FTP总结
FTP应用分FTP,SFTP,FTPS,其中最常见的是FTP,也是下面将重点讨论的情形;SFTP即Secure File Transfer Protocol,是SSH
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
一个子协议,不区分控制和数据端口;FTPS即“FTP-over-SSL”, 是在安全套接层使用
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
的FTP协议和指令的一种增强型协议(类似https),也没有控制和数据端口的区分;所以SFTP和FTPS完全不同于普通的FTP应用(控制和数据用不同的连接),可以SFTP和FTPS的访问需求等同于普通的TCP应用处理。
主动FTP
主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
1. 任何端口到FTP服务器的21端口 (客户端初始化的连接 S<-C)
2. FTP服务器的21端口到大于1023的端口(服务器响应客户端的控制端口 S->C)
3. FTP服务器的20端口到大于1023的端口(服务器端初始化数据连接到客户端的数据端口 S->C)
4. 大于1023端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口 S<-C)
连接过程大概是下图的样子(没有严格按TCP三次握手画):
在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。
主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接,它只是简单的告诉服务器自己监听的端口号,服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说,这是从外部系统建立到内部客户端的连接,这是通常会被阻塞的。
被动FTP
为了解决服务器发起到客户的连接的问题,人们开发了一种不同的FTP连接方式。这就是所谓的被动方式,或者叫做PASV,当客户端通知服务器它处于被动模式时才启用。
在被动方式FTP中,命令连接和数据连接都由客户端,这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时,客户端打开两个任意的非特权本地端口(N >; 1024和N+1)。第一个端口连接服务器的21端口,但与主动方式的FTP不同,客户端不会提交PORT命令并允许服务器来回连它的数据端口,而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口(P >; 1024),并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。
对于服务器端的防火墙来说,必须允许下面的通讯才能支持被动方式的FTP:
1. 从任何端口到服务器的21端口 (客户端初始化的连接 S<-C)
2. 服务器的21端口到任何大于1023的端口 (服务器响应到客户端的控制端口的连接 S->C)
3. 从任何端口到服务器的大于1023端口 (入;客户端初始化数据连接到服务器指定的任意端口 S<-C)
4. 服务器的大于1023端口到远程的大于1023的端口(出;服务器发送ACK响应和数据到客户端的数据端口 S->C)
被动方式的FTP连接过程大概是下图的样子:
在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。
被动方式的FTP解决了客户端的许多问题,但同时给服务器端带来了更多的问题。最大的问题是需要允许从任意远程终端到服务器高位端口的连接。第二个问题是客户端有的支持被动模式,有的不支持被动模式,必须考虑如何能支持这些客户端,以及为他们提供解决办法。例如,Solaris提供的FTP命令行工具就不支持被动模式,需要第三方的FTP客户端,比如ncftp。总结
下面的图表会帮助管理员们记住每种FTP方式是怎样工作的,在建立数据传输通道时,服务器主动即主动ftp,客户端连接服务器(服务器被动)即被动ftp:
主动FTP:
命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 <- 服务器 20端口
被动FTP:
命令连接:客户端 >1023端口 -> 服务器 21端口
数据连接:客户端 >1023端口 -> 服务器 >1023端口
下面是主动与被动FTP优缺点的简要总结:
主动FTP对FTP服务器的管理有利,但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接,而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利,但对服务器端的管理不利。因为客户端要与服务器端建立两个连接,其中一个连到一个高位随机端口,而这个端口很有可能被服务器端的防火墙阻塞掉。
亦庄SRF网络设备配置示例
1. 标准端口:
FWSM启用inspect FTP检测(全局下):
命令:
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
!
service-policy global_policy global
JUNIPER启用基于策略的ALG FTP检测(全局下缺省启用):
命令:set alg ftp enable
2. 非标准端口:
FWSM,全局下,启用自定义端口的inspect FTP检测:
命令:
class-map FTP-1359
match port tcp eq 1359
!
!
policy-map global_policy
class FTP-1359
inspect ftp
!
!
service-policy global_policy global
JUNIPER,启用基于策略的ALG FTP检测
命令:set policy id xxx application "FTP"
引入风险
需要严格区分控制端口和数据端口(FWSM全局下区分,Juniper可以做基于策略的区分),因为inspect和alg检测需要使用cpu,控制端口对应的数据量比较小,所以对cpu的消耗可以忽略,若打开数据通道上的inspect和alg功能,大量的数据包检测将消耗较多的cpu资源,易造成CPU突发,这点需要特别注意,需要项目组,需求分析组对FTP等类似端口做严格审核。