防火墙

1.9.1  检测FTP应用的ASPF配置举例

1. 组网需求

Device为连接内部网络与外部网络的边界设备，内部网络中的本地用户需要访问外部网络提供的应用（例如FTP）服务。要求配置ASPF策略，检测通过Device的流量。如果该报文是内部网络用户发起的应用（例如FTP）连接的返回报文，则允许其通过Device进入内部网络，其它外部主动访问内部网络的报文被禁止。

2. 组网图

图1-3 检测FTP应用的ASPF配置组网图

‌

3. 配置步骤

(1)     配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

(2)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中，请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息，配置静态路由，本举例假设到Server的下一跳IP地址为10.1.1.2，实际使用中请以具体组网情况为准，具体配置步骤如下。

[Device] ip route-static 2.2.2.0 24 10.1.1.2

(3)     配置接口加入安全域。

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1

[Device-security-zone-Untrust] quit

(4)     配置ACL

# 配置ACL 3500，定义规则：允许内网主机访问Internet。

[Device] acl advanced 3500

[Device-acl-ipv4-adv-3500] rule permit ip source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-adv-3500] quit

(5)     配置ASPF策略

# 创建ASPF策略1，配置检测应用层协议FTP，具体配置步骤如下。

[Device] aspf policy 1

[Device-aspf-policy-1] detect ftp

[Device-aspf-policy-1] quit

(6)     应用ASPF策略

# 在安全域间实例上应用包过滤策略和ASPF策略，放行内网主机访问Internet的报文及其回应报文，具体配置步骤如下。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] packet-filter 3500

[Device-zone-pair-security-Trust-Untrust] aspf apply policy 1

[Device-zone-pair-security-Trust-Untrust] quit

4. 验证配置

# 以上配置完成后，从Host向Server发起的FTP连接可正常建立，而从外部网络发起连接的报文则无法进入内部网络。在Device上可以查看到已经建立的ASPF会话。

<Device> display aspf session ipv4

Slot 0:

Initiator:

  Source      IP/port: 192.168.1.2/1877

  Destination IP/port: 2.2.2.11/21

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

    Source security zone: Trust

Total sessions found: 1