H3C ASPF状态防火墙设置应用

1.ASPF(Application Specific Packet Filter，基于应用层状态的包过滤),详细解释，官方文档已经说得很清楚，这是用我自己的理解来说一下吧。ASPF是基于应用层数据流的状态检测与维护技术。也就是对于每一个连接ASPF都会"接管"，依据其建立的“临时状态表”来进行相应的动作。这个“临时状态表”用来维护哪些连接是允许通过，哪些连接是应该被deny的。

2.packet-filter(包过滤技术，基于ACL实现)，根据ACL规则来实现IP数据包的过滤。

ASPF和Packet-filter技术结合可以实现状态防火墙。

实现步骤:

1.使能packet-filter,系统视图下(system-view):

firewall packet-filter enable

firewall packet-filter default permit

2.建立aspf policy,在system-view操作：

aspf-policy xxx      //xxx代表策略名称

detect http          //检测各种应用流

detect ftp

detect rstp

3.建立acl

acl number 3000

rule 0 permit icmp

rule 1 deny ip

4.外网接口上应用,接口视图下(interface view)操作:

firewall aspf 1 outbound      //ASPF维护从内网向外发送的请求连接

firewall packet-filter 3000 inbound //拒绝所有外部主动向内网发起的请求连接，icmp除外。

总结：

如此设置可减少外部的网络病毒攻击和一些非法流量，另外ASPF既然可以实现这种单向的限制，那么我想可以用来做DMZ区的权限设置.

详细内容请参考 http://www.itletter.com