华为防火墙ASPF详解及配置实例

今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理，并使用华为eNSP模拟器，实际搭建了应用场景展示ASPF的x相关配置。

一、ASPF详解

ASPF，即Application Specific Packet Filter，应用层的包过滤，及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息，通过维护会话的状态和检查会话报文的协议和端口号等信息，使得某些特殊应用的报文能够正常转发。
ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口，在严格安全策略的情况下，这些随机端口发出的报文可能得不到正常转发。通过ASPF功能，可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开发相应的访问规则，解决这些协议不能正常转发的过程。

二、ASPF配置实例

下面，我用一个简单的实验给大家演示一下ASPF的配置。

（一）实验拓扑及要求

实验拓扑如上所示，现在要求合理的配置防火墙规则，使能ASPF功能，使得FTP Client能够正常范文FTP Server。

（二）实验配置说明

1、安全策略配置
为了实现防火墙的基本功能，必须要配置接口IP地址和划分相应的区域，上述配置在这里就不过多介绍了。之后还必须配置防火墙的安全策略，配置命令如下：

security-policy
 rule name FTP
  source-zone untrust
  destination-zone trust
  service ftp
  action permit

2、ASPF配置
配置ASPF命令如下：

firewall  detect 【协议名称】

华为防火墙支持配置ASPF的协议有：

注意，在华为USG6000防火墙中，FTP协议的ASPF功能默认开启，其他协议的ASPF功能默认关闭，需要手工开启。

（三）实验现象

1、FTP功能正常：

2、可以查看session表项

注：session表中带加号表示启用了ASPF功能。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119120916