信息安全产品配置与应用-课件 任务2.3-ASPF配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.3-ASPF配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1．理解防火墙的ASPF技术。2.理解防火墙的Server-map。1．具备敏锐的“应用感知”能力，精准捕捉潜在风险，构筑牢不可破的安全壁垒。2．技术实践应以“总体国家安全观”为核心指引，使之成为技术发展不可撼动的基石。1.掌握防火墙的OSPF配置。2.掌握防火墙的ASPF配置。任务描述本任务要完成的工作：

XUN公司因业务发展需要，对内部网络架构进行重新规划，要求每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，汇聚交换机SW2与防火墙FW1使用OSPF协议互联。同时，在防火墙上针对FTP服务开启ASPF功能。

“习总书记指出，要加快科技自立自强步伐，解决外国“卡脖子”问题。

科技是国之利器，国家赖之以强，企业赖之以赢，人民生活赖之以好。知识储备2.3.1ASPF技术2.3.2Server-map表2.3.1ASPF技术在TCP/IP模型中，应用层提供常见的网络应用服务，如Telnet、HTTP、FTP等协议。而应用层协议根据占用的端口数量可以分为单通道应用层协议与多通道应用层协议。单通道应用层协议：通信过程中只需占用一个端口的协议。例如：Telnet只需占用23端口，HTTP只需占用80端口；多通道应用层协议：通信过程中需占用两个或两个以上端口的协议。例如：FTP被动模式下需要占用21号端口以及一个随机端口。传统包过滤防火墙针对多通道应用层协议访问控制的不足：传统的包过滤防火墙只能实现简单的访问控制；传统的包过滤防火墙只能阻止一些使用固定端口的单通道协议的应用数据。2.3.1ASPF技术ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤。通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，当数据通道的首包经过防火墙时，防火墙根据Server-map生成一条session，用于放行后续数据通道的报文，相当于自动创建了一条精细的“安全策略”。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。2.3.2Server-map表FTP主动模式的ASPF。Server-map表是通过ASPF功能自动生成的精细安全策略，是防火墙上的“隐形通道”。FTP主动模式下，客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道，然后使用PORT命令协商两者建立数据通道的端口号，协商得出的端口是yyyy。然后服务器主动向客户端的yyyy端口发起连接请求，建立数据通道。数据通道建立成功后再进行数据传输。在配置安全策略时，如果只配置了允许客户端访问服务器的21端口的安全策略，即控制连接能成功建立。但是当服务器访问客户端yyyy端口的报文到达防火墙后，对于防火墙来说，这个报文不是前一条连接的后续报文，而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端，防火墙上就必须配置了安全策略允许其通过，如果没有配置服务器到客户端这个方向上的安全策略，该报文无法通过防火墙，导致数据通道建立失败。结果是用户能访问服务器，但无法请求数据。由于PORT命令的应用层信息中携带了客户端的IP地址和向服务器随机开放的端口，防火墙通过分析PORT命令的应用层信息，提前预测到后续报文的行为方式，根据应用层信息中的IP和端口创建Server-map表。服务器向客户端发起数据连接的报文到达防火墙后命中该Server-map表项，不再受安全策略的控制。2.3.2Server-map表Server-map表与会话表的关系。Server-map表与会话表的关系如下：1）Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制；2）会话表是通信双方连接状态的具体体现；3）Server-map表不是当前的连接信息，而是防火墙对当前连接分析后得到的即将到来报文的预测。防火墙接收报文的处理过程如图所示：1）防火墙收到报文先检查是否命中会话表；2）如果没有命中则检查是否命中Server-map表；3）命中Server-map表的报文不受安全策略控制；4）防火墙最后为命中Server-map表的数据创建会话表。2.3.2Server-map表Server-map表配置。任务实施实施场景XUN公司因业务发展需要，对内部网络架构进行重新规划，项目经理安排小锐调整公司网络架构，要求完成如下配置：1）在交换机SW2上为每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，并基于端口把各部门Client加入到相应的VLAN。创建VLAN100，并将GigabitEthernet0/0/1划入VLAN100。2）交换机SW2与防火墙FW1使用OSPF协议互联。所有部门的Client机都可以访问FTP服务器和HTTP服务器。3）在防火墙FW1上针对QQ和MSN服务开启ASPF功能。任务实施实施设备1）USG6000V防火墙1台；2）Client机4台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2、Client3、Client4和Client5网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置FTP服务器网络参数，开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

4）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24

[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24

[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024

5）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/4口加入DMZ区域，将GE1/0/5口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4

[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程

6）在交换机SW2上为每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，并基于端口把各部门Client加入到相应的VLAN，创建VLAN100，并将GE0/0/1划入VLAN100，配置命令如下：[SW2]vlanbatch10203040100[SW2]interfaceGigabitEthernet0/0/2[SW2-GigabitEthernet0/0/2]portlink-typeaccess[SW2-GigabitEthernet0/0/2]portdefaultvlan10[SW2-GigabitEthernet0/0/2]quit[SW2]port-groupgroup-memberGi0/0/3Gi0/0/6[SW2-port-group]portlink-typeaccess[SW2-port-group]portdefaultvlan20[SW2-port-group]quit[SW2]interfaceGigabitEthernet0/0/4[SW2-GigabitEthernet0/0/4]portlink-typeaccess[SW2-GigabitEthernet0/0/4]portdefaultvlan30[SW2-GigabitEthernet0/0/4]quit[SW2]interfaceGigabitEthernet0/0/5[SW2-GigabitEthernet0/0/5]portlink-typeaccess[SW2-GigabitEthernet0/0/5]portdefaultvlan40[SW2-GigabitEthernet0/0/5]quit[SW2]interfaceGigabitEthernet0/0/1[SW2-GigabitEthernet0/0/1]portlink-typeaccess[SW2-GigabitEthernet0/0/1]portdefaultvlan100[SW2-GigabitEthernet0/0/1]quit[SW2]interfacevlanif100[SW2-Vlanif100]ipaddress0024[SW2-Vlanif100]quit[SW2]interfacevlanif10[SW2-Vlanif10]ipaddress24[SW2-Vlanif10]quit

[SW2]interfacevlanif20[SW2-Vlanif20]ipaddress24[SW2-Vlanif20]quit[SW2]interfacevlanif30[SW2-Vlanif30]ipaddress24[SW2-Vlanif30]quit[SW2]interfacevlanif40[SW2-Vlanif40]ipaddress24

[SW2-Vlanif40]quit任务实施实施过程

7）在交换机SW2与防火墙FW1上使用OSPF协议互联，配置命令如下：[SW2]ospf1[SW2-ospf-1]area0[SW2-ospf-1-area-]network[SW2-ospf-1-area-]network[SW2-ospf-1-area-]network[SW2-ospf-1-area-]network[SW2-ospf-1-area-]network00[SW2-ospf-1-area-]quit[SW2-ospf-1]quit[FW1]ospf1[FW1-ospf-1]area0[FW1-ospf-1-area-]network[FW1-ospf-1-area-]quit[FW1-ospf-1]quit任务实施实施过程

8）配置安全策略，所有部门的Client都可以访问FTP服务器和HTTP服务器，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_dmz[FW1-policy-security-rule-trust_dmz]source-zonetrust[FW1-policy-security-rule-trust_dmz]destination-zonedmz[FW1-policy-security-rule-trust_dmz]actionpermit

9）在防火墙FW1上针对