文/沈博文

H3C SecPath M9000多业务综合网关，配置了防火墙业务板后，可以支持高级状态包过滤（ASPF）防火墙的功能，在网络边界，ASPF可以和包过滤防火墙协同工作，包过滤防火墙负责按照ACL规则进行报文过滤（阻断或放行），ASPF负责对已放行报文进行信息记录，使已放行的报文的回应报文可以正常通过配置了包过滤防火墙的接口。因此，ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略。

一、 ASPF检测原理

1. 应用层协议检测基本原理

图1 应用层协议检测基本原理示意图

如图1所示，为了保护内部网络，可以在边界设备上配置访问控制列表，以允许内部网络的主机访问外部网络，同时拒绝外部网络的主机访问内部网络。但是访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法正常建立，利用ASPF的应用层协议检测可以解决此问题。

当在设备上配置了应用层协议检测后，ASPF可以检测每一个应用层的连接，具体检测原理如下：

对于单通道协议，ASPF在检测到第一个向外发送的报文时创建一个会话表项，该会话表项中记录了对应的正向报文信息和反向报文信息，用于维护会话状态并检测会话状态的转换是否正确，匹配某条会话表项的所有报文都将免于接受静态包过滤策略的检查。

对于多通道协议，ASPF除了创建会话表项之外，还会根据协议的协商情况，创建一个或多个关联表项，用于关联属于同一个应用业务的不同会话。关联表项在多通道协议协商的过程中创建，在多通道协议协商完成后删除，主要用于匹配会话首报文，使已通过协商的会话报文可免于接受静态包过滤策略的检查。

2. 传输层协议检测基本原理

传输层协议检测是指通用TCP/UDP检测。通用TCP/UDP检测也是通过建立会话表项记录报文的传输层信息，如源地址、目的地址及端口号等，达到动态放行报文的目的。

通用TCP/UDP检测要求返回到ASPF外部接口的报文要与之前从ASPF外部接口发出去的报文完全匹配，即源地址、目的地址及端口号完全对应，否则返回的报文将被丢弃。因此对于FTP这样的多通道应用层协议，在不配置应用层检测而直接配置TCP检测的情况下会导致数据连接无法建立。

二、 H3C SecPath M9000和V5平台防火墙ASPF功能区别

H3C上一代V5平台防火墙也支持ASPF功能，而SecPath M9000是基于V7平台开发出的高性能多业务安全网关，V7平台上的ASPF功能基本检测原理和V5平台防火墙并没有区别，但是在功能应用上有很大的不同。

H3C V5平台防火墙在ASPF应用上，自由度较低，除了“丢弃ICMP差错报文”和“丢弃非SYN的TCP首报文”以外，默认对其它所有协议都进行ASPF检测，并且对这些协议的ASPF必须开启，不能自行关闭。

H3C SecPath M9000在ASPF应用上，自由度较高，默认情况下，对所有的协议都会进行ASPF检测，而且可以手动关闭任何协议的ASPF检测。这里需要注意的是，初始状态下，设备上没有任何关于ASPF的配置，但是对所有协议都进行ASPF检测，一旦在域间实例上下发了ASPF策略，那么除了策略内配置的协议，其它协议的检测都被关闭。