工业控制第四章-拓展

防火墙ASPF技术详解ICSSecurity&Protection目录CONTENTS状态防火墙基础01状态防火墙工作原理02状态防火墙案例分析0301状态防火墙基础ICSSecurity&ProtectionASPF即应用层报文过滤，基于状态检测，跟踪连接状态，如TCP三次握手，确保数据包符合状态逻辑，异常则拒绝或警报。ASPF定义传统防火墙局限状态防火墙优势状态防火墙（ASPF）弥补了包过滤防火墙的不足，能够检查应用层协议信息，监控连接状态，动态决定数据包是否通过，有效阻止恶意入侵。包过滤防火墙基于ACL，仅关注IP层信息，处理简单，无法应对复杂协议状态转换及多通道协议，如FTP。状态防火墙概念02状态防火墙工作原理ICSSecurity&Protection状态表结构状态表包含连接标识、协议、源IP地址、源端口号、目的IP地址、目的端口号、连接状态、超时值等信息，用于维护会话状态。01TACL作用临时访问控制列表与状态表同时创建，匹配会话中返回报文，为应用返回报文构建临时返回通道，支持多通道协议正常工作。02状态管理机制ASPF通过跟踪协议状态机实现状态管理，监控协议状态转换，不符合协议定义的报文将被丢弃，确保报文符合协议状态机。03状态表与TACL状态防火墙对每个数据包进行检查，验证其是否符合当前连接状态，如TCP连接中的SYN、ACK等状态，确保数据包合法性。数据包检查根据数据包交互，状态防火墙实时更新状态表中的状态信息，如连接建立、数据传输、连接关闭等状态变化。状态更新若检测到异常数据包，如不符合状态逻辑或超时的报文，状态防火墙将采取相应措施，如丢弃数据包、触发警报或关闭连接。异常处理状态检测流程03状态防火墙案例分析ICSSecurity&ProtectionTCP建立连接流程表示初始状态。CLOSED当服务器程序启动并完成对特定端口的监听设置后，就会进入LISTEN状态。这个状态表示服务器已经准备好接收来自客户端的连接请求。客户端SOCKET执行CONNECT操作时，它首先发送SYN报文，然后状态就从CLOSED转移到SYN_SENT状态。SYN_SENT状态表示客户端已发送SYN报文。SYN_SENT当处于SYN_SENT状态时，如果接收到了SYN报文，状态就从SYN_SENT转移到SYN_RCVD状态，表示已经收到了SYN报文。SYN_RCVD当处于SYN_RCVD状态时，如果接收到了ACK，表示连接已经建立了。ESTABLISHEDLISTEN主要状态TCP连接状态机包括CLOSED、LISTEN、SYN_SENT、SYN_RCVD、ESTABLISHED等状态，描述了连接从建立到完成的过程。状态机介绍不同状态下，根据收到的报文类型（如SYN、ACK）和超时等条件，状态会发生转移，如客户端发送SYN后进入SYN_SENT状态。状态转移条件状态转换过程服务器通过socket、bind、listen等操作进入LISTEN状态，准备接收连接请求。服务器监听准备客户端执行connect操作，发送SYN报文，状态从CLOSED变为SYN_SENT。服务器收到SYN报文后，发送ACK和SYN报文，状态从LISTEN变为SYN_RCVD。服务器响应客户端收到SYN报文后，发送ACK确认，状态从SYN_SENT变为ESTABLISHED。客户端确认服务器收到ACK后，状态从SYN_RCVD变为ESTABLISHED，连接建立完成。连接建立完成客户端发起连接连接建立步骤背景假设客户端IP是0，使用的端口是50000。服务器端IP是0，端口是21。连接标识创建客户端通过connect连接服务器时，状态防火墙创建连接标识，记录源IP、源端口、目的IP、目的端口、协议等信息。状态表记录这些信息被记录到状态表中，用于后续的报文检查和放行。TCP连接中的ASPFTCP连接中的ASPF在客户端通过connect连接服务器的时候，数据包经过状态防火墙，防火墙会创建一个新的连接标识，并且记录了该连接的源IP地址（0）、源端口号（50000）、目的IP地址（0）、目的端口号（21）、连接状态以及超时值等信息。这条信息会加入状态表，连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP050000021SYN_SENT60秒010n1TCP连接中的ASPF服务端接收到客户端的SYN包后，会返回一个SYN+ACK包给客户端，此时服务端的状态变为SYN_RCVD，表示服务端已经接收到了客户端的SYN包，并发送了SYN+ACK包进行确认。连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP050000021SYN_SENT60秒010n11TCP021050000SYN_RCVD60秒11m1n2TCP连接中的ASPF客户端接收到服务端的SYN+ACK包后，会发送一个ACK包给服务端，完成三次握手，此时连接建立成功，连接状态变为ESTABLISHED，表示连接已经建立。连接标识协议源IP地址源端口号目的IP地址目的端口号连接状态超时值已接收数据包数已发送数据包数已接收字节数已发送字节数1TCP050000021SYN_SENT60秒010n11TCP021050000SYN_RCVD60秒11m1n21TCP050000021ESTABLISHED300秒22m2n3TCP连接中的ASPF假如在TCP三次握手完成后，连接已经建立，状态处于ESTABLISHED状态情况下，又收到一个SYN。这时候状态防火墙会检查状态表，根据协议流程发现该会话不应该在这个时候收到SYN包，那么就可能认为这是个异常行为或者是攻击，就会阻止这个数据包的正常转发。通过状态表，状态防火墙就能知道当前会话所处的状态是什么，以及根据协议下一次数据包应该是什么样的。这样也就实现了动态防护。TCP连接中的ASPF当状态防火墙检测到客户端向服务器端发起TCP连接请求的时候，会创建状态表，同时也创建了临时访问控制列表，允许服务端返回的报文通过防火墙到达客户端。这样，当服务端响应客户端的请求时，防火墙可以根据临时访问控制表快速匹配返回的报文并放行，确保会话的正常进行。源IP地址源端口号目的IP地址目的端口号协议021050000TCPFTP是多通道协议，控制面使用21端口，数据面使用20端口或其他动态端口，需要同时处理多个通道的连接。FTP协议特点状态防火墙（ASPF）为FTP的控制面和数据面连接