aspf在ftp中的应用

1. ASPF是什么意思啊，请高手解答，是关于网络的，谢谢

http://www..com/s?cl=3&wd=ASPF

2. 华三防火墙在怎么配置DHCP从哪里到哪里

#
sysname Quidway
#
super password level 3 cipher xxxxxxx
#
ftp server enable
#
dvpn service enable
#
firewall packet-filter enable
#
firewall url-filter parameter add ^select^
firewall url-filter parameter add ^insert^
firewall url-filter parameter add ^update^
firewall url-filter parameter add ^delete^
firewall url-filter parameter add ^drop^
firewall url-filter parameter add --
firewall url-filter parameter add '
firewall url-filter parameter add ^exec^
firewall url-filter parameter add %27
#
firewall statistic system enable
#
firewall defend ip-spoofing
firewall defend smurf
firewall defend ping-of-death
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-flood
firewall defend icmp-flood enable
#
radius scheme system
#
domain system
#
local-user admin
password cipher xxxxxx
service-type telnet terminal
#
aspf-policy 1
detect h323
detect rtsp
detect http
detect smtp
detect ftp
detect tcp
detect udp
#
interface Ethernet1/0
ip address 192.168.100.1 255.255.255.0
firewall packet-filter 3000 inbound
firewall packet-filter 3000 outbound
#
interface Ethernet1/1
#
interface Ethernet1/2
#
interface Ethernet1/3
#
interface Ethernet1/4
#
interface Ethernet2/0
speed 10
plex full
ip address x.x.x.x 255.255.255.0
firewall packet-filter 2001 inbound
firewall aspf 1 outbound
nat outbound 2000
#
interface NULL0
#
acl number 2000
rule 0 deny source 192.168.6.0 0.0.0.255
rule 1 deny source 192.168.5.0 0.0.0.255
acl number 2001
rule 0 deny
#
acl number 3000
rule 0 deny udp destination-port eq tftp
rule 1 deny tcp destination-port eq 4444
rule 2 deny tcp destination-port eq 135
rule 3 deny udp destination-port eq 135
rule 4 deny udp destination-port eq netbios-ns
rule 5 deny udp destination-port eq netbios-dgm
rule 6 deny tcp destination-port eq 139
rule 7 deny udp destination-port eq netbios-ssn
rule 8 deny tcp destination-port eq 445
rule 9 deny udp destination-port eq 445
rule 10 deny udp destination-port eq 593
rule 11 deny tcp destination-port eq 593
rule 12 deny tcp destination-port eq 5554
rule 13 deny tcp destination-port eq 9995
rule 14 deny tcp destination-port eq 9996
rule 15 deny udp destination-port eq 1434
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet1/0
set priority 85
#
firewall zone untrust
add interface Ethernet2/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
ip route-static 192.168.2.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.3.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.4.0 255.255.255.0 192.168.100.254 preference 60
ip route-static 192.168.7.0 255.255.255.0 192.168.100.254 preference 60
#
user-interface con 0
authentication-mode scheme
user-interface vty 0 4
authentication-mode scheme
#
return
希望对你有帮助！

3. 开启ASPF的关键字

您是问华为开启ASPF的关键字有什么吗？敏感词汇都会开启。
应用层报文过滤： 是针对应用层的包过滤，即基于状态检测的报文过滤。也称为状态防火墙，它维护每一个连接的状态，并且检查应用层协议的数据，以此决定数据包是否被允许通过 。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

4. 要做FTP服务器防火墙上除了NAT server, 地址转换,detect ftp,nat alg ftp en 还要做什么啊

几个要点：
1、前提：防火墙配置为
路由模式
，接口都已经加入对应的域，IP地址设置正确，untrust到DMZ域间21端口在inbound方向已经放通
2、设置nat
server：nat
server
global
x.x.x.x
inside
x.x.x.x
3、设置nat
alg：nat
alg
enable
ftp
4、进入域间视图设置ASPF功能：detect
ftp
5、用display
nat
server看一下服务器是否建好
请仔细检查配置，上面的步骤如果都没有错的话，那么就display
nat
session看看有没有nat转换的session，如果没，那应该是数据报文没有到防火墙上来，就debugging
nat
package看看吧

5. 要做FTP服务器防火墙上除了NAT server, 地址转换,detect ftp,nat alg ftp en 还要做什么啊

放行tcp 21 20端口

6. 为什么aspf策略都配置在outbound方向

aspf简介
编辑

aspf（application specific packet filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。
为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。
aspf还提供以下功能：
dos（denial of service，拒绝服务）的检测和防范。
java blocking（java阻断）保护网络不受有害java applets的破坏。
activex blocking（activex阻断）保护网络不受有害activex的破坏。
支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。
增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。
aspf对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。
aspf能对如下协议的流量进行监测：ftp、h.323、http、hwcc、msn、netbios、pptp、qq、rtsp、user-define。
2功能检测
编辑

qq/msn聊天的检测
目前，为了节省有限的ip地址资源，绝大部分网络中都部署了nat设备提供地址转换，不同内部网络中的用户经过nat转换后进行聊天。对于纯文本聊天，由于在qq/msn服务器中就保存了这两个聊天用户的地址映射信息，因此信息交互可以顺利地通过qq/msn服务器中转。
当两个用户之间传送文件或进行音频/视频聊天时，为了减少qq/msn服务器因中转而消耗过大资源，希望两个用户的设备能够直接交互大流量的文件/音频/视频信息，但是传统的nat设备没法实现该需求。
通过在secpath防火墙的域间（私网和公网）启动qq/msn检测功能，从而让防火墙在qq/msn聊天启动时就创建地址映射关系，这样两个私网用户就能直接传送文件和进行音频/视频聊天。
三元组aspf
secpath防火墙相当于一个五元组的nat设备，即防火墙上的每个会话的建立都需要五元组：源ip地址、源端口、目的ip地址、目的端口、协议号。只有这些元素都具备了，会话才能建立成功，报文才能通过。而一些像qq、msn等实时通讯工具，通过nat设备，却需要按三元组处理：源ip地址，源端口、协议号。secpath防火墙为了适配类似qq、msn等通讯机制，变五元组处理方式为三元组方式，让类似qq、msn等的通讯方式能够正常的穿越。
3配置
编辑

aspf的配置包括：
在安全区域间应用aspf策略
使能三元组aspf
1. 在安全区域间应用aspf策略
只有将定义好aspf策略应用到安全区域间，才能对通过两个安全区域的流量进行检测，包括qq/msn聊天信息。
请在域间视图下进行下列配置。
缺省情况下，未在安全区域间应用aspf策略。
使用detect all命令不能设置java阻断和activex阻断；使用undo detect all命令不能取消所设置的java阻断和activex阻断。
msn使用私有协议msnp，由于msnp的通话端口是随机分配的，而防火墙开放的端口很少，当外网向内网发起呼叫请求时，防火墙无法解析msnp协议，无法知道外网主机的地址。这时需要打开udp的1000-9999号端口，以使防火墙能够获得msn的外网主机地址，使msn会话能够顺利进行。
由于msn同时使用tcp的1863和443号端口作为登录和文字聊天的通道，所以需要打开以上两个端口，使msn会话顺利进行。
2. 使能三元组aspf
请在域间视图下进行下列配置。
在域间的入方向或出方向上使能三元组aspf时，可以引用范围为3000～3999的acl规则。缺省情况下，禁止三元组aspf处理功能。
组网需求
在secpath防火墙上配置aspf检测，检测通过防火墙的ftp和http流量。要求：如果该报文是从trust区域向untrust区域发起ftp和http连接的返回报文，则允许其通过防火墙再进入trust区域，其他报文被禁止；并且，此aspf检测策略能够过滤掉来自外部网络服务器2.2.2.11的http报文中的java applets。本例可以应用在本地用户需要访问远程网络服务的情况下。
3. 配置步骤
# 配置aspf检测策略，定义ftp和http协议的检测超时时间为3000秒。
[secpath] firewall session aging-time ftp 3000
[secpath] firewall session aging-time http 3000
# 配置acl 3101，拒绝所有tcp和udp流量进入内部网络。
[secpath] acl number 3101
[secpath-acl-adv-3101] rule deny ip
# 配置acl 2010，拒绝来自站点2.2.2.11的java applets报文。
[secpath] acl number 2010
[secpath-acl-basic-2010] rule deny source 2.2.2.11 0.0.0.0
[secpath-acl-basic-2010] rule permit source any
# 配置trust和untrust区域间出方向包过滤缺省动作为允许。
[secpath] firewall packet-filter default permit interzone trust untrust direction outbound
# 配置在trust和untrust区域间上应用acl规则和aspf策略。
[secpath] firewall interzone trust untrust
[secpath-interzone-trust-untrust] packet-filter 3101 inbound
[secpath-interzone-trust-untrust] detect ftp
[secpath-interzone-trust-untrust] detect http
[secpath-interzone-trust-untrust] detect java-blocking 2010 inbound

7. 求一个对H3C防火墙和交换机比较了解的人啊~~~有些问题需要帮忙。真的会的另有追分

说出问题好些....

8. 4MB光纤 15台电脑 用什么路由器好 要求带QOS和IP绑定MAC功能

我用TP-LINK4148路由器，可以带100台电脑，有QOS,MAC,IP绑定等等功能，800元，很实用。
4M光纤上行1500，下行2500，也很快。

9. 熟悉/精通H3C设备的高手进！小弟急需在线等！

(1)H3C SecPath F100-C：

固定接口：1WAN(10BASE-T),4LAN(100BASE-TX交换),1个Console 口
并发连接数是15000，无用户数限制，但是其实性能摆在眼前，这个低端的产品用户数超过100后就开始下降了。

(2)H3C AR28-13：
固定接口：1个配置口（CON口），1个备份口（AUX口）
2个快速以太网接口,1个E1/cE1接口
并发数不详，转发性能 ：90-110kpps

个人推荐你优先考虑H3C AR28-13这款。