04-FIREWALL之ASPF配置举例
本章节下载 (106.98 KB)
Firewall之ASPF配置举例
ASPF(Application Specific Packet Filter)增强CMW平台上的防火墙功能,提供针对应用层的报文过滤功能。它是一种高级通信过滤,检查应用层协议信息并且监控给予连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:LSB1FW8DB0、LSB2FW8DB0
Firewall在缺省默认情况下不转发任何报文,需要执行firewall packet-filter default permit命令使其默认转发;
在SecBlade上配置ASPF策略,以检测通过防火墙的FTP流量。要求:如果该报文是内部网络用户发起的FTP连接的返回报文,则允许其通过SecBlade Firewall进入内部网络,其他报文被禁止。本例可以应用在本地用户需要访问远程网络服务的情况下。
图4-1 Firewall之ASPF组网图
# 添加内网VLAN 10,外网VLAN 50和SecBlade互连VLAN 30。
[S9500] vlan 10
[S9500-vlan10] port E2/1/2
[S9500] vlan 50
[S9500-vlan50] port E3/1/1
[S9500] vlan 30
# 配置内网VLAN和互连VLAN配置接口地址。
[S9500] interface vlan-interface 10
[S9500-Vlan-interface10] ip address 10.0.0.1 24
[S9500] interface vlan-interface 30
[S9500-Vlan-interface30] ip address 30.0.0.1 24
# 配置路由,外网报文下一跳为SecBlade防火墙。
[S9500] ip route-static 0.0.0.0 0 30.0.0.254
# 配置SecBlade模块,设置VLAN 50为security-vlan,互连VLAN为VLAN 30。
[S9500] secblade module test
[S9500-secblade-test] secblade-interface vlan-interface 30
[S9500-secblade-test] security-vlan 50
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图,配置互连子接口VLAN 30和外网子接口 VLAN 50(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
<SecBlade_FW> system
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW -GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW -GigabitEthernet0/0.50] ip address 50.0.0.254 24
[SecBlade_FW] interface g0/0.30
[SecBlade_FW -GigabitEthernet0/0.30] vlan-type dot1q vid 30
[SecBlade_FW -GigabitEthernet0/0.30] ip address 30.0.0.254 24
# 把互连子接口加入trust区域,外网子接口加入untrunst区域。
[SecBlade_FW] firewall zone trust
[SecBlade_FW -zone-trust] add interface GigabitEthernet 0/0.30
[SecBlade_FW] firewall zone untrust
[SecBlade_FW -zone-untrust] add interface GigabitEthernet 0/0.50
# 配置路由,外网报文下一跳为路由器,内网报文下一跳为S9500。
[SecBlade_FW] ip route-static 0.0.0.0 0 50.0.0.1
[SecBlade_FW] ip route-static 10.0.0.0 24 30.0.0.1
# SecBlade视图下配置ACL和ASPF策略,检测FTP报文。
[SecBlade_FW] firewall packet-filter enable
[SecBlade_FW] acl number 3111
[SecBlade_FW-acl-adv-3111] rule deny ip
[SecBlade_FW] aspf-policy 1
[SecBlade_FW -aspf-policy-1] detect ftp aging-time 3000
# SecBlade视图下把ASPF策略应用到外网子接口。
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW -GigabitEthernet0/0.50] firewall aspf 1 outbound
[SecBlade_FW -GigabitEthernet0/0.50] interface GigabitEthernet 0/0.50
[SecBlade_FW -GigabitEthernet0/0.50] firewall packet-filter 3111 inbound
#
vlan 10
#
vlan 30
#
vlan 50
#
interface vlan-interface 10
ip address 10.0.0.1 24
#
interface vlan-interface 30
ip address 30.0.0.1 24
#
interface Ethernet2/1/2
port access vlan 10
#
interface Ethernet3/1/1
port access vlan 50
#
ip route-static 0.0.0.0 0 30.0.0.254 preference 60
#
secblade module test
secblade-interface vlan-interface 30
security-vlan 50
map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置子接口以及区域。
interface GigabitEthernet 0/0.50
vlan-type dot1q vid 50
ip address 50.0.0.254 24
quit
interface g0/0.30
vlan-type dot1q vid 30
ip address 30.0.0.254 24
quit
firewall zone trust
add interface GigabitEthernet 0/0.30
quit
firewall zone untrust
add interface GigabitEthernet 0/0.50
quit
# 配置路由。
ip route-static 0.0.0.0 0 50.0.0.1
ip route-static 10.0.0.0 24 30.0.0.1
# 配置访问控制列表及ASPF策略。
firewall packet-filter enable
acl number 3111
rule deny ip
quit
aspf-policy 1
detect ftp aging-time 3000
# 在接口上应用ASPF策略。
interface GigabitEthernet 0/0.50
firewall aspf 1 outbound
# 在外网子接口上应用访问控制列表3111。
interface GigabitEthernet 0/0.50
firewall packet-filter 3111 inbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!