ASPF技术在企业网络边界的应用

王月春 张少芳 刘延锋

摘 要：在企业网络边界往往需要部署安全策略来保护内部网络的安全，区别于传统的ACL技术，ASPF技术通过对应用协议的交互过程进行监听和记录，对会话过程进行检测和跟踪，在理解会话过程的基础上通过动态设置安全策略来进行内外网通信流量的精确控制，以保障企业内部网络的安全。

关键词：网络;ASPF;访问控制列表;安全;通信

中图分类号：TP393.1

Abstract：In the enterprise network boundary，it is often necessary to deploy security policies to protect the security of the internal network，which is different from the traditional ACL technology.ASPF technology monitors and records the interaction process of the application protocol，and detects and tracks the session process.Based on the understanding of the session process，the communication flow of the internal and external networks is precisely controlled by dynamically setting up security policies to ensure the security of the internal network of the enterprise.

Key words：network;ASPF;ACL;security;communication

1 绪论

传统上，在企业网络的边界一般会通过访问控制列表（Access Control List，ACL）来实现内外网之间流量的分析和过滤，但以ACL为核心的包过滤属于静态过滤技术，只能根据数据报文中的特定的信息如协议的类型、IP地址、端口号以及一些特定的Flag来过滤流量，并不能检测和记录通信过程和连接状态。因此无法理解特定服务的上下文会话，也就无法检测恶意的TCP响应报文、基于UDP报文的攻击以及来自于应用层的攻击行为。

为解决以ACL为核心的静态包过滤技术存在的问题和不足，引入了基于应用层的包过滤技术（Application Specific Packet Filter，ASPF）。

2 ASPF的工作原理

ASPF工作的基本原理是通过对应用协议的交互过程进行监听和记录，并根据监听情况动态的创建ACL规则，从而实现对数据转发进行精确控制的目的。在网络边界配置了ASPF之后，基于ASPF的包过滤将会跟踪、检测被审查协议所产生的每一个session，并创建对应的连接状态表和临时ACL，以允许该session对应的返回流量通过。

ASPF协议检测技术可以分为传输层协议检测和应用层协议检测两种情况。

传输层协议检测包括TCP协议检测和UDP协议检测。它会对数据报文的传输层字段（端口号、传输层状态）以及网络层字段（源IP地址、目的IP地址）等进行检测。

应用层协议检测是ASPF通过跟踪和维护指定应用层协议产生的连接状态信息，并依据该连接的当前状态来匹配后续的报文。对于类似HTTP、SMTP的单通道应用层协议，ASPF的检测过程相对比较简单，在发起连接时建立连接状态表和临时ACL，连接删除时将其删除即可。而对于多通道应用层协议的检测则相对而言比较复杂。在对多通道的应用层协议进行检测时，ASPF将对基于控制连接传递的协商建立数据连接的数据包进行解析，从中读取用来建立数据连接的端口，从而创建相应的临时ACL来允许建立数据连接并传输数据。

3 ASPF应用举例

在此构建一个简单的模拟网络环境如下图所示，其中路由器RTA为连接外部网络的路由器。要求允许企业内部网络的主机访问外部网络的FTP服务，但是禁止外网对内网的的任何访问。

具体的配置命令如下：

[RTA]firewall zone trust

[RTA-zone-trust]priority 15

[RTA-zone-trust]quit

[RTA]firewall zone untrust

[RTA-zone-untrust]priority 1

[RTA-zone-untrust]quit

[RTA]interface GigabitEthernet 0/0/0

[RTA-GigabitEthernet0/0/0]zone trust

[RTA-GigabitEthernet0/0/0]quit

[RTA]interface GigabitEthernet 0/0/1

[RTA-GigabitEthernet0/0/1]zone untrust

[RTA-GigabitEthernet0/0/1]quit

[RTA]acl 3000

[RTA-acl-adv-3000]rule deny ip

[RTA-acl-adv-3000]quit

[RTA]firewall interzone trust untrust

[RTA-interzone-trust-untrust]firewall enable

[RTA-interzone-trust-untrust]packet-filter 3000 inbound

[RTA-interzone-trust-untrust]detect aspf ftp

[RTA-interzone-trust-untrust]quit

在上面的配置中配置了一个高级ACL，应用在了inbound方向上，即禁止外部网络主动访问内部网络。而应用ASPF的目的是使内部网络访问外部网络中FTP服务的返回流量被允许。

此时，外部网络主机将无法访问内部网络的任何服务，但在内网主机PC1或PC2上连接外部网络中的FTP服务，应该可以连接。

4 结语

通过在网络边界路由器上配置ASPF有效解决了静态包过滤技术无法解析上层会话、无法监控通信过程的问题，实现了在不影响企业网络访问外网的同时禁止外网访问企业网络内部的目的，保障了网络边界的通信安全。

参考文献：

[1]李冀东，张少芳.中小企业网络边界安全解决方案研究[J].电脑编程技巧与维护，2017（7）：88-90.

[2]庞镭.访问控制列表在校园网安全防护中的应用[J].网络安全技术与应用，2017（10）：97.104.

[3]侯显晖.基于网络防火墙的访问控制列表的异常检测和策略编辑[J].现代信息科技，2019（11）：171-172.

[4]杨礼.ACL和NAT技术在局域网中的应用与实践[J]喀什大学学报，2018（3）：108-111.

[5]张奎，楊礼.访问控制列表在内外网隔离中的应用[J].实验科学与技术，2019（2）：1-5.

[6]杨文彬.议高校网络建设中ACL策略的广泛应用[J].太原师范学院学报，2017（1）：64-67.

作者简介：王月春（1973-），男，河北迁安人，硕士，高级工程师，研究方向为云计算、软件工程;张少芳（1982-），男，河北宁晋县人，硕士，副教授，主要研究方向为网络安全与管理、网络集成技术;刘延锋（1980-），男，河北邯郸人，硕士，高级工程师，主要研究方向为计算机基础教育、计算机教学管理。