目的
应用层协议一般使用知名端口号进行通信。当用户使用非知名端口提供知名服务时的业务时,可以使用端口映射功能对这些业务进行识别。
前提条件
由于端口映射功能通过ACL来匹配流量,所以在配置端口映射之前,需要首先创建用来匹配流量的ACL,且端口映射功能只能使用基本ACL进行匹配。
由于端口映射的主要目的是将发往内网服务器非知名端口的报文识别为知名服务,ACL主要定义的就是内网服务器的IP地址和它所提供的端口。所以在定义的ACL的规则时,应将内网服务器的IP地址作为source-address。在设备实现时,会检测发往source-address的报文。
背景信息
应用层协议一般使用知名端口号进行通信,例如FTP使用20和21端口,Web服务通常使用80端口。但是在某些情况下,内网服务器需要通过其他自定义端口对外提供知名服务时,可以通过端口映射功能来完成相应的转换。
端口映射的原理是,创建一个协议与映射端口的关联表,当收到发往映射端口的报文时,会将其识别为对应的知名服务的报文,并进行相应的应用层识别等功能。
例如,内网服务器A希望使用21000端口对外提供FTP服务。如果不使用端口映射功能,设备将认为发往A的21000端口的报文为普通报文。这时如果组网场景需要使用ASPF功能,即使用户在域间配置了detect ftp命令,还是不能正常提供FTP服务,因为设备并不认为发往21000端口的报文是FTP报文,也就不会进行相应的检测和分析。
所以此时需要通过端口映射功能将21000端口映射为FTP服务。这个映射并不是指设备会将发往21000端口的报文转发给21端口,而是指设备会将发往21000端口的报文认为是FTP协议报文。
操作步骤
1. 执行命令system-view,进入系统视图。
2. 执行命令port-mapping protocol-name port port-number acl acl-number,配置端口映射。
执行该命令后,就会将ACL匹配的流量中,发往port-number端口的报文认为是
protocol-name协议。
配置端口映射时: ? ?
一个协议可以配置多个映射端口。
一个端口可以映射为多个协议,但是必须通过基本ACL进行区分,对匹配不同的基本ACL的报文使用不同的映射关系。在匹配时,会按照ACL的配置顺序进行匹配,先创建的ACL先进行匹配。 ?
如果流量命中的规则的动作是permit,则按该ACL对应的协议进行映射。
? 如果流量命中的规则的动作是deny,则跳出该ACL的匹配,进行下一条ACL的匹配。
? 如果整个ACL中所有规则都没有命中,则进行下一条ACL的匹配。
任务示例
本例中,希望通过端口映射功能将发往10.1.1.1的21000端口的报文按FTP报文处理。
[sysname-acl-basic-2005] rule permit source 10.1.1.1 0 [sysname-acl-basic-2005] quit
[sysname] port-mapping ftp port 21000 acl 2005
后续处理
如果查看当前系统已经配置的端口映射表,可以执行命令display port-mapping命令。 [sysname] display port-mapping SERVICE PORT ACL TYPE ------------------------------------------------- ftp 21 system defined smtp 25 system defined http 80 system defined rtsp 554 system defined h323 1719 system defined mgcp 2727 system defined mms 1755 system defined sqlnet 1521 system defined pptp 1723 system defined sip 5060 system defined ftp 21000 2005 user defined
在本例中,存在两个ftp协议的端口映射关系,一个是ftp与21端口的映射,一个是ftp与21000端口的映射。通过TYPE字段可以看出,21端口是系统预定义的映射关系,21000端口是用户自定义的映射关系。
一个协议可以同时与多个端口进行映射,用户自定义的映射关系并不会替代系统预定义的映射关系,而是两者同时有效。区别是系统预定义映射对所有流量有效,用户自定义映射只对ACL所匹配的流量有效。
应用层包过滤
由于某些特殊应用会在通信过程中临时协商端口号等信息,所以需要设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF(Application Specific Packet Filter)。 ?
ASPF简介
ASPF是针对应用层的包过滤。ASPF的原理是通过检测通过设备的报文的应用层协议信息,自动维护相应的Servermap表项,使得某些在基本包过滤功能中没有明确定义要放行的报文也能够得到正常转发。 ?
在域间应用ASPF功能
当需要设备转发多通道协议报文时,需要在域间配置相应的ASPF功能。 ?
配置ASPF举例
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。本例将使用路由口,通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。
ASPF简介
ASPF是针对应用层的包过滤。ASPF的原理是通过检测通过设备的报文的应用层协议信息,自动维护相应的Servermap表项,使得某些在基本包过滤功能中没有明确定义要放行的报文也能够得到正常转发。
ASPF功能不但可以对报文的网络层信息进行检测,也可以对报文的应用层信息进行深度检测,是USG安全规则检查的重要组成部分。ASPF的实现基础是server-map表,关于server-map表的详细信息,请参见配置Server-map表。
ASPF介绍
ASPF是针对应用层的包过滤,即基于状态的报文过滤。ASPF能够检测试图通过设备的应用层协议会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。
ASPF可以对以下协议的流量进行监测: ? ? ? ?
DNS(Domain Name System),域名解析系统。 FTP(File Transfer Protocol),文件传输协议。
H323(H.323 Protocol),用于在计算机网络中实现音频和视频通信。
ICQ,美国在线公司AOL出品的一款软件ICQ使用的通信协议,支持在Internet上聊天、发送消息和文件等。 ?
ILS(Internet Locator Server),Internet定位服务。
? NETBIOS(Network Basic Input Output System),网络基本输入输出系统。NetBIOS定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法。
? MGCP(Media Gateway Control Protocol),媒体网关控制协议,是一种应用于分开的多媒体网关单元之间的VOIP协议。
? MMS(Microsoft Media Server Protocol),Micosoft多媒体协议,是用来访问并且流式接收Windows Media服务器中.asf文件的一种协议。MMS协议用于访问Windows Media发布点上的单播内容。在线广播电台应用较多。
? MSN(Mircosoft Service Network Protocol),微软网络服务协议,是微软公司提供的即时通信工具MSN Messenger所使用的通信协议。
? PPTP(Point to Point Tunneling Protocol),点到点隧道协议,用于在因特网上建立IP虚拟专用网(VPN)隧道。
? ?
QQ,指腾讯公司提供的即时通信工具QQ所使用的通信协议。
RTSP(Real-Time Streaming Protocol),实时流传输协议,该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据。
? SIP(Session initiation Protocol),SIP是一个基于文本的应用层控制协议,独立于底层传输协议TCP/UDP/SCTP,用于建立、修改和终止IP网上的双方或多方多媒体会话。
? ?
SQLNET(SQL.NET Protocol),一种Oracle数据库语言。 IPv6协议,包含FTP、HTTP、RTSP。
多通道协议的检测
对于多通道协议,例如FTP,ASPF功能可以检查控制通道和数据通道的连接建立过程,通过生成server-map表项,确保FTP协议能够穿越设备,同时不影响设备的安全检查功能。 报文处理流程如图1所示。
图1 多通道协议ASPF检测机制
QQ/MSN协议检测
为了节省有限的IP地址资源,绝大部分网络均部署了NAT设备提供地址转换功能。QQ/MSN用户进行纯文本聊天时,由于在QQ/MSN服务器中保存了聊天用户的地址映射信息,信息交互可以顺利地通过QQ/MSN服务器中转。
另一方面QQ/MSN用户可能传送文件或进行音频/视频聊天,如果QQ/MSN服务器中转此类报文将消耗过大资源,无法保证对纯文本聊天报文的正常中转。QQ/MSN服务器希望互相传送信息的两个用户通过网络设备直接交互大流量的文件/音频/视频信息,但是由于一般NAT设备需要转换聊天用户的地址信息,无法实现该需求。
配置NAT功能时,可以在相关域间启动QQ/MSN协议检测功能,设备在QQ/MSN协议启动时则会创建地址映射关系,从而使两个私网用户直接传送文件和进行音频/视频聊天。
ActiveX Blocking和Java Blocking的检测
设备提供以下两种特殊控件的检测功能: ?
Java Blocking
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库USG配置nat server(2)在线全文阅读。
相关推荐: