 |
『组网需求』:
要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.100向10.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。
『配置实例』:
1.将SECPATH产品默认规则改为"permit",因为目前VRP3.4-0006的版本默认规则是"deny"。
[Secpath]firewall packet-filter default permit
2.在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。
[Secpath]acl number 3333
[Secpath-acl-adv-3333] rule deny ip
3.配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。
[Secpath]aspf-policy 1
[Secpath-aspf-policy-1]detect ftp
5.在外网接口上应用ASPF策略,用来检测内部FTP协议。
[Secpath-GigabitEthernet0/1]firewall aspf 1 outbound
6.在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。
[Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound
7.当ASPF检测到会话后。
[Secpath]dis aspf sess
[已建立的会话]
会话 源发方 响应方 应用协议 状态
-----------------------------------------------------------------------
0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP
『注意事项』:
1、在配置ASPF时,必须和静态访问控制列表结合使用。
2、在配置传输层协议检测时,对于FTP,H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。
3、当接口同时下发ASPF和ACL策略时,ASPF先生效。
4、目前ASPF可检测应用层协议包括:ftp、http、h323、smtp、rtsp;传输层协议包括:tcp、udp。
5、此配置也适合在透明模式下使用。
