实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕.

Presentation on theme: "实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕."— Presentation transcript:

1 实验九、基于ASPF的安全 检测实验 实验开发教师:谌黔燕

2 2、配置完成，测试配置结果。 【实验目的】 1、了解硬件防火墙中的安全检测原理。 2、掌握配置ASPF防火墙的方法。 【实验内容】
1、在防火墙上配置一ASPF策略，检测通过防火墙的FTP和HTTP流量。要求： 如果该报文是内部网络用户发起的FTP和HTTP连接的返回报文，则允许其通过防火墙进入内部网络，其他报文被禁止。 该ASPF策略能够过滤掉来自服务器 的HTTP报文中的Java Applets。 2、配置完成，测试配置结果。

3 【实验环境】 1、 连网的个人计算机2台，内部网络PC安装Windows 2000/pro/xp等操作系统，外部网络PC安装Windows 2000 SERVER操作系统。并安装FTP服务器和WWW服务器。 2、 Quidway SecPath 100F硬件放火墙一台 3、 RJ-45直通网线两根。 4、 RJ-45交叉网线一根。 5、 Console配置线一根。

4 【实验参考步骤】 1、按图3-1组网。 图3-1 ASPF配置组网图 ethernet 1/0 ethernet 0/0
．1 内部PC 外部PC 防火墙 ．2 FTP Server 图3-1 ASPF配置组网图

5 2、按实验一的方法连接配置线。 3、对放火墙进行配置 （1）在ASPF 安全网关上配置允许防火墙。
（2）配置访问控制列表3111，以拒绝所有TCP和UDP流量进入内部网络，ASPF会为允许通过的流量创建临时的访问控制列表。 （3）创建ASPF策略，策略号为1，该策略检测应用层的两个协议：FTP和HTTP协议，并定义没有任何行为的情况下，FTP协议的超时时间为3000秒。 （4）配置访问控制列表2001，以过滤来自站点 的Java Applets。 （5）在接口上应用ASPF策略 （6）在接口上应用访问控制列表3111

6 3、用ping命令检测网络连通性，内部PC应能访问外部网络的服务器。
4、从内部网络PC向外部网络服务器发FTP命令，检测ASPF策略的应用。 5、从内部网络PC访问外部网络服务器的网站，检测ASPF策略的应用。 【实验报告】 1、说明ASPF策略的安全意义。 2、提交所有检测结果。

7 · 能够检查应用层协议信息； · 能够检测传输层协议信息； 【实验预备知识】 1、ASPF简介
ASPF（Application Specific Packet Filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。ASPF能够实现的应用层协议检测包括：FTP、HTTP、SMTP、RTSP、H.323（Q.931，H.245， RTP/RTCP）检测；能够实现的传输层协议检测包括对通用TCP/UDP检测。 2、ASPF的主要功能如下 · 能够检查应用层协议信息； · 能够检测传输层协议信息；

8 3、内部接口和外部接口 如果安全网关连接了内部网和Internet，并且安全网关要通过部署ASPF来保护内部网的服务器，则安全网关上与内部网连接的接口就是内部接口，与Internet相连的接口就是外部接口。 4、定义ASPF策略的方法步骤 创建一个ASPF策略； 配置空闲超时值； 配置应用层协议检测； 配置通用TCP和UDP检测。