配置FTP/TFTP协议的ASPF
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。
组网需求
如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在向内网开放的Web网站上可能存在危险的java控件。
由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。
图1 配置ASPF组网图
数据规划
操作步骤
-
配置各个接口的IP,并划入相应的安全区域。
<FW> system-view
[FW] interface GigabitEthernet 0/0/1
[FW-GigabitEthernet0/0/1] ip address 192.168.1.1 24
[FW-GigabitEthernet0/0/1] quit
[FW] interface GigabitEthernet 0/0/2
[FW-GigabitEthernet0/0/2] ip address 10.1.1.1 24
[FW-GigabitEthernet0/0/2] quit
[FW] interface GigabitEthernet 0/0/3
[FW-GigabitEthernet0/0/3] ip address 1.1.1.1 24
[FW-GigabitEthernet0/0/3] quit
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 0/0/1
[FW-zone-trust] quit
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 0/0/2
[FW-zone-dmz] quit
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 0/0/3
[FW-zone-untrust] quit -
创建ACL3001,用于定义访问内网TFTP服务器的流量。由于TFTP服务需要自定义端口号等信息,所以需要单独创建一条ACL。
[FW] acl 3001
[FW-acl-adv-3001] rule permit udp destination-port eq tftp
[FW-acl-adv-3001] quit -
在域间应用detect ftp,实现FTP报文的正常转发。应用detect user-defined,实现TFTP报文的正常转发。
[FW] firewall interzone trust dmz
[FW-interzone-trust-dmz] detect ftp
[FW-interzone-trust-dmz] detect user-defined 3001 outbound
[FW-interzone-trust-dmz] quit -
在域间应用detect java-blocking,阻止危险java控件的下载。
[FW] firewall interzone trust untrust
[FW-interzone-trust-untrust] detect java-blocking
[FW-interzone-trust-untrust] quit