ASPF技術在企業網絡邊界的應用

王月春 張少芳 劉延鋒

摘 要：在企業網絡邊界往往需要部署安全策略來保護內部網絡的安全，區別于傳統的ACL技術，ASPF技術通過對應用協議的交互過程進行監聽和記錄，對會話過程進行檢測和跟蹤，在理解會話過程的基礎上通過動態設置安全策略來進行內外網通信流量的精確控制，以保障企業內部網絡的安全。

關鍵詞：網絡;ASPF;訪問控制列表;安全;通信

中圖分類號：TP393.1

Abstract：In the enterprise network boundary，it is often necessary to deploy security policies to protect the security of the internal network，which is different from the traditional ACL technology.ASPF technology monitors and records the interaction process of the application protocol，and detects and tracks the session process.Based on the understanding of the session process，the communication flow of the internal and external networks is precisely controlled by dynamically setting up security policies to ensure the security of the internal network of the enterprise.

Key words：network;ASPF;ACL;security;communication

1 緒論

傳統上，在企業網絡的邊界一般會通過訪問控制列表（Access Control List，ACL）來實現內外網之間流量的分析和過濾，但以ACL為核心的包過濾屬于靜態過濾技術，只能根據數據報文中的特定的信息如協議的類型、IP地址、端口號以及一些特定的Flag來過濾流量，并不能檢測和記錄通信過程和連接狀態。因此無法理解特定服務的上下文會話，也就無法檢測惡意的TCP響應報文、基于UDP報文的攻擊以及來自于應用層的攻擊行為。

為解決以ACL為核心的靜態包過濾技術存在的問題和不足，引入了基于應用層的包過濾技術（Application Specific Packet Filter，ASPF）。

2 ASPF的工作原理

ASPF工作的基本原理是通過對應用協議的交互過程進行監聽和記錄，并根據監聽情況動態的創建ACL規則，從而實現對數據轉發進行精確控制的目的。在網絡邊界配置了ASPF之后，基于ASPF的包過濾將會跟蹤、檢測被審查協議所產生的每一個session，并創建對應的連接狀態表和臨時ACL，以允許該session對應的返回流量通過。

ASPF協議檢測技術可以分為傳輸層協議檢測和應用層協議檢測兩種情況。

傳輸層協議檢測包括TCP協議檢測和UDP協議檢測。它會對數據報文的傳輸層字段（端口號、傳輸層狀態）以及網絡層字段（源IP地址、目的IP地址）等進行檢測。

應用層協議檢測是ASPF通過跟蹤和維護指定應用層協議產生的連接狀態信息，并依據該連接的當前狀態來匹配后續的報文。對于類似HTTP、SMTP的單通道應用層協議，ASPF的檢測過程相對比較簡單，在發起連接時建立連接狀態表和臨時ACL，連接刪除時將其刪除即可。而對于多通道應用層協議的檢測則相對而言比較復雜。在對多通道的應用層協議進行檢測時，ASPF將對基于控制連接傳遞的協商建立數據連接的數據包進行解析，從中讀取用來建立數據連接的端口，從而創建相應的臨時ACL來允許建立數據連接并傳輸數據。

3 ASPF應用舉例

在此構建一個簡單的模擬網絡環境如下圖所示，其中路由器RTA為連接外部網絡的路由器。要求允許企業內部網絡的主機訪問外部網絡的FTP服務，但是禁止外網對內網的的任何訪問。

具體的配置命令如下：

[RTA]firewall zone trust

[RTA-zone-trust]priority 15

[RTA-zone-trust]quit

[RTA]firewall zone untrust

[RTA-zone-untrust]priority 1

[RTA-zone-untrust]quit

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet0/0/0]zone trust

[RTA-GigabitEthernet0/0/0]quit

[RTA]interface GigabitEthernet 0/0/1

[RTA-GigabitEthernet0/0/1]zone untrust

[RTA-GigabitEthernet0/0/1]quit

[RTA]acl 3000

[RTA-acl-adv-3000]rule deny ip

[RTA-acl-adv-3000]quit

[RTA]firewall interzone trust untrust

[RTA-interzone-trust-untrust]firewall enable

[RTA-interzone-trust-untrust]packet-filter 3000 inbound

[RTA-interzone-trust-untrust]detect aspf ftp

[RTA-interzone-trust-untrust]quit

在上面的配置中配置了一個高級ACL，應用在了inbound方向上，即禁止外部網絡主動訪問內部網絡。而應用ASPF的目的是使內部網絡訪問外部網絡中FTP服務的返回流量被允許。

此時，外部網絡主機將無法訪問內部網絡的任何服務，但在內網主機PC1或PC2上連接外部網絡中的FTP服務，應該可以連接。

4 結語

通過在網絡邊界路由器上配置ASPF有效解決了靜態包過濾技術無法解析上層會話、無法監控通信過程的問題，實現了在不影響企業網絡訪問外網的同時禁止外網訪問企業網絡內部的目的，保障了網絡邊界的通信安全。

參考文獻：

[1]李冀東，張少芳.中小企業網絡邊界安全解決方案研究[J].電腦編程技巧與維護，2017（7）：88-90.

[2]龐鐳.訪問控制列表在校園網安全防護中的應用[J].網絡安全技術與應用，2017（10）：97.104.

[3]侯顯暉.基于網絡防火墻的訪問控制列表的異常檢測和策略編輯[J].現代信息科技，2019（11）：171-172.

[4]楊禮.ACL和NAT技術在局域網中的應用與實踐[J]喀什大學學報，2018（3）：108-111.

[5]張奎，楊禮.訪問控制列表在內外網隔離中的應用[J].實驗科學與技術，2019（2）：1-5.

[6]楊文彬.議高校網絡建設中ACL策略的廣泛應用[J].太原師范學院學報，2017（1）：64-67.

作者簡介：王月春（1973-），男，河北遷安人，碩士，高級工程師，研究方向為云計算、軟件工程;張少芳（1982-），男，河北寧晉縣人，碩士，副教授，主要研究方向為網絡安全與管理、網絡集成技術;劉延鋒（1980-），男，河北邯鄲人，碩士，高級工程師，主要研究方向為計算機基礎教育、計算機教學管理。