f5000怎么配置detect ftp

 配置ASPF策略

(1)     进入系统视图。

system-view

(2)     创建ASPF策略，并进入ASPF策略视图。

aspf policy aspf-policy-number

创建ASPF策略后，系统默认开启对传输层协议的检测，无需进行配置，也不能修改。

(3)     （可选）配置对应用层协议的ASPF检测。

detect { dns [ action { drop | logging } * ] | { ftp | h323 | http | sccp | sip | smtp } [ action drop ] | gtp | ils | mgcp | nbt | pptp | rsh | rtsp | sqlnet | tftp | xdmcp }

缺省情况下，配置了应用层协议FTP的ASPF检测。

配置action参数时，ASPF还会对应用层协议进行协议状态合法性检查，对不符合协议状态的报文执行所配置的相应动作。

(4)     （可选）开启ICMP差错报文丢弃功能。

icmp-error drop

缺省情况下，不丢弃ICMP差错报文。

(5)     （可选）开启非SYN的TCP首报文丢弃功能。

tcp syn-check

缺省情况下，不丢弃非SYN的TCP首报文。

1.5  在接口上应用ASPF策略

1. 功能简介

只有将定义好的ASPF策略应用到接口的出或入方向上，才能对通过接口的特定方向的流量进行检测。在处理入接口报文时需要查找对应接口入方向的策略；在处理出接口报文时需要查找对应接口出方向的策略。如果接口应用了ASPF策略，所有进入或离开该接口的报文都需要与会话表项进行匹配，查找不到与之匹配的会话表项时会触发创建会话表。

如果ASPF与包过滤防火墙协同工作，可以在外部接口或内部接口的入方向或出方向上配置特定的ASPF和包过滤策略，根据特定配置，可以拒绝外部网络上的用户对内部网络的主动访问，但内部网络的用户访问外部网络时，返回的报文可以按照外部接口出方向或内部接口入方向上的ASPF配置进行ASPF检测。

2. 配置限制和指导

由于ASPF对于应用层协议状态的保存和维护都是基于接口的，因此在实际应用中，必须保证报文入口的一致性，即必须保证连接发起方发送的报文和响应端返回的报文经过同一接口。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     在接口上应用ASPF策略。

aspf apply policy aspf-policy-number { inbound | outbound }

缺省情况下，接口上没有应用ASPF策略。

1.6  在安全域间实例上应用ASPF策略

1. 功能简介

只有将定义好的ASPF策略应用到安全域间实例上，才能对通过安全域间实例的流量进行检测。如果安全域间实例上应用了ASPF策略，所有通过该域间实例的报文都需要与会话表项进行匹配，查找不到与之匹配的会话表项并且符合包过滤放行条件时会触发创建会话表。

在域间实例上ASPF必须与包过滤防火墙协同工作：通过在域间实例上应用包过滤策略，可以允许源安全域的用户主动访问目的安全域所连接网络；通过在域间实例上应用ASPF策略，由ASPF策略对源安全域用户访问目的安全域的报文以及对应的反向报文进行检测和放行。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入安全域间实例视图。

zone-pair security source source-zone-name destination destination-zone-name

关于安全域间实例的具体配置，请参见“安全命令参考”中的“安全域”。

(3)     在安全域间实例上应用ASPF策略。

aspf apply policy aspf-policy-number

缺省情况下，安全域间实例上应用了一个缺省的ASPF策略，该策略支持对所有传输层协议和FTP协议报文进行ASPF检测，但是ICMP差错报文检查功能和非SYN的TCP首报文丢弃功能处于关闭状态。