关于防火墙对于TP的影响及故障排除.docxVIP

关于防火墙对于FTP的影响及故障排除FTP是常见的基于TCP的网络服务，它使用了两个TCP连接来建立逻辑通信信道，即控制连接和数据连接。当客户端与服务器建立一个FTP会话时，使用TCP创建一个持久的控制连接以传递命令和应答。当发送文件和其它数据传输时，它们在独立的TCP数据连接上进行传递，这个连接根据需要创建和拆除。更为复杂的是，FTP标准指定了创建数据连接的两种不同方法，即正常（主动）数据连接和被动数据连接。FTP的控制连接总是由客户端首先发起的，主动数据连接是由服务器端发起的，被动数据连接是由客户端发起的。成功建立控制连接后，在进行主动连接时，客户端发送PORT命令，其中内嵌了地址和端口信息，以告知服务器进行连接，然后服务器打开默认端口20建立到客户端已告知地址和端口的数据连接。在进行被动连接时，客户机使用PASV命令告诉服务器等待客户机建立数据连接，服务器响应，告诉客户机为了数据传输它应该使用服务器上的什么端口（随机打开）。这种工作机制带来了一个严重的问题：在FTP的命令（PORT或PASV）或对它们的回答中传递IP地址及端口号与网络分层机制严重冲突，在FTP客户端与服务器的通信信道之间的/tag/%e7%bd%91%e5%85%b3/网关设备（/tag/%e9%98%b2%e7%81%ab%e5%a2%99/防火墙或/tag/%e8%b7%af%e7%94%b1%e5%99%a8/路由器）上启用了NAT功能的情况下将出现连接性问题。/tag/%e9%98%b2%e7%81%ab%e5%a2%99/防火墙对于像FTP这样的多端口连接的TCP应用，其影响是深远的，在复杂的网络环境中，更是由于设备、软件的多样性可能导致不可预知的问题。作为一名网络管理员，深入了解/tag/%e9%98%b2%e7%81%ab%e5%a2%99/防火墙和FTP的工作原理及其在NAT环境下防火墙对FTP的影响，对于选择FTP服务软件及安装、部署、管理及维护FTP服务和实际工作中排除FTP应用故障是大有裨益的。本文就以一个在实际环境中比较常见的FTP部署和应用拓扑为例，来详细解读防火墙（启用了NAT功能）对FTP的影响。如有不当之处，敬请指正。一、网络拓扑图?二、主动模式的连接分析如本例中网络拓扑所示，IP为客户端计算机打开一个可用的TCP端口1025，经过其前端的防火墙进行NAT转换成地址和端口1025后建立到目标地址为的21端口的连接，然后服务器前端的防火墙将此连接信息传递到服务器的21端口，成功建立FTP控制连接。服务器则经由这个已经建立的逻辑连接通道返回数据包，与客户端进行交互。接着，客户端发出PORT指令，在指令中嵌入了地址信息（IP:，Port:1026），告知服务器用于数据连接，并打开端口1026，等待服务器连接。当承载PORT指令的数据包到达客户机前端的防火墙时，由于NAT的缘故，在成功创建NAT表项，改写数据包的IP和TCP端口信息后：如果此时防火墙不能识别并检查此连接是FTP应用，便不能对PORT指令中嵌入的地址和端口信息进行改写，则将此数据包通过先前已建立的控制连接通道传递到服务器后，服务器则打开20端口，将建立到的1026端口的数据连接。显然，此连接数据包要么被其前端的防火墙丢弃，要么在流入因特网后立刻被丢弃，永远无法到达客户端。在这种情况下，客户端一直处在控制连接阶段发送含有PORT指令的数据包，以便建立数据连接；而服务器则在打开了20端口后，一直尝试建立到客户端的数据连接，但始终收不到应答。直接的结果就是：客户端成功连接了FTP服务器，却无法进行数据传输。这里可能还包含一个隐藏的安全威胁：如果恰巧对于服务器主机来说是直接可达的，则此时服务器便将数据包发送到这台计算机，在这两台主机之间产生莫名的数据流。其他可能更隐蔽、更不好的情况，笔者不再做假设论述了。如果此时防火墙能支持对FTP应用进行审查和跟踪，即能识别PORT指令中的内容，就将其中嵌入的地址信息改写成（IP:，PORT:1026）并动态打开1026端口，并建立新的NAT转换表项，等待连接，则当服务器收到PORT指令后，打开20端口，建立到上1026端口的连接，成功交互后，便能进行数据传输了。三、被动模式的连接分析控制连接建立后，客户端发出的PASV指令到达服务器，服务器则随机打开一个可用的TCP端口，并将地址和端口信息（IP:，Port:50000）返回给客户端，告知客户端利用这些信息进行数据连接。当包含服务器地址信息的这个数据包到达其前端的防火墙时：如果防火墙不能识别并检查此数据包的应用层数据，无法判定它是FTP的PASV指令的返回包，并对其中嵌入的地址信息进行重写，则当此数据包返回到客户端时，客户端将随机打开端口3000，以目的地址、端口50000来进行数据连接