Eudemon特性-业务特性介绍.doc

Edumon特性-业务特性介绍l 机密Eudemon特性业务特性介绍Huawei Technologies Co., Ltd. 华为技术有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2004-05-091.00initial 初稿完成Catalog 目 录1简介51.1概述51.2基本概念51.3范围52实现原理62.1概述62.2ASPF的优势62.3ASPF针对单通道协议的过滤原理72.4ASPF针对多通道协议的过滤原理73eudemon业务特性的规格83.1通用TCP检测83.2通用UDP检测83.3TCP半连接检查93.4SMTP检测93.5HTTP检测93.6FTP检测93.7RTSP检测93.8H.323检测103.9RAS信令的检测113.10IP分片报文的检测113.11其他业务的支持123.12端口到应用的通用映射123.13端口到应用的主机映射124业务特性的优势124.1对多通道协议支持的安全性124.2针对业务的数据流管理134.3业务支持的完整性134.4支持完善的语音业务13Keywords 关键词：Abstract 摘 要：List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释1 简介1.1 概述防火墙和传统网络设备路由器有一个很大的区别就是：路由器设备只关注网络层的内容，根据IP地址查找出接口完成报文的正确转发，对于应用层的内容路由器是不关心的，完成异构网的互联互通是路由器本质的一个功能。由于IP协议本身的特点，因此非常容易在应用层携带很多有害于网络的内容，造成网络的安全隐患。防火墙的主要功能是保证网络的安全，防火墙除了关注网络层的安全，同时还关注应用层的安全，关注应用层安全可以实现更智能的安全防范保证网络的安全，更准确的识别非法的访问。在提供应用层的安全同时，高效、准确等方面也是防火墙产品很重要的一个方面，因此对于业务支持的特性是防火墙很重要的一个方面。本文就是介绍eudemon系列防火墙在业务特性支持方面做的工作，介绍一下eudemon系列防火墙如何更好的支持业务特性，如何根据根据业务的特点提供更准确、高效的安全防范。1.2 基本概念在介绍防火墙的业务特性的时候，我们先介绍两个基本概念：session表和servermap表。session表是标识一个“完整连接”的，一个完整的连接是由5元组构成（源地址、目的地址、源端口、目的端口、协议号），当一次TCP访问完成的时候，在防火墙上则会建立一个完整的session表项，通过这个session表项可以标识这个连接的状态监控，利用session表项就可以监控一个会话的状态跃迁。servermap是标识一个“不完整连接”的。不完整连接的概念是：在防火墙上建立表项的时候，五元组不能完全知道，只能知道目的地址、目的端口、协议号三元组的情况。servermap是一个“通道”，利用servermap可以使得外部网络可以访问内部网络。servermap表项可以使用在类似FTP的多通道协议上，后面会对两个基本概念再进行深入介绍。1.3 范围本文介绍了eudemon防火墙支持的业务特性规格、实现的基本原理、一些组网特点等方面的内容。eudemon防火墙采用ASPF（Application status packet filter ）状态包过滤技术对各种业务实现在应用层面的检测，是一种高级的通信过滤技术，采用ASPF技术可以实现智能防火墙应用。2 实现原理2.1 概述ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。eudemon系列防火墙提供了基于报文内容的访问控制，即ASPF，能够对应用层的一部分攻击加以检测和防范，包括对于SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。ASPF不但对报文的网络层的信息进行检测，还对应用层的协议信息（如FTP）进行检测。ASPF在session表的数据结构中维护着连接的状态信息，并利用这些信息来维护会话的访问规则。ASPF保存着不能由访问列表规则保存的重要的状态信息。防火墙检验数据流中的每一个报文，确保报文的状态与报文本身符合用户所定义的安全规则。连接状态信息用于智能的允许/禁止报文。当一个会话终止时，session表项也将被删除，防火墙中的会话也将被关闭。对于TCP连接，ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的TCP握手连接的报文会直接拒绝。UDP是无连接的报文，所以也没有真正的UDP“连接”。因为ASPF是基于连接的，它将对UDP报文的源、目的IP地址、端口进行检查，通过判断该报文是否与所设定的时间段内的其他UDP报文相类似，而近似判断是否存在一个连接。2.2 ASPF的优势在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一定的灵活性，在很多负责应用的场合普通包过滤是无法完成对网络的安全保护的。例如对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是非常困难的。FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之上的应用层报文信息，并动态地根据报文的内容创建和删除临时的servermap表项，以允许相关的报文通过。ASPF使得eudemon系列防火墙能够支持一个控制连接上存在多个数据连接的协议，同时还可以在应用非常复杂的情况下方便的制订各种安全的策略。许多应用协议，如Telnet 、SMTP使用标准的或已约定的端口地址来进行通信，但大部分多媒体应用协议（如H.323、SIP）及FTP、netmeeting等协议使用约定的端口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测的，其中的某些应用甚至可能要同时用到多个端口。因此包过滤防火墙只有阻止单通道的应用传输，以免内部网络遭受攻击，只能仅仅阻止了一些使用固定端口的应用，而留下了许多安全隐患。而ASPF监听每一个应用的每一个连接所使用的端口，打开合适的通道让会话中的数据能够出入防火墙，在会话结束时关闭该通道，从而能够对使用动态端口的应用实施有效的访问控制。当报文通过防火墙时，ASPF将对报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，ASPF将动态的产生servermap表项，对于回来的报文只有是属于一个已经存在的有效的连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便透过防火墙。2.3 ASPF针对单通道协议的过滤原理图1 ASPF应用单通道协议的过滤原理图参考图1所示，对于一个单通道的协议的时候，当TCP三次握手完成的时候，会创建一个基于5元组的Session表项，用户A的telnet应答报文通过防火墙的时候，能匹配上session表项的报文可以允许通过防火墙，而其他不是用户A的telnet进程的应答报文都会被防火墙阻塞。session表项会随着TCP协议的状态变化而变化，在没有完成三层握手之前，非法报文依然无法通过防火墙。当telnet通话结束之后，session表项立刻删除，则再伪造telnet的非法报文也无法通过了。2.4 ASPF针对多通道协议的过滤原理图2 ASPF应用多通道协议过滤的原理图图2是一个ASPF技术应用在多通道协议过滤的原理图，是以FTP协议为例说明了eudemon防火墙如何在多通道应用协议环境保证网络的安全通信。从图中可以看出，servermap表项是对FTP控制通道中动态检测的过程中动态产生的，因此通过ASPF技术可以保证在应用复杂的情况下，依然可以非常精确的保证网络的安全。3 eudemon业务特性的规格3.1 通用TCP检测状态防火墙检测TCP会话发起和结束的状态转换过程，包括会话发起的3次握手和关闭的4次握手。根据这些状态来创建，更新和删除动态访问控制表。当检测到TCP会话发起方第一个SYN报文的时候，状态防火墙开始维护此会话相关状态，并创建一个临时的访问控制允许表项，以允许该会话所有相关的报文能够通过防火墙。而其它的非相关的报文则被阻塞和丢弃。TCP检测是其它基于TCP的应用协议检测的基础，在大部分应用场合，使用标准的TCP应用协议检测就可以满足大部分应用。3.2 通用UDP检测UDP协议没有连接和状态的概念，当检测到UDP会话发起方的第一个数据报时，状态防火墙开始维护此会话相关状态，并创建一个临时的访问控制允许表项，状态防火墙认为发起方收到第一个接收方回送的UDP数据流的时候，此会话建立。其它与此会话无关的报文则被阻塞和丢弃。UDP检测是其它基于UDP的应用协议检测的基础。3.3 TCP半连接检查TCP的半开连接指发起连接的三次握手尚未完成的状态，eudemon防火墙的session表中对连接的状态进行记录和检测。当一个三次握手没有完成的时候，eudemon防火墙会对这类连接进行监控和记录，这样可以有效的防止TCP Syn Flood的攻击，同时eudemon防火墙还提供了更智能的“TCP代理”方式的SYN flood防御，这些智能的flood防御都是基于对session的状态记录进行的。3.4 SMTP检测SMTP是简单邮件传输协议。状态防火墙检测基于TCP/IP传输的SMTP应用。包括对SMTP协议状态机转换的检测，错误的状态转换报文将被阻塞和丢弃。目前状态防火墙检测支持标准的SMTP协议(RFC 821)和SMTP扩展协议(RFC 1869, RFC 2554)。对SMTP协议进行状态检测可以有效的保护内部网络的SMTP服务器，通过对SMTP协议进行状态检测，可以动态的发现对SMTP服务器进行攻击、非法访问的报文，在防火墙上进行丢弃。3.5 HTTP检测HTTP是超文本传输协议。状态防火墙检测基于TCP/IP传输的HTTP应用。HTTP是无状态协议，因此状态防火墙检测该应用协议的状态完全等同于通用TCP检测。对于HTTP协议，状态防火墙提供对来自特定网段或主机的基于HTTP传输的java applet、和activeX的检测和过滤。目前状态防火墙支持HTTP 1.1(RFC 2068)。很多Java applet和activex是传播病毒、木马的载体，eudemon防火墙通过对这些有害小应用程序的监控可以有效的阻挡因为java applet和activex等载体传播的病毒、木马等，有效的保护客户端的上网安全。3.6 FTP检测FTP是文件传输协议。状态防火墙检测基于TCP/IP传输的FTP应用。包括对FTP控制通道的状态机转换的检测，错误的状态转换报文将被阻塞和丢弃。支持对PASV和PORT方式的数据通道协商的检测，并根据协商参数动态创建数据通道的状态表和访问控制表。目前状态防火墙检测支持标准的FTP协议(RFC 959)。3.7 RTSP检测RTSP是实时流传输协议。状态防火墙检测基于TCP/IP传输的RTSP应用。包括对RTSP控制通道中媒体传输通道（基于UDP的RTP/RTCP）参数协商的检测，并动态创建媒体通道的状态表和访问控制表。目前状态防火墙检测支持RTSP 1.0(RFC 2326)。3.8 H.323检测H.323标准由ITU-T制定，描述了在不提供QoS保证的分组网络（PBN）上如何实现多媒体业务，已为业界广泛采用，是IP电话系统的重要技术基础。H.323标准设计原则：（1） 适用业务是包括语音、视频和数据及其组合的多媒体通信。其中，对语音的支持实必备功能，视频和数据通信能力是可选的。（2） 使用网络是基于分组的网络（PBN - Packet-Based Network），PBN可以是一个单独网段，或具有复杂拓扑结构的多段互联网络。（3） 技术内容主要是PBN上实现多媒体通信的系统定义和一般控制过程，包括呼叫控制协议、媒体控制协议和音频视频编解码标准等。（4）目标业务包括电话会议，因此需要考虑多点通信网络结构、业务要求和控制过程。H.323实体可以用于点对点，点对多点，或广播结构。（5）目标系统应能支持PBN和多种网络的互通，包括PSTN、ISDN等。H323业务现在广泛的使用在很多场合：桌面及会议室视频输入IP电话和可视电话CTI（电脑话务集成）协同计算INTRANET和INTERNET商务会议远程教学支持和服务应用网上交互式购物网上银行视频会议服务和计费应用远程医疗保安系统音频/视频电子邮件音频/视频广播视频点播远程监控eudemon防火墙可以完整的支持H323业务，包括对Q.931呼叫信令的检测，用于检测和维护动态创建的H.245媒体控制通道；状态防火墙检测H.245媒体控制通道中媒体传输通道（基于UDP的RTP/RTCP）参数协商的检测，并动态创建媒体通道的状态表和访问控制表。目前状态防火墙检测支持H.323终端到终端的直接通信方式、GK路由方式等各种业务，支持支持Q.931，H.225，H.245消息检测。3.9 RAS信令的检测RAS（Registration Admission and Status）是H.323协议中的一个重要组成部分，主要包括如下一些子功能：（1）网守搜寻（Gatekeeper discovery）（2）端点登记（endpoint registration）（3）端点定位（endpoint location）（4）呼叫接纳（call admission）（5）呼叫退出（call disengagement）（6）带宽管理（7）状态查询（status）（8）网关资源指示通过RAS协议和GK（Gatekeeper）可以完成一个智能的H323的网络结构，通过GK可以完成如下一些重要功能：地址翻译：别名（E.164地址）到IP地址的转换呼叫接纳控制：根据用户权限、网络可用带宽等条件确定是否允许用户发起呼叫带宽控制：允许端点提出改变其PBN带宽的请求区域管理：对本管理区内已登记的终端、MCU和网关提供管理呼叫控制信令：呼叫信令传送方式，直接选路和GK选路网络管理：分别向计费中心和管理中心提供计费和话务统计信息其它功能：终端带宽预留、目录服务等而RAS协议是终端和GK，GK和GK直接的一个管理、通信的协议，因此如果不能支持RAS协议，则无法完成一个智能的H323应用网络。eudemon防火墙可以非常完整的支持RAS协议，因此通过eudemon防火墙可以在H323复杂的网络的环境中提供良好的安全服务，保证数据和语音业务的完全隔离，在IP网络上提供良好的语音业务。3.10 IP分片报文的检测状态防火墙记录所有被分片报文的状态信息（主要是IP层以上的传输层信息），以提供对分片报文正常检测和过滤的支持。通过对分片报文的支持，eudemon防火墙可以有效的防止分片报文的攻击，对于非法的分片报文直接在防火墙上丢弃，只有确实是因为网络MTU问题产生的正常分片才可能通过防火墙。3.11 其他业务的支持eudemon防火墙即将会支持MGCP、SIP等负责语音协议，同时针对FTP、SMTP、POP等协议进行更精确的匹配，例如可以支持针对FTP的GET或者PUT等命令进行控制进行过滤。3.12 端口到应用的通用映射端口到应用的映射（简称PAM-Port to Application Mapping），提供了对应用协议的非标准端口应用的支持。例如：当使用8080端口作为HTTP应用时，可以将8080映射到HTTP应用，以通过端口号来识别应用层协议。通用映射指定某一个端口和一个应用关联，也可支持多个端口映射到一个应用。3.13 端口到应用的主机映射主机映射指定某一主机范围的某一端口和一个应用关联。 主机范围可以通过标准ACL来指定。端口到应用的主机映射应支持如下两种情况：一个或多个端口映射到一个应用的主机映射方式；如果主机范围不同，也可设置一个端口到多个应用的关联。4 业务特性的优势4.1 对多通道协议支持的安全性eudemon防火墙在对多通道协议支持的时候，采用了5元组的session表3元组的servermap表项的结合方式实现，这样在很大程度上保证了内部网络的安全性。因此servermap表项是一个“临时入口”表项，当真正的数据报文来了以后，会根据这个数据报文servermap进行完整判断，这个连接是一个合法的数据通道。当数据通道建立了之后，servermap表项就删除了，而会为这个数据通道建立一个基于5元组的session通道。这样就避免了，因为多通道协议的特点，而产生一个永久的通道，避免了内部网络暴露的安全隐患。部分防火墙为了支持对多业务的支持，采用三元组匹配的模式，这样的实现方式会留下一个安全隐患：例如FTP控制通道打开了一个数据通道，如果采用三元组方式的监控模式，则外部网络的任何主机对这个数据通道发起访问，都可以绕过防火墙进入到网络内部。