4.5.12防火墙的ASPF管理

4.5.12防火墙的ASPF管理

ACL/包过滤防火墙为静态防火墙，目前存在如下问题:

(1)对于多通道的应用层协议(如FTP，H.323等)，部分安全策略配置无法预知。

(2)无法检测某些来自于应用层的攻击行为(如TCP SYN、Java Applet、ActiveX等)。

为解决以上问题，可以通过配置ASPF(Application Specific Packet Filter)来解决。ASPF是针对应用层及传输层的包过滤，即基于状态的报文过滤。

ASPF的主要功能如下:

(1)能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。

(2)能够检测传输层协议信息(即通用TCP和UDP协议检测)，能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。

(3)ASPF不仅能够根据连接的状态对报文进行过滤，还能够对应用层报文的内容加以检测。

(4)增强的会话日志功能。可以对所有的连接进行记录，包括记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。

在网络边界，ASPF和普通的静态防火墙协同工作，能够为企业内部网络提供更全面的、更符合实际需求的安全策略。ASPF的详细配置如下: