新功能让老经验失效——PIX防火墙7．1版本处理FTP

新功能让老经验失效 浙江 ／周志广 吕建东 唐中朝 郭玉凤 洪甘 思科防火墙PD(525新的操作 版本中 (7．O版本以上)，采用了标 准组件策略框架 (Modular Pol F唧 on()。它提供了—种 既一 特 性。其中 “应用程序审查引擎” ( ：a60n Inspe~ Engbe)针 列应用层协议进行审查，可以开 通和关闭经过防火墙的应用程序 和服务 ，如 FTP，DNS等，并调 整安全状态。我们在解决内网电 脑不能访 问外网 FTP主机问 时，对这新功能有了初步的认识。 PIX防火墙 7．1版本处理 FTP 中心变换机 防火墙 合10作．2医5．疗12 测i0试3机0 25 ‘6。 ；； s： 嚣 图 1网络拓扑图 图2客户端显示界面 2006年 4月 底 ，我县广 电 lP 宽 带网上因特网 的出 口从 原来的 走联通改为走网通，除了光纤线 路 更换外 ，还 同时在 外围出 口处 更 新 了一 台防火 墙 ，型号为 Cisco 的 PIX525。 原来我们 的边 界上 没有 真正 的防火墙设备 ，只用一 台美国瑞 通 RS2000路 由交换机作 NAT转 换 ，中心交换机为 RS8000。在 RS2000上做了对常见病毒端口 的ACL限制及路由配置。现在换 了PIX525走 网通 出 口，做三项配 置：NAT、常规的ACL限制和路 由。基本配置沿袭原先的 ，只是句 法表达不 同 ，和出 口地 址不同。切 换工作完成后 ，用户浏览网站、收 发邮件正常 ，上 网速度有所改善 。 几天后，内网电脑 (10．25．12． 2)用FTP的客户端程序CuteFTP 4，0登录 到 农机 1 1 O的 电信 FTP主机 (61． ． ．84)上读取 数 据 ，不能 正 常访 问外 网 的 FTP服务器 。网络拓扑 图如 图 1所示。在内网电脑10．30．255， 169上测试，屏幕显示如图2。 从图2的现象看 ，客户机到 FTP服务器 的访 问，用户 名和 口令均认证通过 ，只是到最后 一 步 ，不能打开数据连接。换 了其他数据库 ，重装多次 ，依 然如故 。几天以后 ，才找到广 电中心机房询 问。如此 ，便进 入了全面的、多方位的故障排 查 阶段 。 首先，i 亍了常规思路的故障 排查。因为经反复测试之后，1 1O管 理员声称 FTP服务器绝对没有 问 题，而客户端程序CufeFTP4．O已用 了许多年 ，也不需要花过多的时间 去进行它的参数设置了(虽然如此， 各方人员还是进行了反复 的设置)。 接下来是 疑网通进入电信网 络的接 口上存在什么疙瘩 ，虽然从 理论上说这个 疑是无根据的，但 还是进行了试验。设备提供商在杭 州的办公室内分别用网通的公网地 址和电信的公网地址访问此 FTP 2 0 0 6l10 。 A w删 111 维普资讯 http://www.cqvip.com WWW netadmin．COm．Cn 服务器，均正常可用。往 前移，在 市网通机房试验访问FTP，正常。 再 往 前 移 ，在 本机 房 中心 ， 在 PIX525前插入一台交换机，缺省配 责任编辑：张碧薇联系电话：。10-88559 。 投稿信箱：practice@ eta c0 。 故障诊断 置，直接引一条线到 PC机 ，采用 网通的公涮IP地址 (221．十．十．40) 试访问FTP服务器，也正常。而后， 在 PIX525上将此公网地址作静态 经排查 ，感觉是 PIX525防火 墙上有文章可做 了。因其他服务 项目均可用，只有 FTP服务有问 题 。接 下 来要 做 的是 真 正 了 解 FTP服务原理 ，并研 究 PIX525针 对这项服务的相 关配置 。 FTP是一个常 见的应用程序 ， 它将一个 完整的文件从一个 系统 复制到另一个系统 中。要使用 FTP，就需要有 登录 服务 器的注 册账号和对应的口令。 FTP有 自己的特点 ，就是采用 两个TCP连接来传输一个文件 ，即 控制连接和数据连接(这就是问题 的关键)。FTP有主动模式和被动 模式两种。本案中，采用主动模式 进行访 问，因此 ，我们结合防火墙 ， 只讨论主动模式的工作过程。 从 防火 墙 的 服务 器这 边 看 ， 要支持 主动模式的 FTP，以下 的 通讯通道 需要打开。 1．FTP服务器的 21端 口响应 任何端 口 (客户端 发起连接 )； 2．FTP服务 器的 21端 口连接 到大于 1023的端 口 (服务器 响应 到客户端的控 制端 口)； 3．F-rP服务器的2O端 口连接到 大于1023的端口(服务器向客户端 的数据端 口发起数据传输连接 )； 4．FTP服务器的2O端 口响应 大于 1023的端 口 (客户机 发送 ACK到服务器的数据端口)。 第一 步 ，客 户机 从一个任 意 的非特权 端 口 (大于 1023，本例 为 1026)向FTP服务器 的控制 口 (端 口21)发起连接 。然后客户为 所在数据 连接 端选 择一个 临时端 口号 (本例为 1027)，并开始 监 听 。 同时 客 户机 使 用 “PO RT 1 027”命令从控制连接上把端口 号发 向服务器 ，服务器在 控制连 接上接收该端 口号 。 第二 步 ，服务器 发出一个 确 认 ACK到客户机的命令 端 口。 我们这款 PIX525防火墙采用 新的操作版本 ，软件版本号为 7．1 112潮管爨世辨 200610 (1)。先看本机 7．1(1)版的操作 手册 “Cisco Security Appliance NAT转换 ，对应到内网的一台 PC 上，此内网PC就不能正常访问了。 自然的，其他经动态NAT转换的内 网 PC机均不能正常访 问。 第三步 ，从本地 的数据 端 口 (20)向客户端主机上的数据端 口 发布一个主动的打开。注意 ，FTP 的主动模式，服务器的数据连接 端一直用端 口2O。 第 四步 ，客户 机从数据 端 发 回一个 ACK。 现在主要的问题还是出在客 户机 一边 。客户机 实际上没有对 服务器 的数据端 口进行 连接 ，它 只是告诉 服务器 ，它在 哪一个端 口进行 监听 ，并要求服务器 向那 个 监听端 口发起 主动的连接 。从 防火墙的角度看，这就是外部系 统向防火墙内部的客户机发起一 个主动连接。通常这种连接是不 允许 的 。以下我们从防火墙 的功 能来看待 一下这个 问题 。 在配置防火墙接口的时候，将 外网接口的安全级别设为O(最低)， 将 内网接 口的安全级别设为 1 00 (最高 )。如此防火墙端 口对数据流 具有过滤功能 ：H1_rP (S)和 F]P 只能向外发起连接 ，反之则不能 。这 就可以解释我们所遇到的情况。 Command Line Configuration Guide”，发现与以前 (早于版本7． O)的配置大有不 同，新版本增加 了一些早期版本没有的功能，特别 是引进了更精细的安全应用配置命 维普资讯 http://www.cqvip.com 敞障渗断 责任编辑：张碧薇联系电话：010-88559431投稿信箱 令 (第七层 的应用审查功能 )。 PI×525的 7．1版本采用组 件策略框架，它提供 了一种既一致 又灵活的方法配置安全应用特性。 与早期版本的 PIX防火墙相比，它 的安全设置更加全面、灵活和精细。 本组件支持许多功能，如 IPS、 CsC、TCP标准化、Q。s策略、Q。s 优先排列和应用层审查功能。其中 应用层审查 (Ap#~ton Inspection) 功能和我们现在的问题有关。 标准 组件 策 略框架 的配 置包 括三项操作 ： 1．用 “Class Map”命令配置 确定的何种数据流量 。 2．用 “Policy Map”针对此数 据 流量定义行为 。 3．用 “Service Policy”将此 行为在一个接 口上激活。 “应用层 协议审查引擎”或 叫 做 “应 用 程 序 审 查 引 擎 ” (Application Inspection Engine) 采用 自适应安 全算法进行有状态 (分 组过滤机 制)的应 用层 协议 审 查 ，确保应用程 序和服务 的安全 使用 。它 支持包括 DNS，FTP， GTP，P等 二十多项应用程 序。有些应用程序需要经过安全 应用机制 (Security Appliance) 的特殊处理 ，因而要采用特殊 的 应用程序审查 引擎。这些应用程 序包括以下两种情形： (1)将 IP地址信息嵌入到使 用的数据包内 ， (2)动态地设置端 口而打开 第二 个连接通道 。 前—个问题应用程序审查引擎 结合NAT进行解决。对于后一种晴 形，应用程序审查引擎监控会话以 决定建立第二个通道 的端 口号 。在 知名的端口上发起的会话与动态设 置的端 口进行协商。此应用审查引 擎监控这此会话，确定分配的动态 端口，然后在会话期间允许数据在 这些端口之间进行交换。 FTP应用审查机制通过 控制 连接过程中提供的 PORT命令产 生了数据通道 的连接端 口，准备 好第二个通道 以供数据 传输 。通 道建立后 ，就能完成文件的上传、 下载 ，并且 列出文件 目录等任务 。 现在我们在新版的PIX525上 打开 FTP应用审查 机制。相关的 语句如下 ： 以 上 “Inspect ftp”配置还可 应 用 选 项 “S t r j C t” 和 命 令 www netadm in com ．cn pOIicy interfaceDutSide- 以上配置语句 中，首句指明关 闭FTP被动模式 ，那么是采用主动 模式l“Class—map ftp_port”确 定 数 据 流 量 类 别 为 F T P 流 量 。 “Match porttcpeqftp”确定将流 量发送 到FTP的端 口，这里用 “eq ftp”是采用了缺省的 FTP端 口，即 21口 。“Policy—maP sample — policy”、 “Class ftp — port”和 “Inspectftp”这组语 句，是制定一 个策略将 FTP应用审查引擎应用 到 F T P 流 量 上 。 最 后 一 句 “Service—policy sample _ policy in— terface outside”是将 以上所制定 的策略应用到外网接 口上。 这样就在外网接 口上打开了 FTP的数据通道 。这 是一 个特殊 通道 ，就好像 发放了一本特殊通 行证 ，权 限大于端 口的安全级别 限制 ，不再受它的阻碍 。 再测试，内网用户得到如图3 的屏显，此问题得到了解决。 图3终端显示界面 “request—command deny”严格 规定 FTP在 细节功能上 的应用。 这里我们不详述 。但可以看出新 版本在 应用层方面的配置有很 大 2006．10 N “w删 113 维普资讯 http://www.cqvip.com WWW netadm i rl com cn 改进 ，更全面 、精细和灵活 。 事实上 ，使用新版的PIX(版 本 7．0以后)，在基本配置中除了 如 口令 、路 由、NAT等 ，还应加 上审查配置，使应用程序在缺省 状态下均正常可用，即进行缺省 的全局 策略配置 。此 策略匹配 了 全部缺省的应用程序审查流量， 并且将 此审查应用于 全部 接 口的 流量上 。然后根 据安全需要 ，逐项 调整和细 化此 配置 。 缺省 的全 局策 略配置语句 举 例如 下 ： ! class-map globaI _ port 责任编辑：张碧薇联系电话：。’。一 94。’投稿信箱： 。 。。@ 。协 。n。co 淑障诊断 policy-map global _ policy class global _ port inspect dns inspectftp inspect h323 h225 respect h323 ras respect http ’ inspect netbios ‘ respect pptp inspect rsh respect sip ‘ inspect sunrpc i‘nspect fftp respect xdmcp respect icmp service-policy global _ policy global ! 这样 ，我们还顺 势解决 了 DNS应用的缺憾 (内网用户访问 内网的Web服务器，域名不能被 外网的DNS主机解析)，详情不在 本文范 围。 那 么在早期版本的PIX和其他 的防火墙上如何解决此问题的呢? 老版本 的 PIX是用 flxup命令将应 用程序 的通道简单地打开 ，而没有 进一步的安全细化调整之功能。而 我们原先用的 RS2000代用防火 墙 ，只作 NAT和路 由配置 ，端 口不 设安全级别的高低，不会遇到此问 题，因而安全性显然不够。1 温馨 提示 1黜购200 颦垒肆《蠛髓瓣辨者≯ 个性能糍 嶷 个性他新麟 2( 07锥 《电脑 爱好者 淫 髫慢 乐部个性 化服 务洱 级 您咒 蔓在 采志}f自a贿铂 阅20(j，年仑牟 “电脑蓝好 者 或 《电脑 爱好者 (磐艇 版) 院 龋有的 十性化箍名 ，、上圣 甓贽 喜_受璃{墨摄定的 袅志埘 面更接 为自己照片的服 务 注：以上两项服务仅限于在杂志社邮购订阅的读 者．邮局订阅的读者将不享受此项服务。 2005年参与订两年送128MB闪盘的邮购读者将不 享受 此项服务 由于个性化封面制作工艺较为复杂．因此当期会鞍 正常时间晚一些，还请您见谅 2 请糍掇黼60爰辫 辫徽，送貔我们 为了像证您 能堆删收 到 嚏化 神杂 志 ·露卉您定所 选黜 杂：s， 市前6O^ 将窑的热 擞 诺 fongnlian~octal1∞ r l lr 箱 发 送成 ： 后 清 壤打电话 【111l_88400r 8j与我 礓 认 #：如 峦替 篮持 '07 年1 1翕 市的蒂1j{Ij《咆脏 蘸好 g ：一扪 衡正捶为南三酌豫 一 i 茹在a)f站年 11只3n 前 ，哿照 发堪野 战 3 《盘 i蹙磐 鹪 落 埔巍 f鳓 ；2秘 j， 童 瑚 舅 黧 (毅豳#融为准1 为 r根证 乏 地享受^性 ￡斡名强^ 地 施 女怒矗 !l _Ⅲ r 墙自 购 订篦的 融 霄要 ￡袁 电脑 爱女 害0袭古枉 葡j 青矗{ 款 亩 往 (w嚣好 蕾堂年及啊一毒 f 豫 柏增抽 4 裁想鬻雠参 噶 ≯ 邮购 嚏_，r1( ， 牟华 “电脑 疆 看 或 电胍 美好苦 (錾H 撒 q 饿书 置能免鼹事受 u班 五 ± 强 “ 腿务 姐冀 参帮 古 一 多 袁杂 志 面 印有 岛E的烈 或者 毒茹明 0 亭受 0：腥务 搬篱耍直 竹5(】五，杰的 翱忙髓髓 I： ． 0’ 0 I-lll l 盘沾动钾蹲坦 蜘 审议妇 孛 《雹5 麓 普》 世币自 维普资讯 http://www.cqvip.com