關(guān)于防火墻對于FTP的影響及故障排除

1、關(guān)于防火墻對于FTP的影響及故障排除FTP是常見的基于TCP的網(wǎng)絡(luò)效勞，它使用了兩個TCP連接來建立邏輯通信信道，即控制連接和數(shù)據(jù)連接。當(dāng)客戶端與效勞器建立一個FTP會話時，使用TCP創(chuàng)立一個持久的控制連接以傳遞命令和應(yīng)答。當(dāng)發(fā)送文件和其它數(shù)據(jù)傳輸時，它們在獨立的TCP數(shù)據(jù)連接上進(jìn)行傳遞，這個連接根據(jù)需要創(chuàng)立和撤除。更為復(fù)雜的是，F(xiàn)TP標(biāo)準(zhǔn)指定了創(chuàng)立數(shù)據(jù)連接的兩種不同方法，即正常主動數(shù)據(jù)連接和被動數(shù)據(jù)連接。FTP的控制連接總是由客戶端首先發(fā)起的，主動數(shù)據(jù)連接是由效勞器端發(fā)起的，被動數(shù)據(jù)連接是由客戶端發(fā)起的。成功建立控制連接后，在進(jìn)行主動連接時，客戶端發(fā)送PORT命令，其中內(nèi)嵌了地址和端口信息，

2、以告知效勞器進(jìn)行連接，然后效勞器翻開默認(rèn)端口20建立到客戶端已告知地址和端口的數(shù)據(jù)連接。在進(jìn)行被動連接時，客戶機(jī)使用PASV命令告訴效勞器等待客戶機(jī)建立數(shù)據(jù)連接，效勞器響應(yīng)，告訴客戶機(jī)為了數(shù)據(jù)傳輸它應(yīng)該使用效勞器上的什么端口隨機(jī)翻開。這種工作機(jī)制帶來了一個嚴(yán)重的問題：在FTP的命令PORT或PASV或?qū)λ鼈兊拇饛?fù)中傳遞IP地址及端口號與網(wǎng)絡(luò)分層機(jī)制嚴(yán)重沖突，在FTP客戶端與效勞器的通信信道之間的網(wǎng)關(guān)設(shè)備防火墻或路由器上啟用了NAT功能的情況下將出現(xiàn)連接性問題。防火墻對于像FTP這樣的多端口連接的TCP應(yīng)用，其影響是深遠(yuǎn)的，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，更是由于設(shè)備、軟件的多樣性可能導(dǎo)致不可預(yù)知的問題。作

3、為一名網(wǎng)絡(luò)管理員，深入了解防火墻和FTP的工作原理及其在NAT環(huán)境下防火墻對FTP的影響，對于選擇FTP效勞軟件及安裝、部署、管理及維護(hù)FTP效勞和實際工作中排除FTP應(yīng)用故障是大有裨益的。本文就以一個在實際環(huán)境中比擬常見的FTP部署和應(yīng)用拓?fù)錇槔?，來詳?xì)解讀防火墻啟用了NAT功能對FTP的影響。如有不當(dāng)之處，敬請指正。一、網(wǎng)絡(luò)拓?fù)鋱D二、主動模式的連接分析如本例中網(wǎng)絡(luò)拓?fù)渌?，IP為客戶端計算機(jī)翻開一個可用的TCP端口1025，經(jīng)過其前端的防火墻進(jìn)行NAT轉(zhuǎn)換成地址和端口1025后建立到目標(biāo)地址為的21端口的連接，然后效勞器前端的防火墻將此連接

4、信息傳遞到效勞器的21端口，成功建立FTP控制連接。效勞器那么經(jīng)由這個已經(jīng)建立的邏輯連接通道返回數(shù)據(jù)包，與客戶端進(jìn)行交互。接著，客戶端發(fā)出PORT指令，在指令中嵌入了地址信息IP:，Port:1026，告知效勞器用于數(shù)據(jù)連接，并翻開端口1026，等待效勞器連接。當(dāng)承載PORT指令的數(shù)據(jù)包到達(dá)客戶機(jī)前端的防火墻時，由于NAT的緣故，在成功創(chuàng)立NAT表項，改寫數(shù)據(jù)包的IP和TCP端口信息后：如果此時防火墻不能識別并檢查此連接是FTP應(yīng)用，便不能對PORT指令中嵌入的地址和端口信息進(jìn)行改寫，那么將此數(shù)據(jù)包通過先前已建立的控制連接通道傳遞到效勞器后，效勞器那么

5、翻開20端口，將建立到的1026端口的數(shù)據(jù)連接。顯然，此連接數(shù)據(jù)包要么被其前端的防火墻丟棄，要么在流入因特網(wǎng)后立刻被丟棄，永遠(yuǎn)無法到達(dá)客戶端。在這種情況下，客戶端一直處在控制連接階段發(fā)送含有PORT指令的數(shù)據(jù)包，以便建立數(shù)據(jù)連接；而效勞器那么在翻開了20端口后，一直嘗試建立到客戶端的數(shù)據(jù)連接，但始終收不到應(yīng)答。直接的結(jié)果就是：客戶端成功連接了FTP效勞器，卻無法進(jìn)行數(shù)據(jù)傳輸。這里可能還包含一個隱藏的平安威脅：如果恰巧對于效勞器主機(jī)來說是直接可達(dá)的，那么此時效勞器便將數(shù)據(jù)包發(fā)送到這臺計算機(jī)，在這兩臺主機(jī)之間產(chǎn)生莫名的數(shù)據(jù)流。其他可能更隱蔽、更不好的情況

6、，筆者不再做假設(shè)論述了。如果此時防火墻能支持對FTP應(yīng)用進(jìn)行審查和跟蹤，即能識別PORT指令中的內(nèi)容，就將其中嵌入的地址信息改寫成IP:，PORT:1026并動態(tài)翻開1026端口，并建立新的NAT轉(zhuǎn)換表項，等待連接，那么當(dāng)效勞器收到PORT指令后，翻開20端口，建立到上1026端口的連接，成功交互后，便能進(jìn)行數(shù)據(jù)傳輸了。三、被動模式的連接分析控制連接建立后，客戶端發(fā)出的PASV指令到達(dá)效勞器，效勞器那么隨機(jī)翻開一個可用的TCP端口，并將地址和端口信息IP:，Port:50000返回給客戶端，告知客戶端利用這些信息進(jìn)行數(shù)據(jù)連接。當(dāng)包含效勞器地址信息

7、的這個數(shù)據(jù)包到達(dá)其前端的防火墻時：如果防火墻不能識別并檢查此數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)，無法判定它是FTP的PASV指令的返回包，并對其中嵌入的地址信息進(jìn)行重寫，那么當(dāng)此數(shù)據(jù)包返回到客戶端時，客戶端將隨機(jī)翻開端口3000，以目的地址、端口50000來進(jìn)行數(shù)據(jù)連接，同理，此連接數(shù)據(jù)包永遠(yuǎn)不能到達(dá)效勞器端。這種情況下，客戶端將一直嘗試建立數(shù)據(jù)連接，卻總是不能收到應(yīng)答。這里可能包含的隱藏平安威脅，如前所述。如果防火墻能對FTP應(yīng)用進(jìn)行審查和跟蹤，并將返回包中嵌入的效勞器地址信息進(jìn)行重寫，即轉(zhuǎn)換成IP：，Port：50000，然后建立新的NAT表項，動態(tài)翻開50000端口，等

8、待連接。那么此返回包到達(dá)客戶端時，客戶端將隨機(jī)翻開端口3000，以目的地址、端口50000來新建連接，便能成功建立數(shù)據(jù)連接。根據(jù)以上分析，為成功進(jìn)行FTP數(shù)據(jù)傳輸，主動模式下要求客戶機(jī)前端的防火墻在啟用NAT后能對FTP應(yīng)用進(jìn)行審查和跟蹤，識別并改寫PORT指令中的客戶端地址信息；被動模式下那么要求效勞器前端的防火墻能改寫效勞器響應(yīng)PASV指令后返回數(shù)據(jù)包中的效勞器地址信息。當(dāng)然，為保險起見，為保證FTP應(yīng)用的正常使用，建議兩端的防火墻都需要支持對FTP進(jìn)行識別和內(nèi)容審查。四、網(wǎng)絡(luò)防火墻與FTP大多數(shù)網(wǎng)管設(shè)置防火墻的默認(rèn)訪問控制策略是：允許從內(nèi)部到外部的一切流量，禁止從外部到內(nèi)部

9、的一切流量。就FTP應(yīng)用來說，為了簡化防火墻策略的配置又兼顧平安策略要求，客戶機(jī)選擇被動模式進(jìn)行數(shù)據(jù)連接較好，不需要對其前端的防火墻設(shè)置特別的訪問控制策略，但要求效勞器前端的防火墻能動態(tài)翻開數(shù)據(jù)連接所需的隨機(jī)端口；效勞器端那么選擇主動連接較好，為允許客戶端的訪問，其前端防火墻的訪問控制策略僅需要顯式對外開放21端口即可，但需要客戶機(jī)前端的防火墻能動態(tài)翻開數(shù)據(jù)連接所需的端口。從方便使用的角度考慮，既然提供FTP效勞，就要配置好效勞器前端的防火墻，使其訪問控制策略能支持兩種模式下的FTP效勞正常工作。如果客戶機(jī)前端的NAT設(shè)備為路由器，不是防火墻，并不能審查和跟蹤FTP應(yīng)用，從前面的分析可以推斷出

10、，主動模式下肯定存在連接性問題，需要以被動方式建立數(shù)據(jù)連接才能成功使用FTP效勞。如果FTP控制端口非默認(rèn)，而是定制的TCP端口比方2121，在這種情況下，效勞器前端的防火墻通過配置命令顯式指示FTP的控制端口，便能進(jìn)行審查和跟蹤。但客戶機(jī)前端的防火墻即使其能識別默認(rèn)端口下的FTP應(yīng)用，此時也會把控制端口非21的FTP效勞當(dāng)作一般的TCP應(yīng)用對待，這種情形下，便不能改寫主動模式下的客戶端地址端口信息，導(dǎo)致效勞器在建立數(shù)據(jù)連接時失敗，但客戶端使用被動連接模式能正常工作。綜上所述，客戶端使用被動方式連接FTP效勞器是最恰當(dāng)?shù)?，能最大限度地降低連接性問題。同時降低了對客戶機(jī)前端防火墻備的要求，不需要

11、像主動方式那樣動態(tài)開放允許輸入的隨機(jī)端口，把可能的平安威脅推給了效勞器端。這或許是微軟的IE瀏覽器資源管理器默認(rèn)設(shè)置使用被動方式的原因。如圖表2所示。另外需要注意的，在Windows命令行下，F(xiàn)TP默認(rèn)是使用主動方式進(jìn)行數(shù)據(jù)連接的。五、主機(jī)防火墻與FTP如果將FTP效勞器架設(shè)在WindowsServer 2021上，由于它內(nèi)置Windows防火墻，而且默認(rèn)已經(jīng)啟用，所以客戶端建立到這臺FTP效勞器的控制連接便會被封鎖，此時需要在防火墻上開放對TCP 21端口的傳入連接。被動模式下，由于效勞器通過控制信道將用來監(jiān)聽客戶端請求的端口號是隨機(jī)產(chǎn)生的，此時需要在防火墻上開放的傳入連接的端口也是隨機(jī)的。

12、由于Windows防火墻不能像網(wǎng)絡(luò)防火墻那樣根據(jù)需要動態(tài)翻開和關(guān)閉FTP效勞要求的隨機(jī)端口，所以需要靜態(tài)開放全部可能的隨機(jī)端口。WindowsServer 2021默認(rèn)的動態(tài)端口范圍是49152-65535，而Windows防火墻的例外開放規(guī)那么只能針對單一端口來開放，要開放49152-65535這個范圍內(nèi)的一萬多個端口，非常不切實際，更是會給運(yùn)行FTP效勞器的主機(jī)帶來嚴(yán)重的平安威脅。所幸的是，基于IIS7.0建立的FTP效勞器允許將端口號固定在自行指定的一個范圍中，如50000-50005，此時便只需要開放這一小段范圍的端口即可，大大提升了平安性和配置Windows防火墻的效率。如果效勞器上部署的是第三方防火墻，那么需要慎重考慮如何設(shè)置使之能平安保障FTP效勞的正常運(yùn)行。County