在多通道协议和NAT的应用中，ASPF是重要的辅助功能。通过配置ASPF功能，实现内网正常对外提供FTP和TFTP服务，同时还可避免内网用户在访问外网Web服务器时下载危险控件。

 

组网需求

如图1所示，FW部署在某公司的出口，公司提供FTP、TFTP服务，公司员工还需要访问外网的Web网站。在向内网开放的Web网站上可能存在危险的java控件。

由于FTP协议为系统预定义协议，只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义，可以通过用户自定义的ASPF来进行匹配。

图1 配置ASPF组网图

数据规划

操作步骤

1. 配置各个接口的IP，并划入相应的安全区域。

   <FW> system-view
   [FW] interface GigabitEthernet 0/0/1          
   [FW-GigabitEthernet0/0/1] ip address 192.168.1.1 24
   [FW-GigabitEthernet0/0/1] quit
   [FW] interface GigabitEthernet 0/0/2              
   [FW-GigabitEthernet0/0/2] ip address 10.1.1.1 24
   [FW-GigabitEthernet0/0/2] quit
   [FW] interface GigabitEthernet 0/0/3                 
   [FW-GigabitEthernet0/0/3] ip address 1.1.1.1 24
   [FW-GigabitEthernet0/0/3] quit
   [FW] firewall zone trust                                               
   [FW-zone-trust] add interface GigabitEthernet 0/0/1
   [FW-zone-trust] quit
   [FW] firewall zone dmz                                               
   [FW-zone-dmz] add interface GigabitEthernet 0/0/2
   [FW-zone-dmz] quit
   [FW] firewall zone untrust                                               
   [FW-zone-untrust] add interface GigabitEthernet 0/0/3
   [FW-zone-untrust] quit

2. 创建ACL3001，用于定义访问内网TFTP服务器的流量。由于TFTP服务需要自定义端口号等信息，所以需要单独创建一条ACL。 

   [FW] acl 3001
   [FW-acl-adv-3001] rule permit udp destination-port eq tftp
   [FW-acl-adv-3001] quit

3. 在域间应用detect ftp，实现FTP报文的正常转发。应用detect user-defined，实现TFTP报文的正常转发。 

   [FW] firewall interzone trust dmz
   [FW-interzone-trust-dmz] detect ftp
   [FW-interzone-trust-dmz] detect user-defined 3001 outbound
   [FW-interzone-trust-dmz] quit

4. 在域间应用detect java-blocking，阻止危险java控件的下载。

   [FW] firewall interzone trust untrust
   [FW-interzone-trust-untrust] detect java-blocking
   [FW-interzone-trust-untrust] quit