新功能让老经验失效——PIX防火墙7.1版本处理FTP
新功能让老经验失效
浙江 /周志广 吕建东 唐中朝
郭玉凤 洪甘
思科防火墙PD(525新的操作
版本中 (7.O版本以上),采用了标
准组件策略框架 (Modular Pol
F唧 on()。它提供了—种 既一
特
性。其中 “应用程序审查引擎”
( :a60n Inspe~ Engbe)针
列应用层协议进行审查,可以开
通和关闭经过防火墙的应用程序
和服务 ,如 FTP,DNS等,并调
整安全状态。我们在解决内网电
脑不能访 问外网 FTP主机问题
时,对这新功...
新功能让老经验失效
浙江 /周志广 吕建东 唐中朝
郭玉凤 洪甘
思科防火墙PD(525新的操作
版本中 (7.O版本以上),采用了标
准组件策略框架 (Modular Pol
F唧 on()。它提供了—种 既一
特
性。其中 “应用程序审查引擎”
( :a60n Inspe~ Engbe)针
列应用层协议进行审查,可以开
通和关闭经过防火墙的应用程序
和服务 ,如 FTP,DNS等,并调
整安全状态。我们在解决内网电
脑不能访 问外网 FTP主机问
时,对这新功能有了初步的认识。
PIX防火墙 7.1版本处理 FTP
中心变换机 防火墙
合10作.2医5.疗12 测i0试3机0 25 ‘6。 ;; s: 嚣
图 1网络拓扑图
图2客户端显示界面
2006年 4月 底 ,我县广 电 lP
宽 带网上因特网 的出 口从 原来的
走联通改为走网通,除了光纤线
路 更换外 ,还 同时在 外围出 口处
更 新 了一 台防火 墙 ,型号为 Cisco
的 PIX525。
原来我们 的边 界上 没有 真正
的防火墙设备 ,只用一 台美国瑞
通 RS2000路 由交换机作 NAT转
换 ,中心交换机为 RS8000。在
RS2000上做了对常见病毒端口
的ACL限制及路由配置。现在换
了PIX525走 网通 出 口,做三项配
置:NAT、常规的ACL限制和路
由。基本配置沿袭原先的 ,只是句
法表达不 同 ,和出 口地 址不同。切
换工作完成后 ,用户浏览网站、收
发邮件正常 ,上 网速度有所改善 。
几天后,内网电脑 (10.25.12.
2)用FTP的客户端程序CuteFTP
4,0登录 到 农机 1 1 O的 电信
FTP主机 (61. . .84)上读取
数 据 ,不能 正 常访 问外 网 的
FTP服务器 。网络拓扑 图如 图
1所示。在内网电脑10.30.255,
169上测试,屏幕显示如图2。
从图2的现象看 ,客户机到
FTP服务器 的访 问,用户 名和
口令均认证通过 ,只是到最后
一 步 ,不能打开数据连接。换
了其他数据库 ,重装多次 ,依
然如故 。几天以后 ,才找到广
电中心机房询 问。如此 ,便进
入了全面的、多方位的故障排
查 阶段 。
首先,i 亍了常规思路的故障
排查。因为经反复测试之后,1 1O管
理员声称 FTP服务器绝对没有 问
题,而客户端程序CufeFTP4.O已用
了许多年 ,也不需要花过多的时间
去进行它的参数设置了(虽然如此,
各方人员还是进行了反复 的设置)。
接下来是 疑网通进入电信网
络的接 口上存在什么疙瘩 ,虽然从
理论上说这个 疑是无根据的,但
还是进行了试验。设备提供商在杭
州的办公室内分别用网通的公网地
址和电信的公网地址访问此 FTP
2 0 0 6l10 。 A w删 111
维普资讯 http://www.cqvip.com
WWW netadmin.COm.Cn
服务器,均正常可用。往 前移,在
市网通机房试验访问FTP,正常。
再 往 前 移 ,在 本机 房 中心 , 在
PIX525前插入一台交换机,缺省配
责任编辑:张碧薇联系电话:。10-88559 。 投稿信箱:practice@ eta c0 。 故障诊断
置,直接引一条线到 PC机 ,采用
网通的公涮IP地址 (221.十.十.40)
试访问FTP服务器,也正常。而后,
在 PIX525上将此公网地址作静态
经排查 ,感觉是 PIX525防火
墙上有文章可做 了。因其他服务
项目均可用,只有 FTP服务有问
题 。接 下 来要 做 的是 真 正 了 解
FTP服务原理 ,并研 究 PIX525针
对这项服务的相 关配置 。
FTP是一个常 见的应用程序 ,
它将一个 完整的文件从一个 系统
复制到另一个系统 中。要使用
FTP,就需要有 登录 服务 器的注
册账号和对应的口令。
FTP有 自己的特点 ,就是采用
两个TCP连接来传输一个文件 ,即
控制连接和数据连接(这就是问题
的关键)。FTP有主动模式和被动
模式两种。本案中,采用主动模式
进行访 问,因此 ,我们结合防火墙 ,
只讨论主动模式的工作过程。
从 防火 墙 的 服务 器这 边 看 ,
要支持 主动模式的 FTP,以下 的
通讯通道 需要打开。
1.FTP服务器的 21端 口响应
任何端 口 (客户端 发起连接 );
2.FTP服务 器的 21端 口连接
到大于 1023的端 口 (服务器 响应
到客户端的控 制端 口);
3.F-rP服务器的2O端 口连接到
大于1023的端口(服务器向客户端
的数据端 口发起数据传输连接 );
4.FTP服务器的2O端 口响应
大于 1023的端 口 (客户机 发送
ACK到服务器的数据端口)。
第一 步 ,客 户机 从一个任 意
的非特权 端 口 (大于 1023,本例
为 1026)向FTP服务器 的控制 口
(端 口21)发起连接 。然后客户为
所在数据 连接 端选 择一个 临时端
口号 (本例为 1027),并开始 监
听 。 同时 客 户机 使 用 “PO RT
1 027”命令从控制连接上把端口
号发 向服务器 ,服务器在 控制连
接上接收该端 口号 。
第二 步 ,服务器 发出一个 确
认 ACK到客户机的命令 端 口。
我们这款 PIX525防火墙采用
新的操作版本 ,软件版本号为 7.1
112潮管爨世辨 200610
(1)。先看本机 7.1(1)版的操作
手册 “Cisco Security Appliance
NAT转换 ,对应到内网的一台 PC
上,此内网PC就不能正常访问了。
自然的,其他经动态NAT转换的内
网 PC机均不能正常访 问。
第三步 ,从本地 的数据 端 口
(20)向客户端主机上的数据端 口
发布一个主动的打开。注意 ,FTP
的主动模式,服务器的数据连接
端一直用端 口2O。
第 四步 ,客户 机从数据 端 发
回一个 ACK。
现在主要的问题还是出在客
户机 一边 。客户机 实际上没有对
服务器 的数据端 口进行 连接 ,它
只是告诉 服务器 ,它在 哪一个端
口进行 监听 ,并要求服务器 向那
个 监听端 口发起 主动的连接 。从
防火墙的角度看,这就是外部系
统向防火墙内部的客户机发起一
个主动连接。通常这种连接是不
允许 的 。以下我们从防火墙 的功
能来看待 一下这个 问题 。
在配置防火墙接口的时候,将
外网接口的安全级别设为O(最低),
将 内网接 口的安全级别设为 1 00
(最高 )。如此防火墙端 口对数据流
具有过滤功能 :H1_rP (S)和 F]P
只能向外发起连接 ,反之则不能 。这
就可以解释我们所遇到的情况。
Command Line Configuration
Guide”,发现与以前 (早于版本7.
O)的配置大有不 同,新版本增加
了一些早期版本没有的功能,特别
是引进了更精细的安全应用配置命
维普资讯 http://www.cqvip.com
敞障渗断 责任编辑:张碧薇联系电话:010-88559431投稿信箱
令 (第七层 的应用审查功能 )。
PI×525的 7.1版本采用
组
件策略框架,它提供 了一种既一致
又灵活的方法配置安全应用特性。
与早期版本的 PIX防火墙相比,它
的安全设置更加全面、灵活和精细。
本组件支持许多功能,如 IPS、
CsC、TCP标准化、Q。s策略、Q。s
优先排列和应用层审查功能。其中
应用层审查 (Ap#~ton Inspection)
功能和我们现在的问题有关。
标准 组件 策 略框架 的配 置包
括三项操作 :
1.用 “Class Map”命令配置
确定的何种数据流量 。
2.用 “Policy Map”针对此数
据 流量定义行为 。
3.用 “Service Policy”将此
行为在一个接 口上激活。
“应用层 协议审查引擎”或 叫
做 “应 用 程 序 审 查 引 擎 ”
(Application Inspection Engine)
采用 自适应安 全算法进行有状态
(分 组过滤机 制)的应 用层 协议 审
查 ,确保应用程 序和服务 的安全
使用 。它 支持包括 DNS,FTP,
GTP,
P等 二十多项应用程
序。有些应用程序需要经过安全
应用机制 (Security Appliance)
的特殊处理 ,因而要采用特殊 的
应用程序审查 引擎。这些应用程
序包括以下两种情形:
(1)将 IP地址信息嵌入到使
用的数据包内 ,
(2)动态地设置端 口而打开
第二 个连接通道 。
前—个问题应用程序审查引擎
结合NAT进行解决。对于后一种晴
形,应用程序审查引擎监控会话以
决定建立第二个通道 的端 口号 。在
知名的端口上发起的会话与动态设
置的端 口进行协商。此应用审查引
擎监控这此会话,确定分配的动态
端口,然后在会话期间允许数据在
这些端口之间进行交换。
FTP应用审查机制通过 控制
连接过程中提供的 PORT命令产
生了数据通道 的连接端 口,准备
好第二个通道 以供数据 传输 。通
道建立后 ,就能完成文件的上传、
下载 ,并且 列出文件 目录等任务 。
现在我们在新版的PIX525上
打开 FTP应用审查 机制。相关的
语句如下 :
以 上 “Inspect ftp”配置还可 应 用 选 项 “S t r j C t” 和 命 令
www netadm in com .cn
pOIicy interfaceDutSide-
以上配置语句 中,首句指明关
闭FTP被动模式 ,那么是采用主动
模式l“Class—map ftp_port”确 定
数 据 流 量 类 别 为 F T P 流 量 。
“Match porttcpeqftp”确定将流
量发送 到FTP的端 口,这里用 “eq
ftp”是采用了缺省的 FTP端 口,即
21口 。“Policy—maP sample
—
policy”、 “Class ftp
—
port”和
“Inspectftp”这组语 句,是制定一
个策略将 FTP应用审查引擎应用
到 F T P 流 量 上 。 最 后 一 句
“Service—policy sample
_
policy in—
terface outside”是将 以上所制定
的策略应用到外网接 口上。
这样就在外网接 口上打开了
FTP的数据通道 。这 是一 个特殊
通道 ,就好像 发放了一本特殊通
行证 ,权 限大于端 口的安全级别
限制 ,不再受它的阻碍 。
再测试,内网用户得到如图3
的屏显,此问题得到了解决。
图3终端显示界面
“request—command deny”严格
规定 FTP在 细节功能上 的应用。
这里我们不详述 。但可以看出新
版本在 应用层方面的配置有很 大
2006.10
N “w删 113
维普资讯 http://www.cqvip.com
WWW netadm i rl com cn
改进 ,更全面 、精细和灵活 。
事实上 ,使用新版的PIX(版
本 7.0以后),在基本配置中除了
如 口令 、路 由、NAT等 ,还应加
上审查配置,使应用程序在缺省
状态下均正常可用,即进行缺省
的全局 策略配置 。此 策略匹配 了
全部缺省的应用程序审查流量,
并且将 此审查应用于 全部 接 口的
流量上 。然后根 据安全需要 ,逐项
调整和细 化此 配置 。
缺省 的全 局策 略配置语句 举
例如 下 :
!
class-map globaI
_
port
责任编辑:张碧薇联系电话:。’。一 94。’投稿信箱: 。 。。@ 。协 。n。co 淑障诊断
policy-map global
_
policy
class global
_
port
inspect dns
inspectftp
inspect h323 h225
respect h323 ras
respect http
’
inspect netbios
‘
respect pptp
inspect rsh
respect sip
‘
inspect sunrpc
i‘nspect fftp
respect xdmcp
respect icmp
service-policy global
_
policy
global
!
这样 ,我们还顺 势解决 了
DNS应用的缺憾 (内网用户访问
内网的Web服务器,域名不能被
外网的DNS主机解析),详情不在
本文范 围。
那 么在早期版本的PIX和其他
的防火墙上如何解决此问题的呢?
老版本 的 PIX是用 flxup命令将应
用程序 的通道简单地打开 ,而没有
进一步的安全细化调整之功能。而
我们原先用的 RS2000代用防火
墙 ,只作 NAT和路 由配置 ,端 口不
设安全级别的高低,不会遇到此问
题,因而安全性显然不够。1
温馨 提示
1黜购200 颦垒肆《蠛髓瓣辨者≯ 个性能糍
嶷 个性他新麟
2( 07锥 《电脑 爱好者 淫 髫慢 乐部个性 化服 务洱 级 您咒 蔓在
采志}f自a贿铂 阅20(j,年仑牟 “电脑蓝好 者 或 《电脑 爱好者 (磐艇
版) 院 龋有的 十性化箍名 ,、上圣 甓贽 喜_受璃{墨摄定的 袅志埘
面更接 为自己照片的服 务
注:以上两项服务仅限于在杂志社邮购订阅的读
者.邮局订阅的读者将不享受此项服务。
2005年参与订两年送128MB闪盘的邮购读者将不
享受 此项服务
由于个性化封面制作工艺较为复杂.因此当期会鞍
正常时间晚一些,还请您见谅
2 请糍掇黼60爰辫 辫徽,送貔我们
为了像证您 能堆删收 到 嚏化 神杂 志 ·露卉您定所 选黜 杂:s,
市前6O^ 将窑的热 擞 诺 fongnlian~octal1∞ r l lr 箱 发 送成 :
后 清 壤打电话 【111l_88400r 8j与我 礓 认 #:如 峦替 篮持 '07
年1 1翕 市的蒂1j{Ij《咆脏 蘸好 g :一扪 衡正捶为南三酌豫 一 i
茹在a)f站年 11只3n 前 ,哿照 发堪野 战
3 《盘 i蹙磐 鹪 落 埔巍 f鳓 ;2秘 j, 童 瑚 舅 黧
(毅豳#融为准1
为 r根证 乏 地享受^性 £斡名强^ 地 施 女怒矗 !l _Ⅲ r
墙自 购 订篦的 融 霄要 £袁 电脑 爱女 害0袭古枉 葡j 青矗{ 款
亩 往 (w嚣好 蕾堂年及啊一毒 f 豫 柏增抽
4 裁想鬻雠参 噶 ≯
邮购 嚏_,r1( , 牟华 “电脑 疆 看 或 电胍 美好苦 (錾H 撒 q
饿书 置能免鼹事受 u班 五 ± 强 “ 腿务 姐冀 参帮 古 一 多
袁杂 志 面 印有 岛E的烈 或者 毒茹明 0 亭受 0:腥务
搬篱耍直 竹5(】五,杰的 翱忙髓髓
I: . 0’ 0 I-lll l
盘沾动钾蹲坦 蜘 审议妇 孛 《雹5 麓 普》 世币自
维普资讯 http://www.cqvip.com
本文档为【新功能让老经验失效——PIX防火墙7.1版本处理FTP】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。