ASPF:高级状态包过滤

  在网络边界,ASPF和包过滤防火墙协同工作,包过滤防火墙负责按照ACL规则进行报文过滤(阻断或放行),ASPF负责对已放行报文进行信息记录,使已放行的报文的回应报文可以正常通过配置了包过滤防火墙的接口。因此,ASPF能够为企业内部网络提供更全面的、更符合实际需求的安全策略。

配置:

[RouterA] acl number 3111

[RouterA-acl-adv-3111] rule deny ip

[RouterA-acl-adv-3111] quit

[RouterA] aspf policy 1

[RouterA-aspf-policy-1] detect ftp 检测通过的FTP流量

[RouterA-aspf-policy-1] quit

[RouterA] interface gigabitethernet 2/1/1

[RouterA-GigabitEthernet2/1/1] packet-filter 3111 inbound

[RouterA-GigabitEthernet2/1/1] aspf apply policy 1 outbound


[RouterA-aspf-policy-1] icmp-error drop 

[RouterA-aspf-policy-1] tcp syn-check

ICMP差错报文检测及TCPSYN首报文丢弃