『組網(wǎng)需求』：
要求內(nèi)部網(wǎng)絡(luò)用戶發(fā)起的FTP連接的返回報(bào)文，允許其通過防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)，其他報(bào)文被禁止。例：要求192.168.1.100向10.153.49.41發(fā)起FTP連接的返回報(bào)文，允許通過SECPATH進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

『配置實(shí)例』：
1．將SECPATH產(chǎn)品默認(rèn)規(guī)則改為"permit"，因?yàn)槟壳癡RP3.4－0006的版本默認(rèn)規(guī)則是"deny"。
[Secpath]firewall packet-filter default permit
2．在配置訪問控制列表3333拒絕所有TCP和UDP流量進(jìn)入內(nèi)部網(wǎng)絡(luò)，通過ASPF來允許返回的報(bào)文（通過臨時(shí)訪問控制列表來判斷）進(jìn)入內(nèi)部網(wǎng)絡(luò)。
[Secpath]acl number 3333
[Secpath-acl-adv-3333] rule deny ip
3．配置ASPF策略來檢測應(yīng)用層FTP等協(xié)議，默認(rèn)FTP協(xié)議的超時(shí)時(shí)間為3600秒。
[Secpath]aspf-policy 1
[Secpath-aspf-policy-1]detect ftp
5．在外網(wǎng)接口上應(yīng)用ASPF策略，用來檢測內(nèi)部FTP協(xié)議。
[Secpath-GigabitEthernet0/1]firewall aspf 1 outbound
6．在外網(wǎng)接口上應(yīng)用訪問控制列表3333，用來過濾非FTP協(xié)議的報(bào)文。
[Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound
7．當(dāng)ASPF檢測到會(huì)話后。
[Secpath]dis aspf sess
[已建立的會(huì)話]
會(huì)話 源發(fā)方 響應(yīng)方 應(yīng)用協(xié)議 狀態(tài)
-----------------------------------------------------------------------
0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP

『注意事項(xiàng)』：
1、在配置ASPF時(shí)，必須和靜態(tài)訪問控制列表結(jié)合使用。
2、在配置傳輸層協(xié)議檢測時(shí)，對于FTP，H.323這樣的多通道應(yīng)用層協(xié)議，在不配置應(yīng)用層檢測而直接配置TCP檢測的情況下會(huì)導(dǎo)致連接無法建立。
3、當(dāng)接口同時(shí)下發(fā)ASPF和ACL策略時(shí)，ASPF先生效。
4、目前ASPF可檢測應(yīng)用層協(xié)議包括：ftp、http、h323、smtp、rtsp；傳輸層協(xié)議包括：tcp、udp。
5、此配置也適合在透明模式下使用。