aspf在ftp中的應用

1. ASPF是什麼意思啊，請高手解答，是關於網路的，謝謝

http://www..com/s?cl=3&wd=ASPF

2. 華三防火牆在怎麼配置DHCP從哪裡到哪裡

#
sysname Quidway
#
super password level 3 cipher xxxxxxx
#
ftp server enable
#
dvpn service enable
#
firewall packet-filter enable
#
firewall url-filter parameter add ^select^
firewall url-filter parameter add ^insert^
firewall url-filter parameter add ^update^
firewall url-filter parameter add ^delete^
firewall url-filter parameter add ^drop^
firewall url-filter parameter add --
firewall url-filter parameter add '
firewall url-filter parameter add ^exec^
firewall url-filter parameter add %27
#
firewall statistic system enable
#
firewall defend ip-spoofing
firewall defend smurf
firewall defend ping-of-death
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-flood
firewall defend icmp-flood enable
#
radius scheme system
#
domain system
#
local-user admin
password cipher xxxxxx
service-type telnet terminal
#
aspf-policy 1
detect h323
detect rtsp
detect http
detect smtp
detect ftp
detect tcp
detect udp
#
interface Ethernet1/0
ip address 192.168.100.1 255.255.255.0
firewall packet-filter 3000 inbound
firewall packet-filter 3000 outbound
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface Ethernet1/3
#
interface Ethernet1/4
#
interface Ethernet2/0
speed 10
plex full
ip address x.x.x.x 255.255.255.0
firewall packet-filter 2001 inbound
firewall aspf 1 outbound
nat outbound 2000
#
interface NULL0
#
acl number 2000
rule 0 deny source 192.168.6.0 0.0.0.255
rule 1 deny source 192.168.5.0 0.0.0.255
acl number 2001
rule 0 deny
#
acl number 3000
rule 0 deny udp destination-port eq tftp
rule 1 deny tcp destination-port eq 4444
rule 2 deny tcp destination-port eq 135
rule 3 deny udp destination-port eq 135
rule 4 deny udp destination-port eq netbios-ns
rule 5 deny udp destination-port eq netbios-dgm
rule 6 deny tcp destination-port eq 139
rule 7 deny udp destination-port eq netbios-ssn
rule 8 deny tcp destination-port eq 445
rule 9 deny udp destination-port eq 445
rule 10 deny udp destination-port eq 593
rule 11 deny tcp destination-port eq 593
rule 12 deny tcp destination-port eq 5554
rule 13 deny tcp destination-port eq 9995
rule 14 deny tcp destination-port eq 9996
rule 15 deny udp destination-port eq 1434
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet1/0
set priority 85
#
firewall zone untrust
add interface Ethernet2/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
ip route-static 192.168.2.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.3.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.4.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.7.0 255.255.255.0 192.168.100.254 preference 60
#
user-interface con 0
authentication-mode scheme
user-interface vty 0 4
authentication-mode scheme
#
return
希望對你有幫助！

3. 開啟ASPF的關鍵字

您是問華為開啟ASPF的關鍵字有什麼嗎？敏感詞彙都會開啟。
應用層報文過濾： 是針對應用層的包過濾，即基於狀態檢測的報文過濾。也稱為狀態防火牆，它維護每一個連接的狀態，並且檢查應用層協議的數據，以此決定數據包是否被允許通過 。它和普通的靜態防火牆協同工作，以便於實施內部網路的安全策略。aspf能夠檢測試圖通過防火牆的應用層協議會話信息，阻止不符合規則的數據報文穿過。

4. 要做FTP伺服器防火牆上除了NAT server, 地址轉換,detect ftp,nat alg ftp en 還要做什麼啊

幾個要點：
1、前提：防火牆配置為
路由模式
，介面都已經加入對應的域，IP地址設置正確，untrust到DMZ域間21埠在inbound方向已經放通
2、設置nat
server：nat
server
global
x.x.x.x
inside
x.x.x.x
3、設置nat
alg：nat
alg
enable
ftp
4、進入域間視圖設置ASPF功能：detect
ftp
5、用display
nat
server看一下伺服器是否建好
請仔細檢查配置，上面的步驟如果都沒有錯的話，那麼就display
nat
session看看有沒有nat轉換的session，如果沒，那應該是數據報文沒有到防火牆上來，就debugging
nat
package看看吧

5. 要做FTP伺服器防火牆上除了NAT server, 地址轉換,detect ftp,nat alg ftp en 還要做什麼啊

放行tcp 21 20埠

6. 為什麼aspf策略都配置在outbound方向

aspf簡介
編輯

aspf（application specific packet filter）是針對應用層的包過濾，即基於狀態的報文過濾。它和普通的靜態防火牆協同工作，以便於實施內部網路的安全策略。aspf能夠檢測試圖通過防火牆的應用層協議會話信息，阻止不符合規則的數據報文穿過。
為保護網路安全，基於acl規則的包過濾可以在網路層和傳輸層檢測數據包，防止非法入侵。aspf能夠檢測應用層協議的信息，並對應用的流量進行監控。
aspf還提供以下功能：
dos（denial of service，拒絕服務）的檢測和防範。
java blocking（java阻斷）保護網路不受有害java applets的破壞。
activex blocking（activex阻斷）保護網路不受有害activex的破壞。
支持埠到應用的映射，為基於應用層協議的服務指定非通用埠。
增強的會話日誌功能。可以對所有的連接進行記錄，包括連接時間、源地址、目的地址、使用埠和傳輸位元組數等信息。
aspf對應用層的協議信息進行檢測，通過維護會話的狀態和檢查會話報文的協議和埠號等信息，阻止惡意的入侵。
aspf能對如下協議的流量進行監測：ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。
2功能檢測
編輯

qq/msn聊天的檢測
目前，為了節省有限的ip地址資源，絕大部分網路中都部署了nat設備提供地址轉換，不同內部網路中的用戶經過nat轉換後進行聊天。對於純文本聊天，由於在qq/msn伺服器中就保存了這兩個聊天用戶的地址映射信息，因此信息交互可以順利地通過qq/msn伺服器中轉。
當兩個用戶之間傳送文件或進行音頻/視頻聊天時，為了減少qq/msn伺服器因中轉而消耗過大資源，希望兩個用戶的設備能夠直接交互大流量的文件/音頻/視頻信息，但是傳統的nat設備沒法實現該需求。
通過在secpath防火牆的域間（私網和公網）啟動qq/msn檢測功能，從而讓防火牆在qq/msn聊天啟動時就創建地址映射關系，這樣兩個私網用戶就能直接傳送文件和進行音頻/視頻聊天。
三元組aspf
secpath防火牆相當於一個五元組的nat設備，即防火牆上的每個會話的建立都需要五元組：源ip地址、源埠、目的ip地址、目的埠、協議號。只有這些元素都具備了，會話才能建立成功，報文才能通過。而一些像qq、msn等實時通訊工具，通過nat設備，卻需要按三元組處理：源ip地址，源埠、協議號。secpath防火牆為了適配類似qq、msn等通訊機制，變五元組處理方式為三元組方式，讓類似qq、msn等的通訊方式能夠正常的穿越。
3配置
編輯

aspf的配置包括：
在安全區域間應用aspf策略
使能三元組aspf
1. 在安全區域間應用aspf策略
只有將定義好aspf策略應用到安全區域間，才能對通過兩個安全區域的流量進行檢測，包括qq/msn聊天信息。
請在域間視圖下進行下列配置。
預設情況下，未在安全區域間應用aspf策略。
使用detect all命令不能設置java阻斷和activex阻斷；使用undo detect all命令不能取消所設置的java阻斷和activex阻斷。
msn使用私有協議msnp，由於msnp的通話埠是隨機分配的，而防火牆開放的埠很少，當外網向內網發起呼叫請求時，防火牆無法解析msnp協議，無法知道外網主機的地址。這時需要打開udp的1000-9999號埠，以使防火牆能夠獲得msn的外網主機地址，使msn會話能夠順利進行。
由於msn同時使用tcp的1863和443號埠作為登錄和文字聊天的通道，所以需要打開以上兩個埠，使msn會話順利進行。
2. 使能三元組aspf
請在域間視圖下進行下列配置。
在域間的入方向或出方向上使能三元組aspf時，可以引用范圍為3000～3999的acl規則。預設情況下，禁止三元組aspf處理功能。
組網需求
在secpath防火牆上配置aspf檢測，檢測通過防火牆的ftp和http流量。要求：如果該報文是從trust區域向untrust區域發起ftp和http連接的返回報文，則允許其通過防火牆再進入trust區域，其他報文被禁止；並且，此aspf檢測策略能夠過濾掉來自外部網路伺服器2.2.2.11的http報文中的java applets。本例可以應用在本地用戶需要訪問遠程網路服務的情況下。
3. 配置步驟
# 配置aspf檢測策略，定義ftp和http協議的檢測超時時間為3000秒。
[secpath] firewall session aging-time ftp 3000
[secpath] firewall session aging-time http 3000
# 配置acl 3101，拒絕所有tcp和udp流量進入內部網路。
[secpath] acl number 3101
[secpath-acl-adv-3101] rule deny ip
# 配置acl 2010，拒絕來自站點2.2.2.11的java applets報文。
[secpath] acl number 2010
[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0
[secpath-acl-basic-2010] rule permit source any
# 配置trust和untrust區域間出方向包過濾預設動作為允許。
[secpath] firewall packet-filter default permit interzone trust untrust direction outbound
# 配置在trust和untrust區域間上應用acl規則和aspf策略。
[secpath] firewall interzone trust untrust
[secpath-interzone-trust-untrust] packet-filter 3101 inbound
[secpath-interzone-trust-untrust] detect ftp
[secpath-interzone-trust-untrust] detect http
[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound

7. 求一個對H3C防火牆和交換機比較了解的人啊~~~有些問題需要幫忙。真的會的另有追分

說出問題好些....

8. 4MB光纖 15台電腦 用什麼路由器好 要求帶QOS和IP綁定MAC功能

我用TP-LINK4148路由器，可以帶100台電腦，有QOS,MAC,IP綁定等等功能，800元，很實用。
4M光纖上行1500，下行2500，也很快。

9. 熟悉/精通H3C設備的高手進！小弟急需在線等！

(1)H3C SecPath F100-C：

固定介面：1WAN(10BASE-T),4LAN(100BASE-TX交換),1個Console 口
並發連接數是15000，無用戶數限制，但是其實性能擺在眼前，這個低端的產品用戶數超過100後就開始下降了。

(2)H3C AR28-13：
固定介面：1個配置口（CON口），1個備份口（AUX口）
2個快速乙太網介面,1個E1/cE1介面
並發數不詳，轉發性能 ：90-110kpps

個人推薦你優先考慮H3C AR28-13這款。