实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕
2、配置完成,测试配置结果。 【实验目的】 1、了解硬件防火墙中的安全检测原理。 2、掌握配置ASPF防火墙的方法。 【实验内容】 1、在防火墙上配置一ASPF策略,检测通过防火墙的FTP和HTTP流量。要求: 如果该报文是内部网络用户发起的FTP和HTTP连接的返回报文,则允许其通过防火墙进入内部网络,其他报文被禁止。 该ASPF策略能够过滤掉来自服务器2.2.2.11的HTTP报文中的Java Applets。 2、配置完成,测试配置结果。
【实验环境】 1、 连网的个人计算机2台,内部网络PC安装Windows 2000/pro/xp等操作系统,外部网络PC安装Windows 2000 SERVER操作系统。并安装FTP服务器和WWW服务器。 2、 Quidway SecPath 100F硬件放火墙一台 3、 RJ-45直通网线两根。 4、 RJ-45交叉网线一根。 5、 Console配置线一根。
【实验参考步骤】 1、按图3-1组网。 图3-1 ASPF配置组网图 ethernet 1/0 ethernet 0/0 202.38.2.1 129.38.1.5 内部PC 外部PC 防火墙 129.38.1.4 202.38.2.2 FTP Server 图3-1 ASPF配置组网图
2、按实验一的方法连接配置线。 3、对放火墙进行配置 (1)在ASPF 安全网关上配置允许防火墙。 (2)配置访问控制列表3111,以拒绝所有TCP和UDP流量进入内部网络,ASPF会为允许通过的流量创建临时的访问控制列表。 (3)创建ASPF策略,策略号为1,该策略检测应用层的两个协议:FTP和HTTP协议,并定义没有任何行为的情况下,FTP协议的超时时间为3000秒。 (4)配置访问控制列表2001,以过滤来自站点2.2.2.11的Java Applets。 (5)在接口上应用ASPF策略 (6)在接口上应用访问控制列表3111
3、用ping命令检测网络连通性,内部PC应能访问外部网络的服务器。 4、从内部网络PC向外部网络服务器发FTP命令,检测ASPF策略的应用。 5、从内部网络PC访问外部网络服务器的网站,检测ASPF策略的应用。 【实验报告】 1、说明ASPF策略的安全意义。 2、提交所有检测结果。
· 能够检查应用层协议信息; · 能够检测传输层协议信息; 【实验预备知识】 1、ASPF简介 ASPF(Application Specific Packet Filter)是针对应用层及传输层的包过滤,即基于状态的报文过滤。ASPF能够实现的应用层协议检测包括:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)检测;能够实现的传输层协议检测包括对通用TCP/UDP检测。 2、ASPF的主要功能如下 · 能够检查应用层协议信息; · 能够检测传输层协议信息;
3、内部接口和外部接口 如果安全网关连接了内部网和Internet,并且安全网关要通过部署ASPF来保护内部网的服务器,则安全网关上与内部网连接的接口就是内部接口,与Internet相连的接口就是外部接口。 4、定义ASPF策略的方法步骤 创建一个ASPF策略; 配置空闲超时值; 配置应用层协议检测; 配置通用TCP和UDP检测。