山石配置翻译问题
- 0关注
- 0收藏,57浏览
命令
H3C防火墙ALG/ASPF基础配置逻辑:
1. 启用全局ASPF:aspf enable
2. 针对特定协议启用ALG(以FTP为例):aspf ftp enable
3. 调整协议超时时间(以FTP控制会话为例):aspf timer ftp-control 300
4. NAT场景下启用对应协议ALG后,会自动处理协议的NAT穿越,无需额外联动命令。
重要提醒:配置前请备份设备当前配置,规避变更风险。
一、山石常见标红 ALG 命令 → 华三对应命令
1)山石:alg ftp enable
alg ftp
2)山石:alg pptp enable
alg pptp
3)山石:alg h323 enable
alg h323
4)山石:alg sip enable
alg sip
5)山石:alg tftp enable
alg tftp
6)山石:alg dns enable
alg dns
7)山石:alg rtsp enable
alg rtsp
二、山石最容易标红、华三没有一模一样命令的(重点)
1)山石:alg icmp enable
2)山石:server-map enable
aspf apply policyaspf policy 1
interface GigabitEthernet1/0/1
aspf apply policy 1 inbound
3)山石:aspf enable
aspf policy 1
aspf all enable
4)山石:timeout tcp 299
tcp timer aging 300
5)山石:timeout udp 199
udp timer aging 200
6)山石:alg rpc enable
7)山石:alg sunrpc enable
8)山石:alg tns enable
三、最关键结论(你要的答案)
✔ 山石标红的 ALG 命令
✔ 山石标红但华三没有的
alg icmpalg rpcalg sunrpcalg tnsserver-map(用 aspf 代替)
四、你直接能用的【华三 ALG 标准配置】
alg ftp
alg pptp
alg sip
alg h323
alg tftp
alg dns
alg rtsp
aspf policy 1
aspf all enable
interface GigabitEthernet1/0/1
aspf apply policy 1 inbound暂无评论
山石网科防火墙上的 ALG (Application Level Gateway) 功能,在 H3C Comware V7 防火墙上是 Application Level Gateway (ALG) 和 Advanced Stateful Packet Filter (ASPF) 的组合。
H3C Comware V7 的设计理念和配置思路不同于山石网科。在 Comware V7 体系中,ASPF 功能成为安全策略体系的一部分,无需独立开启。相反,ALG 功能则被拆分为独立的「NAT ALG」和「负载均衡 ALG」模块。
📊 协议功能对照表
根据你的截图,这两个体系的具体功能对应关系如下:
| 山石网科 FW Application Status | H3C Comware V7 对应模块与状态 | H3C 配置方式/命令 |
|---|---|---|
| FTP | NAT ALG / LB ALG (Enabled) | [nat alg ftp 或 loadbalance alg ftp] |
| TFTP | NAT ALG / LB ALG (Enabled) | [nat alg tftp 或 loadbalance alg tftp] |
| SQLNet v2 | NAT ALG / LB ALG (Enabled) | [nat alg sqlnet 或 loadbalance alg sqlnet] |
| RSH | NAT ALG / LB ALG (Enabled) | [nat alg rsh 或 loadbalance alg rsh] |
| SUNRPC Bind | 对应 "RPC portmap" | rpc service rpc 等 RPC 模块配置 |
| RAS | ASPF (Enabled) | ASPF 内置支持(需 zone-pair 调用) |
| DNS | NAT ALG / LB ALG (Enabled) | [nat alg dns 或 loadbalance alg dns] |
| SIP | NAT ALG / LB ALG (Enabled) | [nat alg sip 或 loadbalance alg sip |
| PPTP | NAT ALG / LB ALG (Disabled) | [nat alg pptp 或 loadbalance alg pptp] |
| H.323 | NAT ALG / LB ALG (Enabled, timeout 60) | [nat alg h323 或 loadbalance alg h323] |
| RTSP | NAT ALG / LB ALG (Disabled) | [nat alg rtsp 或 loadbalance alg rtsp] |
| MSRPC EPM | 无直接对应 | Comware V7 对 MSRPC 的 ALG 支持有限 |
| Q.931 | ASPF 或 RTP 相关 | ASPF 对 H.225 协议栈的解析 |
| Auto / Strict-mode | 无直接对应,但包含于安全策略 | H3C 安全策略具有状态过滤和深度检测能力 |
| FTP anomaly detection | 对应 IPS 特征库签名 | ips policy 中启用对应签名 |
⚙️ 关键配置说明
NAT ALG (最常用):
如果在接口下配置了
nat outbound(源地址转换)或nat server(目的地址转换)用于协议端口映射,需开启 NAT ALG。命令:
nat alg all或nat alg {dns | ftp | ...}(开启 NAT ALG 功能)。确认开启:使用
display nat alg查看状态。
负载均衡 ALG:
如果配置了出方向链路负载均衡,用于多链路分发特定协议流量,需开启负载均衡 ALG。
命令:
loadbalance alg all或loadbalance alg {dns | ftp | ...}。
ASPF (Advanced Stateful Packet Filter):
在 H3C Comware V7 中,ASPF 自动集成并受控于安全策略。
无需 (NO) 显式命令配置。只需正确配置安全策略即可。
如果需要严格检查,也通过策略配置:
[Sysname-zone-pair-security-Trust-Untrust] packet-filter [ipv6] 3000 [Sysname-zone-pair-security-Trust-Untrust] aspf apply-policy 1[Sysname] zone-pair security source trust destination untrust
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论