Secpath典型配置之ASPF配置

　　『组网需求』：

　　要求内部网络用户发起的FTP连接的返回报文，允许其通过防火墙进入内部网络，其他报文被禁止。例：要求192.168.1.100向10.153.49.41发起FTP连接的返回报文，允许通过SECPATH进入到内部网络。

　　『配置实例』：

　　1．将SECPATH产品默认规则改为"permit"，因为目前VRP3.4－0006的版本默认规则是"deny"。

　　[Secpath]firewall packet-filter default permit

　　2．在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络，通过ASPF来允许返回的报文（通过临时访问控制列表来判断）进入内部网络。

　　[Secpath]acl number 3333

　　[Secpath-acl-adv-3333] rule deny ip

　　3．配置ASPF策略来检测应用层FTP等协议，默认FTP协议的超时时间为3600秒。

　　[Secpath]aspf-policy 1

　　[Secpath-aspf-policy-1]detect ftp

　　5．在外网接口上应用ASPF策略，用来检测内部FTP协议。

　　[Secpath-GigabitEthernet0/1]firewall aspf 1 outbound

　　6．在外网接口上应用访问控制列表3333，用来过滤非FTP协议的报文。

　　[Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound

　　7．当ASPF检测到会话后。

　　[Secpath]dis aspf sess

　　[已建立的会话]

　　会话 源发方 响应方 应用协议 状态

　　-----------------------------------------------------------------------

　　0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP

　　『注意事项』：

　　1、在配置ASPF时，必须和静态访问控制列表结合使用。

　　2、在配置传输层协议检测时，对于FTP，H.323这样的多通道应用层协议，在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。

　　3、当接口同时下发ASPF和ACL策略时，ASPF先生效。

　　4、目前ASPF可检测应用层协议包括：ftp、http、h323、smtp、rtsp；传输层协议包括：tcp、udp。

　　5、此配置也适合在透明模式下使用。