文档介绍:Eudemon特性-业务特性介绍
Huawei Technologies Co., Ltd.
华为技术有限公司
Revision record
修订记录
Date
日期
Revision Version
修订
版本
CR ID / Defect ID
CR号
Section Number
修改
章节
Change Description
修改描述
Author
作者
2004-05-09
initial 初稿完成
Catalog 目录
1 简介 5
概述 5
基本概念 5
范围 5
2 实现原理 6
概述 6
ASPF的优势 6
ASPF针对单通道协议的过滤原理 7
ASPF针对多通道协议的过滤原理 7
3 eudemon业务特性的规格 8
通用TCP检测 8
通用UDP检测 8
TCP半连接检查 9
SMTP检测 9
HTTP检测 9
FTP检测 9
RTSP检测 9
10
RAS信令的检测 11
IP分片报文的检测 11
其他业务的支持 12
端口到应用的通用映射 12
端口到应用的主机映射 12
4 业务特性的优势 12
对多通道协议支持的安全性 12
针对业务的数据流管理 13
业务支持的完整性 13
支持完善的语音业务 13
Keywords 关键词:
Abstract 摘要:
List of abbreviations 缩略语清单:
Abbreviations缩略语
Full spelling 英文全名
Chinese explanation 中文解释
简介
概述
防火墙和传统网络设备路由器有一个很大的区别就是:路由器设备只关注网络层的内容,根据IP地址查找出接口完成报文的正确转发,对于应用层的内容路由器是不关心的,完成异构网的互联互通是路由器本质的一个功能。由于IP协议本身的特点,因此非常容易在应用层携带很多有害于网络的内容,造成网络的安全隐患。
防火墙的主要功能是保证网络的安全,防火墙除了关注网络层的安全,同时还关注应用层的安全,关注应用层安全可以实现更智能的安全防范保证网络的安全,更准确的识别非法的访问。在提供应用层的安全同时,高效、准确等方面也是防火墙产品很重要的一个方面,因此对于业务支持的特性是防火墙很重要的一个方面。
本文就是介绍eudemon系列防火墙在业务特性支持方面做的工作,介绍一下eudemon系列防火墙如何更好的支持业务特性,如何根据根据业务的特点提供更准确、高效的安全防范。
基本概念
在介绍防火墙的业务特性的时候,我们先介绍两个基本概念:session表和servermap表。session表是标识一个“完整连接”的,一个完整的连接是由5元组构成(源地址、目的地址、源端口、目的端口、协议号),当一次TCP访问完成的时候,在防火墙上则会建立一个完整的session表项,通过这个session表项可以标识这个连接的状态监控,利用session表项就可以监控一个会话的状态跃迁。
servermap是标识一个“不完整连接”的。不完整连接的概念是:在防火墙上建立表项的时候,五元组不能完全知道,只能知道目的地址、目的端口、协议号三元组的情况。servermap是一个“通道”,利用servermap可以使得外部网络可以访问内部网络。servermap表项可以使用在类似FTP的多通道协议上,后面会对两个基本概念再进行深入介绍。
范围
本文介绍了eudemon防火墙支持的业务特性规格、实现的基本原理、一些组网特点等方面的内容。eudemon防火墙采用ASPF(Application status packet filter )状态包过滤技术对各种业务实现在应用层面的检测,是一种高级的通信过滤技术,采用ASPF技术可以实现智能防火墙应用。
实现原理
概述
ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。eudemon系列防火墙提供了基于报文内容的访问控制,即ASPF,能够对应用层的一部分攻击加以检测和防范,包括对于SMTP命令的检测、HTTP的Java、ActiveX控件等的检测。
ASPF不但对报文的网络层的信息进行检测,还对应用层的协议信息(如FTP)进行检测。ASPF在session表的数据结构中维护着连接的