ASPF(Application Specific Packet Filter)增強VRP平臺上的防火墻功能,提供針對應用層的報文過濾功能,類似于Cisco基于報文上下狀態的訪問控制技術(Context-based Access Control CBAC)
ASPF是一種高級通信過濾,它檢查應用層協議信息并監控基于連接的應用層協議狀態。對于所有連接,每個連接狀態信息都將被ASPF維護并用于動態決定數據包是否被允許通過防火墻或丟棄。
1、支持應用層協議檢測
2、支持會話狀態動態管理
3、支持IP分片報文檢測
4、支持會話日志與調試跟蹤
以下通過一簡單的案例理解以下ASPF的具體作用。通過eNSP搭建如下環境,FTP客戶端經過防火墻訪問FTP服務器,安全策略怎么配置呢?
這還不容易,在Trust到Untrust配置安全策略,指定源/目的IP、指定協議為FTP不就好了。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name policy_allow_ftp
[USG6000V1-policy-security-rule-policy_allow_ftp]source-zone trust
[USG6000V1-policy-security-rule-policy_allow_ftp]source-address 192.168.1.0 24
[USG6000V1-policy-security-rule-policy_allow_ftp]destination-address 202.102.10.100 32
[USG6000V1-policy-security-rule-policy_allow_ftp]service ftp
[USG6000V1-policy-security-rule-policy_allow_ftp]access-authentication
[USG6000V1-policy-security-rule-policy_allow_ftp]action permit
然后我們看看FTP客戶端能否成功訪問?
從上圖看到確實能正常訪問到FTP,其實華為USG6000默認情況下是開啟了ASPF功能的,如下圖
如果我們把ASPF下的FTP鉤去掉,還能正常訪問嗎?答案是不能正常訪問。如下圖
查看會話表也成功建立了會話:
看起來應該沒問題啊,不是說在首包的方向上應用安全策略,后續包直接匹配會話轉發嗎?
那我們分析一下FTP協議是否有什么特殊之處呢?
FTP協議是一個典型的多通道協議,在其工作過程中,FTP Client和FTP Server之間將會建立兩條連接:控制連接和數據連接。控制連接用來傳輸FTP指令和參數,其中就包括建立數據連接所需要的信息;數據連接用來獲取目錄及傳輸數據。數據連接使用的端口號是在控制連接中臨時協商的。
根據數據連接的發起方式FTP協議分為兩種工作模式:主動模式(PORT模式)和被動模式(PASV模式)。主動模式中,FTP Server主動向FTP Client發起數據連接;被動模式中,FTP Server被動接收FTP Client發起的數據連接。
模式在一般的FTP客戶端中都是可以設置的,這里我們以主動模式為例進行講解,主動模式的協議交互流程如下:
而我們配置的安全策略僅開放了FTP協議,也就是21端口。當FTP客戶端向服務器發起控制連接時建立了如下會話。
而服務器向客戶端發起數據連接的源/目的端口號分別是20和臨時協商的端口號yyyy,顯然不是這條連接的后續報文,無法命中此會話轉發。因此會出現可以驗證用戶密碼,但是無法獲取目錄列表的現象。
ASPF是針對應用層的包過濾,其原理是檢測通過設備的報文的應用層協議信息,記錄臨時協商的數據連接,使得某些在安全策略中沒有明確定義要放行的報文也能夠得到正常轉發。
記錄臨時協商的數據連接的表項稱為Server-map表,這相當于在防火墻上開通了“隱形通道”,使得像FTP這樣的特殊應用的報文可以正常轉發。當然這個通道不是隨意開的,是防火墻分析了報文的應用層信息之后,提前預測到后面報文的行為方式,所以才打開了這樣的一個通道
說了這么多ASPF怎么配置呢,很簡單,對應USG6000,只需要在web頁面開啟就行了,如下圖
FTP訪問成功:
此時查看Server-map,可以看到已經自動生成了維護FTP數據連接的表項:
Server-map表中記錄了FTP服務器向FTP客戶端的2067端口號發起的數據連接,服務器向客戶端發起數據連接時將匹配這個Server-map表轉發,而無需再配置反向安全策略。
Server-map表項由于一直沒有報文匹配,經過一定老化時間后就會被刪除。這種機制保證了Server-map表項這種較為寬松的通道能夠及時被刪除,保證了網絡的安全性。當后續發起新的數據連接時會重新觸發建立Server-map表項。
最近做一個項目用到FTP和其它系統進行文件傳輸,結果在FTP網絡連接的問題上花了很多時間,由于太久沒搞多FTP,忘記了FTP不單單開放21端口,客戶端采用不同連接模式對網絡有不同。在此重溫一下FTP的主動模式和被動模式的相關知識。
在使用FTP時,如果客戶端機器和FTP服務器雙方之間的所有端口都是開放的,那連接不存在問題。如果客戶端與服務器之間有防火墻,如果沒配置好防火策略 和采用合適的連接模式,會導致登錄成功,但無法List列表的問題。要避免出現這樣的問題,首先要了解FTP的工作模式。
1.FTP的PORT(主動模式)和PASV(被動模式)
(1) PORT(主動模式)
PORT中文稱為主動模式,工作的原理: FTP客戶端連接到FTP服務器的21端口,發送用戶名和密碼登錄,登錄成功后要list列表或者讀取數據時,客戶端隨機開放一個端口(1024以上), 發送 PORT命令到FTP服務器,告訴服務器客戶端采用主動模式并開放端口;FTP服務器收到PORT主動模式命令和端口號后,通過服務器的20端口和客戶端 開放的端口連接,發送數據,原理如下圖:
(2) PASV(被動模式)
PASV是Passive的縮寫,中文成為被動模式,工作原理:FTP 客戶端連接到FTP服務器的21端口,發送用戶名和密碼登錄,登錄成功后要list列表或者讀取數據時,發送PASV命令到FTP服務器, 服務器在本地隨機開放一個端口(1024以上),然后把開放的端口告訴客戶端, 客戶端再連接到服務器開放的端口進行數據傳輸,原理如下圖:
2.兩種模式的比較
從上面的運行原來看到,主動模式和被動模式的不同簡單概述為: 主動模式傳送數據時是"服務器"連接到"客戶端"的端口;被動模式傳送數據是"客戶端"連接到"服務器"的端口。
主動模式需要客戶端必須開放端口給服務器,很多客戶端都是在防火墻內,開放端口給FTP服務器訪問比較困難。
被動模式只需要服務器端開放端口給客戶端連接就行了。
3.不同工作模式的網絡設置
我在實際項目中碰到的問題是,FTP的客戶端和 服務器分別在不同網絡,兩個網絡之間有至少4層的防火墻,服務器端只開放了21端口, 客戶端機器沒開放任何端口。FTP客戶端連接采用的被動模式,結果客戶端能登錄成功,但是無法LIST列表和讀取數據。很明顯,是因為服務器端沒開放被動 模式下的隨機端口導致。
由于被動模式下,服務器端開放的端口隨機,但是防火墻要不能全部開放,解決的方案是,在ftp服務器配置被動模式下開放隨機端口在 50000-60000之間(范圍在ftp服務器軟件設置,可以設置任意1024上的端口段),然后在防火墻設置規則,開放服務器端 50000-60000之間的端口端。
主動模式下,客戶端的FTP軟件設置主動模式開放的端口段,在客戶端的防火墻開放對應的端口段。