华为防火墙:了解与配置ASPF/ALG (非NAT场景下叫ASPF,NAT场景下叫ALG。)

华为防火墙:了解与配置ASPF/ALG (非NAT场景下叫ASPF,NAT场景下叫ALG。)

ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。

了解ASPF
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则(生成Server-map表)。

以多通道协议(如FTP、H.323、SIP等)为例,这些多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口,然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的,管理员无法预知,因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立,只能放开所有端口,这样显然会给服务器或客户端带来被攻击的风险。

开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。


了解ALG
ALG(Application Level Gateway,应用层网关)功能用于NAT场景下自动检测某些报文的应用层信息,根据应用层信息放开相应的访问规则(生成Server-map表),并自动转换报文载荷中的IP地址和端口信息。

普通NAT只能转换报文头中的IP地址和端口,无法对应用层的数据进行转换。在许多应用层协议中,报文载荷中也带有地址或端口信息,如果这些数据不进行转换,可能导致后续通信异常。

通过配置ALG功能,既可以根据应用层信息放开相应的访问规则,同时对应用层的数据进行NAT转换。
ASPF和ALG对比
ASPF和ALG功能使用的是同一个配置,只是不同场景下FW对报文的处理不同,因而叫法不同。非NAT场景下叫ASPF,NAT场景下叫ALG。
表1 ASPF和ALG功能对比

对比项

ASPF

ALG

使用场景

非NAT场景

NAT场景

是否修改报文应用层信息

不会修改报文的应用层信息

会修改报文的应用层信息


通过Web配置知名协议的ASPF/ALG
为了简化配置,ASPF和ALG功能使用的是同一个配置界面,无须重复配置。

当用户使用非知名端口提供知名应用服务时,可以先配置端口映射功能将该业务识别为知名应用,再开启相应协议的ASPF/ALG

图片.png

Web配置是全局配置(对应下发的是firewall detect protocol命令),开启了全局的ASPF/ALG功能后,同时开启了域间和域内的ASPF/ALG功能。
(1)选择“策略 > ASPF配置”。
(2)勾选需要检测的协议类型。
(3)单击“应用”。

图片.png

图片.png

SIP协议的ASPF/ALG功能仅对基于UDP协议的SIP流量和TLS加密的SIP流量生效。对于TLS加密的SIP流量,FW会先进行SSL解密,然后进行ASPF/ALG处理。
请根据实际使用需求开启对应协议类型的ASPF/ALG功能,对于不需要开启ASPF/ALG功能的协议类型请及时关闭此功能。


通过CLI配置知名协议的ASPF/ALG
为了简化配置,ASPF和ALG功能使用的是同一个配置界面,无须重复配置。
FW支持配置全局、域间和域内的ASPF/ALG功能。
开启全局ASPF/ALG功能,相当于同时开启了域间和域内的ASPF/ALG功能,配置简单快速,但可能造成很多不必要的流量进入ASPF/ALG处理流程,导致不必要的性能占用。
开启域间或域内的ASPF/ALG功能后,FW仅会对指定域间或域内的流量进行ASPF/ALG处理。

当用户使用非知名端口提供知名应用服务时,可以先配置端口映射功能将该业务识别为知名应用,再开启相应协议的ASPF/ALG

图片.png


配置全局ASPF/ALG功能。
(1)执行system-view命令,进入系统视图。
(2)执行firewall detect [ ipv6 ] protocol命令,配置需要进行ASPF/ALG处理的协议。
    配置时请注意以下几点:
        如果需要对多种协议的流量进行ASPF/ALG处理,重复执行该命令。
        NAT64场景下,开启任意协议的IPv4 ASPF/ALG功能(无需指定ipv6参数)时,即开启了NAT64 ALG功能。
        DS-Lite场景中,FW对穿越IPv6网络的IPv4地址进行转换,开启指定协议的DS-Lite ALG功能时,无需指定ipv6参数。
        IPv6非NAT和NAT66场景下,开启指定协议的IPv6 ASPF/NAT66 ALG功能时,需要指定ipv6参数。
        firewall detect sip命令配置的针对SIP协议的ASPF/ALG功能仅对基于UDP协议或TLS加密的SIP流量生效。对于TLS加密的SIP流量,FW会先进行SSL解密,然后进行ASPF/ALG处理。
        请根据实际使用需求开启对应协议类型的ASPF/ALG功能,对于不需要开启ASPF/ALG功能的协议类型请及时关闭此功能


配置域间ASPF/ALG功能。
(1)执行system-view命令,进入系统视图。
(2)执行firewall interzone zone-name1 zone-name2命令,进入域间视图。
(3)执行detect [ ipv6 ] protocol命令,配置需要进行ASPF/ALG处理的协议。
    配置时请注意以下几点:
        如果需要对多种协议的流量进行ASPF/ALG处理,重复执行该命令。
        NAT64场景下,开启任意协议的IPv4 ASPF/ALG功能(无需指定ipv6参数)时,即开启了NAT64 ALG功能。
        DS-Lite场景中,FW对穿越IPv6网络的IPv4地址进行转换,开启指定协议的DS-Lite ALG功能时,无需指定ipv6参数。
        IPv6非NAT和NAT66场景下,开启指定协议的IPv6 ASPF/NAT66 ALG功能时,需要指定ipv6参数。
        detect sip命令配置的针对SIP协议的ASPF/ALG功能仅对基于UDP协议或TLS加密的SIP流量生效。对于TLS加密的SIP流量,FW会先进行SSL解密,然后进行ASPF/ALG处理。
        基于TCP协议的SIP流量的ASPF/ALG功能请使用detect [ ipv6 ] sip tcp命令进行配置。
        请根据实际使用需求开启对应协议类型的ASPF/ALG功能,对于不需要开启ASPF/ALG功能的协议类型请及时关闭此功能。

配置域内ASPF/ALG功能。
(1)执行system-view命令,进入系统视图。
(2)执行firewall zone [ name ] zone-name命令,进入域内视图。
(3)执行detect [ ipv6 ] protocol命令,配置需要进行ASPF/ALG处理的协议。
    配置时请注意以下几点:
        如果需要对多种协议的流量进行ASPF/ALG处理,重复执行该命令。
        NAT64场景下,开启任意协议的IPv4 ASPF/ALG功能(无需指定ipv6参数)时,即开启了NAT64 ALG功能。
        DS-Lite场景中,FW对穿越IPv6网络的IPv4地址进行转换,开启指定协议的DS-Lite ALG功能时,无需指定ipv6参数。
        IPv6非NAT和NAT66场景下,开启指定协议的IPv6 ASPF/NAT66 ALG功能时,需要指定ipv6参数。
        detect sip命令配置的针对SIP协议的ASPF/ALG功能仅对基于UDP协议或TLS加密的SIP流量生效。对于TLS加密的SIP流量,FW会先进行SSL解密,然后进行ASPF/ALG处理。
        基于TCP协议的SIP流量的ASPF/ALG功能请使用detect [ ipv6 ] sip tcp命令进行配置。
        请根据实际使用需求开启对应协议类型的ASPF/ALG功能,对于不需要开启ASPF/ALG功能的协议类型请及时关闭此功能。


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为防火墙:了解与配置ASPF/ALG (非NAT场景下叫ASPF,NAT场景下叫ALG。)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!