应用层识别与控制介绍

Hillstone SA 系列安全网关提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P 应用、实时通信工具以及VoIP 语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断等。StoneOS 利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。

换句话说就是hilltsone sa安全网关是一台具有7层功能的防火墙设备。

分片重组

通常的网络中间设备，如路由器或者交换机，并不重组它们收到的报文碎片。目的主机在收到所有报文碎片后进行重组。由于网络环境的复杂性，报文碎片可能出现丢失、乱序的情况，而对碎片的重组需要接收所有的碎片，并进行排序方能完成，这会耗费一定的系统资源。网络设备从职能及转发效率角度考虑，一般不做重组，只负责转发。但作为安全网关，安全策略的应用要求对应用层信息进行分析，以过滤存在安全隐患的恶意信息或阻断任何入侵及攻击企图。但是安全网关只有在接收到应用层完整信息的情况下才能作出裁决。StoneOS 具备传输层代理功能，能够先对碎片报文进行缓存、排序和重组，并且在完成分析并作出裁决的情况下，对正常数据进行重新封装和转发。

应用层网关（ALG）

一些应用程序采用多通道数据传送，如常见的FTP，其控制通道和数据通道是分开的。在严格安全策略控制条件下的安全网关，就有可能对每种数据通道进行严格限制，例如只允许从内网到外网的FTP 数据在知名的TCP 21 号端口上进行传输，一旦FTP 主动模式下，在公网上的FTP 服务器试图主动连接内网主机的随机端口，安全网关就会进行拦截，此时FTP 无法正常工作。这就要求安全网关足够智能以正确处理严格安全策略下合法应用的随机性。

在FTP 的实例中，安全网关通过分析FTP控制通道上传送的信息，得知服务器与客户端达成一致，服务器将主动连接客户端的某端口，安全网关就能临时的打开一条通道，使FTP 正常工作。

StoneOS 采用最严格的NAT 模式。一些VoIP 应用在进行NAT 穿越时，由于IP 地址和端口号的改变可能导致VoIP 无法正常工作，ALG 技术在此时将保证NAT地址转换后，VoIP 应用能够正常通信。因此，应用层网关提供以下功能：

♦ 在严格的安全策略规则下，利用应用层网关ALG 技术，保证多通道应用程序正常的通信，如FTP、TFTP、PPTP、RTSP、RSH、MSRPC、SUNRPC和SQLNET。
♦ 保证VoIP 应用，如SIP 和H.323 等，在NAT 模式下的正常工作，并能够根据安全策略要求，进行监控和过滤。

HTTP、P2P 和IM

在传输层代理及碎片重组的支持下，StoneOS 支持三大类应用的识别与控制，分别是HTTP 应用、P2P 应用和IM 应用。通过Profile 定义，可以针对每种应用实施各种操作，如流量监控、流量限制和阻断等。通过安全策略与Profile 相结合，能够完成细粒度的应用层安全策略控制，如

♦ 对HTTP Java Applet 程序的过滤。保证受保护的用户不受有害Java Applet程序的侵害。
♦ 对HTTP ActiveX 程序的过滤。防止恶意ActiveX 程序破坏用户系统。
♦ P2P 应用的识别、监控和流量控制乃至阻断。支持BT、eMule、以及Thunder（迅雷）等。
♦ 针对实时通信工具的各种操作，如聊天和文件传输等进行识别与控制，如MSN Messenger、 QQ 和Yahoo Messenger 等。

总结：

Hillstone SA定义为安全网关，因此也需要具备七层的控制功能，可以对一些网络行为进行控制，如http、P2P、IM等应用软件的管理和控制，加入流量监控功能，虽然不能和专业的网络行为管理设备完善，但是这些基本的控制可以极大的方便网络管理员对网络的管控。

原创文章如转载，请注明：
转载自醉生梦死的博客
原文地址：http://www.liusuping.com/hillstone/hillstone-alg-jieshao.html