【技术分享】配置FTP/TFTP协议的ASPF
发布作者:微思网络 发布时间:2023-04-14 浏览量:0次
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。 组网需求 如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在向内网开放的Web网站上可能存在危险的java控件。 由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。 图1 配置ASPF组网图 数据规划 操作步骤 配置各个接口的IP,并划入相应的安全区域。 <FW> system-view 创建ACL3001,用于定义访问内网TFTP服务器的流量。由于TFTP服务需要自定义端口号等信息,所以需要单独创建一条ACL。 [FW] acl 3001 在域间应用detect ftp,实现FTP报文的正常转发。应用detect user-defined,实现TFTP报文的正常转发。 [FW] firewall interzone trust dmz 在域间应用detect java-blocking,阻止危险java控件的下载。 [FW] firewall interzone trust untrust
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[FW-GigabitEthernet0/0/2] quit
[FW] interface GigabitEthernet 0/0/3
[FW-GigabitEthernet0/0/3] ip address 1.1.1.1 24
[FW-GigabitEthernet0/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 0/0/1
[FW-zone-trust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 0/0/2
[FW-zone-dmz] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/3
[FW-zone-untrust] quit
[FW-acl-adv-3001] rule permit udp destination-port eq tftp
[FW-acl-adv-3001] quit
[FW-interzone-trust-dmz] detect ftp
[FW-interzone-trust-dmz] detect user-defined 3001 outbound
[FW-interzone-trust-dmz] quit
[FW-interzone-trust-untrust] detect java-blocking
[FW-interzone-trust-untrust] quit