科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Secpath典型配置之ASPF配置

Secpath典型配置之ASPF配置

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Secpath典型配置之透明模式。要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。

作者:51CTO.COM 2007年10月25日

关键字: 防火墙 ASPF SecPath

  • 评论
  • 分享微博
  • 分享邮件

  

  『组网需求』:

  要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.100向10.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。

  『配置实例』:

  1.将SECPATH产品默认规则改为"permit",因为目前VRP3.4-0006的版本默认规则是"deny"。

  [Secpath]firewall packet-filter default permit

  2.在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。

  [Secpath]acl number 3333

  [Secpath-acl-adv-3333] rule deny ip

  3.配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。

  [Secpath]aspf-policy 1

  [Secpath-aspf-policy-1]detect ftp

  5.在外网接口上应用ASPF策略,用来检测内部FTP协议。

  [Secpath-GigabitEthernet0/1]firewall aspf 1 outbound

  6.在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。

  [Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound

  7.当ASPF检测到会话后。

  [Secpath]dis aspf sess

  [已建立的会话]

  会话 源发方 响应方 应用协议 状态

  -----------------------------------------------------------------------

  0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP

  『注意事项』:

  1、在配置ASPF时,必须和静态访问控制列表结合使用。

  2、在配置传输层协议检测时,对于FTP,H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。

  3、当接口同时下发ASPF和ACL策略时,ASPF先生效。

  4、目前ASPF可检测应用层协议包括:ftp、http、h323、smtp、rtsp;传输层协议包括:tcp、udp。

  5、此配置也适合在透明模式下使用。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章