政协系统网站建设,服务器上发布网站,网页制作大概需要多少钱,帝国程序如何改网站标题在多通道协议和NAT的应用中#xff0c;ASPF是重要的辅助功能。通过配置ASPF功能#xff0c;实现内网正常对外提供FTP和TFTP服务#xff0c;同时还可避免内网用户在访问外网Web服务器时下载危险控件。 组网需求 如图1所示#xff0c;FW部署在某公司的出口#xff0c;公司提… 在多通道协议和NAT的应用中ASPF是重要的辅助功能。通过配置ASPF功能实现内网正常对外提供FTP和TFTP服务同时还可避免内网用户在访问外网Web服务器时下载危险控件。 组网需求 如图1所示FW部署在某公司的出口公司提供FTP、TFTP服务公司员工还需要访问外网的Web网站。在向内网开放的Web网站上可能存在危险的java控件。 由于FTP协议为系统预定义协议只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义可以通过用户自定义的ASPF来进行匹配。 图1 配置ASPF组网图 数据规划 操作步骤 配置各个接口的IP并划入相应的安全区域。 FW system-view [FW] interface GigabitEthernet 0/0/1 [FW-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [FW-GigabitEthernet0/0/1] quit [FW] interface GigabitEthernet 0/0/2 [FW-GigabitEthernet0/0/2] ip address 10.1.1.1 24 [FW-GigabitEthernet0/0/2] quit [FW] interface GigabitEthernet 0/0/3 [FW-GigabitEthernet0/0/3] ip address 1.1.1.1 24 [FW-GigabitEthernet0/0/3] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 0/0/1 [FW-zone-trust] quit [FW] firewall zone dmz [FW-zone-dmz] add interface GigabitEthernet 0/0/2 [FW-zone-dmz] quit [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 0/0/3 [FW-zone-untrust] quit 创建ACL3001用于定义访问内网TFTP服务器的流量。由于TFTP服务需要自定义端口号等信息所以需要单独创建一条ACL。 [FW] acl 3001 [FW-acl-adv-3001] rule permit udp destination-port eq tftp [FW-acl-adv-3001] quit 在域间应用detect ftp实现FTP报文的正常转发。应用detect user-defined实现TFTP报文的正常转发。 [FW] firewall interzone trust dmz [FW-interzone-trust-dmz] detect ftp [FW-interzone-trust-dmz] detect user-defined 3001 outbound [FW-interzone-trust-dmz] quit 在域间应用detect java-blocking阻止危险java控件的下载。 [FW] firewall interzone trust untrust [FW-interzone-trust-untrust] detect java-blocking [FW-interzone-trust-untrust] quit
