『組網需求』：
要求內部網絡用戶發起的FTP連接的返回報文，允許其通過防火墻進入內部網絡，其他報文被禁止。例：要求192.168.1.100向10.153.49.41發起FTP連接的返回報文，允許通過SECPATH進入到內部網絡。

『配置實例』：
1．將SECPATH產品默認規則改為"permit"，因為目前VRP3.4－0006的版本默認規則是"deny"。
[Secpath]firewall packet-filter default permit
2．在配置訪問控制列表3333拒絕所有TCP和UDP流量進入內部網絡，通過ASPF來允許返回的報文（通過臨時訪問控制列表來判斷）進入內部網絡。
[Secpath]acl number 3333
[Secpath-acl-adv-3333] rule deny ip
3．配置ASPF策略來檢測應用層FTP等協議，默認FTP協議的超時時間為3600秒。
[Secpath]aspf-policy 1
[Secpath-aspf-policy-1]detect ftp
5．在外網接口上應用ASPF策略，用來檢測內部FTP協議。
[Secpath-GigabitEthernet0/1]firewall aspf 1 outbound
6．在外網接口上應用訪問控制列表3333，用來過濾非FTP協議的報文。
[Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound
7．當ASPF檢測到會話后。
[Secpath]dis aspf sess
[已建立的會話]
會話 源發方 響應方 應用協議 狀態
-----------------------------------------------------------------------
0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP

『注意事項』：
1、在配置ASPF時，必須和靜態訪問控制列表結合使用。
2、在配置傳輸層協議檢測時，對于FTP，H.323這樣的多通道應用層協議，在不配置應用層檢測而直接配置TCP檢測的情況下會導致連接無法建立。
3、當接口同時下發ASPF和ACL策略時，ASPF先生效。
4、目前ASPF可檢測應用層協議包括：ftp、http、h323、smtp、rtsp；傳輸層協議包括：tcp、udp。
5、此配置也適合在透明模式下使用。