ASPF:高級狀態包過濾
在網絡邊界,ASPF和包過濾防火牆協同工作,包過濾防火牆負責按照ACL規則進行報文過濾(阻斷或放行),ASPF負責對已放行報文進行信息記錄,使已放行的報文的迴應報文可以正常通過配置了包過濾防火牆的接口。因此,ASPF能夠爲企業內部網絡提供更全面的、更符合實際需求的安全策略。
配置:
[RouterA] acl number 3111
[RouterA-acl-adv-3111] rule deny ip
[RouterA-acl-adv-3111] quit
[RouterA] aspf policy 1
[RouterA-aspf-policy-1] detect ftp 檢測通過的FTP流量
[RouterA-aspf-policy-1] quit
[RouterA] interface gigabitethernet 2/1/1
[RouterA-GigabitEthernet2/1/1] packet-filter 3111 inbound
[RouterA-GigabitEthernet2/1/1] aspf apply policy 1 outbound
[RouterA-aspf-policy-1] icmp-error drop
[RouterA-aspf-policy-1] tcp syn-check
ICMP差錯報文檢測及TCP非SYN首報文丟棄