FPM技術(shù)的實現(xiàn)原理

FPM可以無狀態(tài)化的來控制數(shù)據(jù)包的頭部或負載，這可能存在一些問題。例如，當兩個網(wǎng)絡(luò)設(shè)備之間傳輸數(shù)據(jù)包時，F(xiàn)PM會對所有的數(shù)據(jù)包檢查，當發(fā)現(xiàn)其中包含特定內(nèi)容時就將其清除。而如果在這些設(shè)備之間使用了某種網(wǎng)絡(luò)協(xié)議，并且該協(xié)議采取了某種協(xié)商機制（例如協(xié)商出一個新的端口號等），對于這種有狀態(tài)化的內(nèi)容，F(xiàn)PM是無法控制的，即FPM只能控制無狀態(tài)化的對象。FPM可以用來分析協(xié)議并簡化規(guī)則的創(chuàng)建，這是FPM的優(yōu)點之一。

例如FPM可以對IP包頭部的20個字節(jié)進行分析，并從中提取合適的特征數(shù)據(jù)將其添加到規(guī)則中即可。FPM可以替換ACL，抵御和過濾惡意的攻擊流量。例如，為防止針對Web服務(wù)器的攻擊，可以利用FPM創(chuàng)建一條規(guī)則，對所有的TCP數(shù)據(jù)包進行過濾，如果在其中尋找到80端口，就會以該端口為起點對之后的特定偏移量的內(nèi)容進行過濾，如果發(fā)現(xiàn)諸如“cmd.exe”之類的內(nèi)容，就將該包丟棄，這樣就可以有效攔截針對Web服務(wù)器的攻擊。

FPM的特點和功能

在FPM中包含名為“PHDFs”（即協(xié)議頭部描述文件）的組件，其存在于思科的ISO中。其主要作用是對數(shù)據(jù)的頭部進行描述，在應(yīng)用層、網(wǎng)絡(luò)層、傳輸層和接入層等，數(shù)據(jù)的表達方式都包含頭部數(shù)據(jù)，PHDFs就是用來概括頭部的一些內(nèi)容的，針對特定的網(wǎng)絡(luò)協(xié)議定義了協(xié)議頭中每一個字段的內(nèi)容。FPM可以針對網(wǎng)絡(luò)協(xié)議中的任何字段進行深度檢測，即讓其檢測協(xié)議頭部中的某些字段，并在PHDFs中預(yù)先制定好所需字段，這樣便于FPM使用和調(diào)用這些字段。

針對不同的網(wǎng)絡(luò)協(xié)議，可以分別制定對應(yīng)的PHDFs文件，例如“ICMP.PHDF”等。思科已經(jīng)在ISO中已經(jīng)集成了一些PHDF文件。當然，用戶可以使用XML格式自定義所需的PHDFs文件。FPM可以針對數(shù)據(jù)包進行深度檢測，對于ACL技術(shù)無法控制的字段，F(xiàn)PM可以很輕松進行過濾、分析和捕獲其中的特征數(shù)據(jù)，對于包含非法內(nèi)容的數(shù)據(jù)包來說，很容易在FPM技術(shù)面前暴露，進而被FPM丟棄。但是，F(xiàn)PM每次只能處理一個數(shù)據(jù)包。例如對網(wǎng)絡(luò)蠕蟲來說，其攻擊威力不可小覷。蠕蟲攻擊會調(diào)用HTTP協(xié)議，來GET方法來獲取服務(wù)器中的“cmd.exe”的訪問權(quán)限。

這樣，黑客就可在遠程操作服務(wù)器的CMDshell接口非法執(zhí)行各種危險的指令，如創(chuàng)建黑客賬戶、開啟后門等。在黑客和服務(wù)器交互過程中，必然會相關(guān)傳遞很多數(shù)據(jù)包，在其中必然包含“cmd.exe”的特征字符串。使用FPM技術(shù)，可對其進行深度分析，如果發(fā)現(xiàn)其中包含上述字符串則丟棄。將該策略制定完成后應(yīng)用到合適的網(wǎng)絡(luò)接口上，即可抗擊蠕蟲攻擊。

具體方法是先將包含TCP 80端口信息的TCP數(shù)據(jù)包單獨提取出來，并在其中的每一個TCP數(shù)據(jù)包中定位包含80端口信息位置，并開始往后分析256個字節(jié)的內(nèi)容，如果發(fā)現(xiàn)存在“cmd.exe”字符串，就將該數(shù)據(jù)包丟棄。由此看出，使用FPM過濾數(shù)據(jù)包的方法是先將流量中需要檢測的數(shù)據(jù)包提取出來，之后在特定區(qū)域?qū)ふ液虾跻蟮膼阂馓卣鲾?shù)據(jù)，并根據(jù)需要丟棄即可。

使用FPM技術(shù)雖然可以保護網(wǎng)絡(luò)安全，但并非完美無缺。例如在設(shè)備性能不夠強悍情況下不宜使用FPM，因為其只能對數(shù)據(jù)包逐個處理，如需并行處理大量數(shù)據(jù)包，網(wǎng)絡(luò)設(shè)備開銷將非常大，如果存在IPS設(shè)備的話，就可以取代FPM防護技術(shù)。如果某些數(shù)據(jù)包比較特殊，F(xiàn)PM無法對其識別，自然無法使用其對該類數(shù)據(jù)包進行過濾檢測。因為FPM技術(shù)是基于負載的，利用指定的規(guī)則在負載中匹配特征字段，如果攻擊者采用數(shù)據(jù)包分片的方法，就可以避開FPM的管控。

配置實驗網(wǎng)絡(luò)環(huán)境

下面舉例說明FPM的使用方法，例如存在R1、R2和 R3三 臺 路 由 器， R1通過F0/0接口和R2的F0/0接口連接，IP分別為192.168.1.11/24和192.168.1.12/24。R2通 過 F0/1接口和R3的F0/0接口連接，IP分別為172.16.1.12和172.16.1.13/24。在R1上存在IP為1.1.1.1/24的環(huán)回口，在R2上存在IP為2.2.2.2/24的環(huán)回口，R3上存在IP為3.3.3.3的環(huán)回口。通過合理配置路由信息，讓三臺路由器可以正常通訊。在R1上可以通過Telnet對R3進行訪問，但是當R3返回給R1時，必然要經(jīng)過R2，通過使用FPM技術(shù)，在R2上捕獲并丟棄這些返回的數(shù)據(jù)包。

這樣，當R1訪問R3的Telnet時，按照正常情況，R3會返回相應(yīng)數(shù)據(jù)包后，在R1上才會顯示輸入賬戶名和密碼的提示信息，因為在R2上已捕獲并丟棄了這些數(shù)據(jù)包，在R1上自然無法顯示。這樣就可防止其他用戶通過R1對R3進行Telnet訪問，從而保護了R3安全。在具體實現(xiàn)時，三臺路由器需連接在某臺交換機上，R1連接到交換機Fas 0/3接口，R2分別連接到交換機的Fas 0/21和Fas 0/20接口，R3連接到交換機的Fas 0/4接口。在該交換機管理界面執(zhí)行“conf t”命令進入全局配置模式，執(zhí)行“vlan 10”、“name xn1”命令創(chuàng)建名為“xn1”的VLAN。執(zhí) 行“vlan 20”、“name xn2”命令創(chuàng)建名為“xn2”的VLAN。

執(zhí) 行“i n t r a n g f0/3,f0/20”、“switchport mode access vlan 10”、“spanningtree portfast”命令，將f0/3和f0/20加入VLAN10，并打開生成樹的Fastport接口。執(zhí)行“int rang f0/4,f0/21”、“switchport mode access vlan 20”、“spanning-tree portfast”命令，將f0/4和f0/21加入到VLAN20 中。在R1上執(zhí)行“conf t”命令，在全局配置模式中執(zhí)行“in l0”、“ip add 1.1.1.1 255.255.255.0”、“inter f0/0”、“ip add 192.168.1.11 255.255.255.0”、“no shut”、“ip route 0.0.0.0 0.0.0.0 192.168.1.12”命令，設(shè)置R1的環(huán)回口以及F0/0接口的IP，閉關(guān)設(shè)置默認路由，下一條指向R2的F0/0接口。

在R2上執(zhí)行“int l0”、“ip add 2.2.2.2 255.255.255.0”、“int f0/0”、“ip add 192.168.1.12 255.255.255.0”、“no shut” 命 令， 設(shè)置環(huán)回口IP和f0/0接口 IP。 執(zhí) 行“int f0/1”、“ip add 192.168.1.12 255.255.255.0”、“no shut”、“ip route 1.1.1.1 2 5 5.2 5 5.2 5 5.0 192.168.1.11”、“ip route 3.3.3.3 255.255.255.0 172.16.1.13” 命 令， 設(shè)置f0/1接 口IP，并 設(shè) 置兩條靜態(tài)路由分別指向R1和R3。在R3上執(zhí)行“in l0”、“ip add 3.3.3.3 255.255.255.0”、“int f0/0”、“ip add 23.1.1.1.3 255.255.255.0”、“no shut”、“ip route 0.0.0.0 0.0.0.0 172.16.1.12”命令，設(shè)置其環(huán)回口和f0/0接口的IP，并設(shè)置一條默認路由，將下一跳指向R2的f0/1接口。這樣，R1、R2和R3之間就可以正常通訊了。在R3上進入全局配置模式，執(zhí)行“username user1 password 123456”命令，創(chuàng) 建 名 為“user1”，密碼為“123456”的賬戶。執(zhí)行“l(fā)ine vty 0 4”、“l(fā)ogin local”、“end”命 令，開 啟Telnet訪問功能。

配置FPM策略，保護Telnet訪問

在R2上 執(zhí) 行“more system:fpm/?”命令可查看FPM目錄信息。執(zhí)行“more system:fpm/phdf/?”命令顯示已集成的所有PHDF文件，如“ip.phdf”、“tcp.phdf”、“udp.phdf”等。執(zhí)行“more system:fpm/phdf/ip.phdf”命令可查看“ip.phdf”內(nèi)容，執(zhí)行“conf t”命令，在全局配置模式下執(zhí)行“l(fā)oad fpm”命令可加載所有PHDF文件。當然，可以根據(jù)需要加載所需的PHDF文件?？梢詧?zhí)行“l(fā)oad protocol system:fpm/phdf/ip.phdf”命令，僅僅加載“ip.phdf”文件。

同理，可以加載所需的其他PHDF文件（例如“tcp.phdf”）。 當 R1 對 R3 進 行Telnet訪問時，在返回信息中會顯示“User Access Verification”字符串。如果在R2上過濾并丟棄包含該內(nèi)容的數(shù)據(jù)包，那么R1就無法得到R3的響應(yīng)，就會造成R1無法進行之后的認證操作，自然無法對R3進行Telnet訪問了。通過對Telnet連接的數(shù)據(jù)包進行分析，發(fā)現(xiàn)該字符串位于“Transmission Contro Protocol”字段后的4個字節(jié)的偏移量處。在R2上執(zhí)行“class-map type stack match-all class1”命令創(chuàng)建名為“class1”的針對協(xié)議頭部的堆棧Class-Map，用來指定捕獲數(shù)據(jù)包的協(xié)議類型。

執(zhí) 行“match field ip protocol eq 0x6 next tcp”命令，進一步匹配了IP協(xié)議下面的協(xié)議號6的TCP類型。 執(zhí) 行“exit”、“classmap access-control matchall class”命令，創(chuàng)建名為“class2”的Access Control的Class-Map。執(zhí)行“match start tcp payloadstart offset 4 size 100 string”、“User Access Verification”命令，從數(shù)據(jù) 包 中 的“transmission Control Protocol”字段的4個字節(jié)的偏移量處開始匹配，并且檢測其中的100個字節(jié)，如果其中包含“User Access Verification”字符串則匹配成功。執(zhí)行“conf t”、“policy-map type access-control policy1”命令創(chuàng)建名為“policy1”的Policy-Map。 執(zhí) 行“class class2”、“drop” 命 令，對Class2進行調(diào)用，并丟棄合乎上述條件的數(shù)據(jù)包。

執(zhí) 行“exit”、“policymap type access-control policy2”、“class class1”、“service-policy policy1”、“end”命令創(chuàng)建名為“policy2”的Policy-Map， 并 調(diào) 用Class1將其和Policy1進行關(guān)聯(lián)。這樣對于Class1來說，匹配了一些協(xié)議，對于Class2來說則匹配了數(shù)據(jù)包中的一些字段。通過Policy1調(diào)用Class2中匹配的字段并將對應(yīng)的數(shù)據(jù)包丟棄，通過Policy2調(diào)用Class1值，只要是匹配這些協(xié)議中的內(nèi)容，全部都執(zhí)行Policy1策略，實現(xiàn)層次化的關(guān)聯(lián)體系。因為對于R2來說，其接收R3返回給R1的數(shù)據(jù)包的接口是F0/1，所以需要將上述策略綁定到該接口。

執(zhí) 行“conf t”、“int f0/1”、“service-policy type access-control input policy2”、“end” 命 令，將Policy2策略綁定到該接口上，對進入的指定流量進行控制。

這樣，當在R1上對R3進行Telnet訪問時，因為返回的數(shù)據(jù)包被R2丟棄，所以R1是無法對R3進行Telnet連接的。

從以上簡單的測試可以看出，F(xiàn)PM技術(shù)對于保護網(wǎng)絡(luò)連接的安全是很重要的，其可以針對數(shù)據(jù)流中的某些數(shù)據(jù)包進行深度檢測，將數(shù)據(jù)包中的某些字段匹配出來，并對其進行Drop之類的操作，將惡意數(shù)據(jù)包丟棄。

使用FPM攔截特定網(wǎng)絡(luò)連接

當然，使用FPM技術(shù)可以針對所有的來往程序產(chǎn)生的數(shù)據(jù)流進行控制。例如對于常用的聊天工具QQ來說，也可以使用FPM進行控制。

對于一般的內(nèi)網(wǎng)來說，當客戶端運行QQ后，會先連接到路由器，之后連接到ISP服務(wù)器，然后連接到QQ服務(wù)器。當用戶進行登錄和聊天時，會通過這條鏈路和QQ服務(wù)器進行交互。

使用專用的抓包分析工具對其進行嗅探后，可以了解QQ數(shù)據(jù)包的內(nèi)容。因為QQ是基于UDP協(xié)議運作的，所以在這些數(shù)據(jù)包中會顯示UDP信息。緊隨其后的信息輸入QQ獨有的內(nèi)容，例如數(shù)據(jù)包頭、版本標識、命令、順序號、加密數(shù)據(jù)、數(shù)據(jù)包尾等內(nèi)容。

例如在其中的“Command”字段中如果顯示186字樣，說明該數(shù)據(jù)包和登錄行為有關(guān)，例如請求登錄令牌等。在實際的網(wǎng)絡(luò)管理中，有時并不希望內(nèi)網(wǎng)用戶隨意使用QQ進行聊天，那么只需要在路由器上使用FPM技術(shù)對包含該特征信息的數(shù)據(jù)包進行攔截。

這里就簡單介紹實現(xiàn)原理，仍然在上述R2路由器上進行操作，因為涉及到UDP協(xié)議，所以需要執(zhí)行“conf t”、“l(fā)oad protocol system:fpm/phdf/udp.phdf” 命 令 加 載UDP的PHDF文 件。 執(zhí) 行“classmap type stack matchall qqclass1”命令創(chuàng)建名為“class1”的針對協(xié)議頭部的堆棧Class-Map，用來指定捕獲的數(shù)據(jù)包的協(xié)議類型。

執(zhí) 行“match field ip protocol eq 0x11 next udp”命令進一步匹配了udp協(xié)議下面的協(xié)議號11的數(shù)據(jù) 包 類 型。 執(zhí) 行“exit”、“class-map access-control match-all qqclass2” 命令 創(chuàng) 建 名 為“class2”的Access Control的Class-Map。執(zhí)行“match start udp payload-start offset 3 size 2 eq 0xBA命令在QQ數(shù)據(jù)包中的UDP協(xié)議字段之后偏移3個字節(jié)。

因為QQ數(shù)據(jù)包中的命令字段占用了2個字節(jié)，內(nèi)容是十六進制的186（即0x00ba），所以尺寸需要精確設(shè)定，這就需要根據(jù)捕獲的QQ數(shù)據(jù)包的實際情況來決定。

執(zhí)行“conf t”、“policymap type access-control qqpolicy1”命令，創(chuàng)建名為“qqpolicy1”的 Policy-Map。執(zhí) 行“class qqclass2”、“drop”命令，對qqClass2進行調(diào)用，并丟棄合乎上述條件的數(shù)據(jù)包。執(zhí)行“exit”、“policy-map type accesscontrol qqpolicy2”、“class qqclass1”、“servicepolicy qqpolicy1”、“end”命令，創(chuàng)建名為“qqpolicy2”的Policy-Map， 并 調(diào) 用qqclass1將其和qqpolicy1進行關(guān)聯(lián)。

之后，按照上述方法，將該策略綁定了特定的網(wǎng)絡(luò)接口上，讓其針對進入或者發(fā)出的數(shù)據(jù)包進行控制。

當然，這里僅僅列舉了簡單的例子來說明FPM控制方法，而對其他類登錄方式采用的方法是類似的，這里就不再贅述。