当前位置: 首页 > java >正文

防火墙ASPF(针对应用层包过滤技术) FTP(主动模式)

java 2025/7/20 3:02:17

1.实验拓扑

2.基础配置

IP地址配置省略

[FW1-policy-security]di th
2025-05-29 12:20:13.740 
#
security-policy
 rule name trust->dmz
  source-zone trust
  destination-zone dmz
  source-address 10.1.11.0 mask 255.255.255.0
  destination-address 10.1.21.0 mask 255.255.255.0
  service ftp
  action permit
#

[FW1]dis zone 
2025-05-29 12:21:33.100 
#
trust
 priority is 85
 interface of the zone is (2):
    GigabitEthernet1/0/0
#
dmz
 priority is 50
 interface of the zone is (1):
    GigabitEthernet1/0/1
#

3.关闭ASPF

[FW1]undo firewall  detect ftp 

FTP 主动模式下,没法看到文件列表,因为数据通道存在问题。

4.安全策略解决

[FW1-object-service-set-ftp_data]di th
2025-05-29 12:26:48.980 
#
ip service-set ftp_data type object 16
 service 0 protocol tcp source-port 20 destination-port 0 to 65535
#

[FW1-policy-security-rule-ftp_data]di th
2025-05-29 12:27:44.300 
#
 rule name ftp_data
  source-zone dmz
  destination-zone trust
  source-address 10.1.21.0 mask 255.255.255.0
  destination-address 10.1.11.0 mask 255.255.255.0
  service ftp_data
  action permit
#

这种方法不安全

[FW1-policy-security]rule name  ftp_data 
[FW1-policy-security-rule-ftp_data]disable 
 Warning: This command will invalidate the rule. Continue?[Y/N]y
Info: The policy is disabled successfully. 

禁用安全策略后

[FW1]firewall  detect ftp  

ASPF 如何记录检测结果(动态端口,即 ftp 数据连接的特征) ---> 放入防火墙上的 Server-Map
(ASPF 类型的 Server-Map),流量抵达防火墙时 ,首先匹配会话表,如果没有匹配会话表,但是可以被 Serer-Map 表匹配,则防火墙会把该流量直接放行,无需安全策略匹配,且会创建会话。
http://www.xdnf.cn/news/9876.html

相关文章:

  • 为什么我开始用 Data.olllo 做数据处理了?
  • langchain框架-对比分析chain的三种实现方式
  • 【二】10.L并发与竞争机制
  • HOW - 简历和求职面试宝典(三)
  • Python多版本共存指南:使用虚拟环境实现不同Python版本的灵活切换
  • 【CBAP50技术手册】#29 Mind Mapping(思维导图):BA(业务分析师)的“思维引擎”
  • Debian:自由操作系统的精神图腾与技术基石
  • Python 基于卷积神经网络手写数字识别
  • (二)视觉——工业镜头(以海康威视为例)
  • 罗马-华为
  • CC攻击的种类与特点解析
  • ElementUI表单验证指南
  • Spring Boot的启动流程,以及各个扩展点的执行顺序
  • AI视频生成加速器:Medeo如何用零门槛技术重塑内容创作
  • 【python爬虫】利用代理IP爬取filckr网站数据
  • UFSH2024 程序化生成 笔记
  • GJOI 5.27 题解
  • 增广拉格朗日时空联合规划ALTRO-iLQR (一)
  • 2.qml使用c++
  • 【C++基础知识】RAII的一个简单示例讲解
  • MySQL8.4组复制
  • SpeedFolding 论文翻译
  • “谁能进,谁不能进?”——用NAC精准控制网络访问
  • JS中class和构造函数的区别
  • Selenium 测试框架 - Kotlin
  • 制造企业搭建AI智能生产线怎么部署?
  • .NET WinForm图像识别二维码/条形码并读取其中内容
  • 01.认识Kubernetes
  • 广告流量监测和IP地址离线库
  • Nexus仓库数据高可用备份与恢复方案(下)