持业务特性,如何根据根据业务的特点提供更准确、高效的安全防范。1.2 基本概念在介绍防火墙的业务特性的时候,我们先介绍两个基本概念:session表和servermap表。session表是标识一个“完整连接”的,一个完整的连接是由5元组构成(源地址、目的地址、源端口、目的端口、协议号),当一次TCP访问完成的时候,在防火墙上则会建立一个完整的session表项,通
5、过这个session表项可以标识这个连接的状态监控,利用session表项就可以监控一个会话的状态跃迁。servermap是标识一个“不完整连接”的。不完整连接的概念是:在防火墙上建立表项的时候,五元组不能完全知道,只能知道目的地址、目的端口、协议号三元组的情况。servermap是一个“通道”,利用servermap可以使得外部网络可以访问内部网络。servermap表项可以使用在类似FTP的多通道协议上,后面会对两个基本概念再进行深入介绍。1.3 范围本文介绍了eudemon防火墙支持的业务特性规格、实现的基本原理、一些组网特点等方面的内容。eudemon防火墙采用ASPF(Applica
6、tion status packet filter )状态包过滤技术对各种业务实现在应用层面的检测,是一种高级的通信过滤技术,采用ASPF技术可以实现智能防火墙应用。2 实现原理2.1 概述ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。eudemon系列防火墙提供了基于报文内容的访问控制,即ASPF,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。ASPF不但对报文的网络层的信息进行检测,还对
7、应用层的协议信息(如FTP)进行检测。ASPF在session表的数据结构中维护着连接的状态信息,并利用这些信息来维护会话的访问规则。ASPF保存着不能由访问列表规则保存的重要的状态信息。防火墙检验数据流中的每一个报文,确保报文的状态与报文本身符合用户所定义的安全规则。连接状态信息用于智能的允许/禁止报文。当一个会话终止时,session表项也将被删除,防火墙中的会话也将被关闭。对于TCP连接,ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”,通过检测握手、拆连接的状态检测,保证一个正常的TCP访问可以正常进行,而对于非完整的TCP握手连接的报文会直接拒绝。UDP是无连
8、接的报文,所以也没有真正的UDP“连接”。因为ASPF是基于连接的,它将对UDP报文的源、目的IP地址、端口进行检查,通过判断该报文是否与所设定的时间段内的其他UDP报文相类似,而近似判断是否存在一个连接。2.2 ASPF的优势在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多负责应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说,配置防火墙则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因
9、此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题,它检测IP层之上的应用层报文信息,并动态地根据报文的内容创建和删除临时的servermap表项,以允许相关的报文通过。ASPF使得eudemon系列防火墙能够支持一个控制连接上存在多个数据连接的协议,同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议,如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信,但大部分多媒体应用协议(如H.323、SIP)及FTP、netmeeting等协议使用约定的端口来初始化一个控制连接,再动态的选择端口用于数据传输。端口的选择是不可预测的,其中
10、的某些应用甚至可能要同时用到多个端口。因此包过滤防火墙只有阻止单通道的应用传输,以免内部网络遭受攻击,只能仅仅阻止了一些使用固定端口的应用,而留下了许多安全隐患。而ASPF监听每一个应用的每一个连接所使用的端口,打开合适的通道让会话中的数据能够出入防火墙,在会话结束时关闭该通道,从而能够对使用动态端口的应用实施有效的访问控制。当报文通过防火墙时,ASPF将对报文与指定的访问规则进行比较,如果规则允许,报文将接受检查,否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接,ASPF将动态的产生servermap表项,对于回来的报文只有是属于一个已经存在的有效的连接,才会被允许通过防火墙。
11、在处理回来的报文时,状态表也需要更新。当一个连接被关闭或超时后,该连接对应的状态表将被删除,确保未经授权的报文不能随便透过防火墙。2.3 ASPF针对单通道协议的过滤原理图1 ASPF应用单通道协议的过滤原理图参考图1所示,对于一个单通道的协议的时候,当TCP三次握手完成的时候,会创建一个基于5元组的Session表项,用户A的telnet应答报文通过防火墙的时候,能匹配上session表项的报文可以允许通过防火墙,而其他不是用户A的telnet进程的应答报文都会被防火墙阻塞。session表项会随着TCP协议的状态变化而变化,在没有完成三层握手之前,非法报文依然无法通过防火墙。当telnet
12、通话结束之后,session表项立刻删除,则再伪造telnet的非法报文也无法通过了。2.4 ASPF针对多通道协议的过滤原理图2 ASPF应用多通道协议过滤的原理图图2是一个ASPF技术应用在多通道协议过滤的原理图,是以FTP协议为例说明了eudemon防火墙如何在多通道应用协议环境保证网络的安全通信。从图中可以看出,servermap表项是对FTP控制通道中动态检测的过程中动态产生的,因此通过ASPF技术可以保证在应用复杂的情况下,依然可以非常精确的保证网络的安全。3 eudemon业务特性的规格3.1 通用TCP检测状态防火墙检测TCP会话发起和结束的状态转换过程,包括会话发起的3次握手
13、和关闭的4次握手。根据这些状态来创建,更新和删除动态访问控制表。当检测到TCP会话发起方第一个SYN报文的时候,状态防火墙开始维护此会话相关状态,并创建一个临时的访问控制允许表项,以允许该会话所有相关的报文能够通过防火墙。而其它的非相关的报文则被阻塞和丢弃。TCP检测是其它基于TCP的应用协议检测的基础,在大部分应用场合,使用标准的TCP应用协议检测就可以满足大部分应用。3.2 通用UDP检测UDP协议没有连接和状态的概念,当检测到UDP会话发起方的第一个数据报时,状态防火墙开始维护此会话相关状态,并创建一个临时的访问控制允许表项,状态防火墙认为发起方收到第一个接收方回送的UDP数据流的时候,
14、此会话建立。其它与此会话无关的报文则被阻塞和丢弃。UDP检测是其它基于UDP的应用协议检测的基础。3.3 TCP半连接检查TCP的半开连接指发起连接的三次握手尚未完成的状态,eudemon防火墙的session表中对连接的状态进行记录和检测。当一个三次握手没有完成的时候,eudemon防火墙会对这类连接进行监控和记录,这样可以有效的防止TCP Syn Flood的攻击,同时eudemon防火墙还提供了更智能的“TCP代理”方式的SYN flood防御,这些智能的flood防御都是基于对session的状态记录进行的。3.4 SMTP检测SMTP是简单邮件传输协议。状态防火墙检测基于TCP/IP
15、传输的SMTP应用。包括对SMTP协议状态机转换的检测,错误的状态转换报文将被阻塞和丢弃。目前状态防火墙检测支持标准的SMTP协议(RFC 821)和SMTP扩展协议(RFC 1869, RFC 2554)。对SMTP协议进行状态检测可以有效的保护内部网络的SMTP服务器,通过对SMTP协议进行状态检测,可以动态的发现对SMTP服务器进行攻击、非法访问的报文,在防火墙上进行丢弃。3.5 HTTP检测HTTP是超文本传输协议。状态防火墙检测基于TCP/IP传输的HTTP应用。HTTP是无状态协议,因此状态防火墙检测该应用协议的状态完全等同于通用TCP检测。对于HTTP协议,状态防火墙提供对来自特定网段或主机的基于HTTP传输的java applet、和activeX的检测和过滤。目前状态防火墙支持HTTP 1.1(RFC 2068)。很多Java applet和activex是传播病毒、木马的载体,eudemon防火墙通过
