第05章 防火墙.ppt

2、FTP服务 FTP用来把文件从一台机器传输到另一台机器， FTP可传输任何类型的文件，如二进制文件、文本文件和多媒体文件等。匿名服务仍是一种广泛采用的服务，可以在很多匿名FTP站点上下载免费软件、游戏和图片等。 FTP的过程特性和过滤特性 和Telnet、SMTP不同， FTP需建立两个联接，一个是命令通道，另一个是数据通道，这就带来了它的过滤复杂性。 FTP有两种联接模式：正常模式和PASV模式。 正常模式要求服务器启动一个联接用于数据传输，这不利于控制入站服务；PASV模式两条联接都由客户启动，这方便了入站服务的控制。 一般情况下，若提供出站的FTP服务，要采用正常模式，使用代理；若采用PASV模式，则只需经过屏蔽路由器即可。 下表所示的是PASV模式的FTP的过滤特性。服务器端的TCP端口号是21和一个大于1023的数，前者是命令通道端口，后者是数据通道端口。规则A和B是命令通道，C和D用于数据通道。 规则 指令 源地址 目标地址 源端口 目标端口 协议 ACK A 出 内部 Internet 1023 21 TCP / B 入 Internet 内部 21 1023 TCP yes C 出 内部 Internet 1023 1023 TCP / D 入 Internet 内部 1023 1023 TCP yes 表： PASV模式的TFP的过滤特性 下表所示的是标准模式的FTP的过滤特性。服务器端的TCP端口号是21和20，前者是命令通道端口，后者是数据通道端口。规则A和B是命令通道，C和D用于数据通道。 规则 指令 源地址 目标地址 源端口 目标端口 协议 ACK A 出 内部 Internet 1023 21 TCP / B 入 Internet 内部 21 1023 TCP yes C 入 Internet 内部 1023 20 TCP / D 出 内部 Internet 20 1023 TCP yes 标准模式的FTP的过滤特性 3、Telnet Telnet是一个很有用的工具，大多数操作系统都支持Telnet 服务。它可以用来文章BBS站点、调试邮件服务器或其他主机上的时间等。 Telnet最大的安全问题是Telnet访问服务器的时候口令的验证大都是采用明文验证。这样用户名和口令在传输的时候，很容易被监听。入站和出站Telnet有不同的安全问题。 A. 出站Telnet服务输出数据包的特点 对于出站Telnet服务，一个本地客户进入到一个远程服务器，需要处理系统输出和输入数据包，输出数据包中含有用户键入的内容，它具有下面几个特点： （1）输出数据包的IP源地址是Telnet客户机的地址。 （2）数据包目标地址是Telnet服务器的地址。 （3） Telnet的数据包类型为TCP。 （4）一般情况下，目标端口为23，但Telnet服务器可以自己设置。 （5）源端口为一大于1023的随机数。 （6）同其他基于TCP的服务一样，第一个请求数据包没有设置ACK位，而其余的包将设置ACK位。 B.出站Telnet服务输入数据包的特点 对于出站服务的输入数据包有的显示到用户屏幕上的数据具有以下这些特点： （1）输入数据包的IP源地址是Telnet服务器的地址。 （2）数据包目标地址是Telnet客户机的地址。 （3） Telnet的数据包类型为TCP。 （4）一般情况下，源端口为23，但Telnet服务器可以自己设置。 （5）目标端口为一大于1023的随机数。 （6）所有的输入数据包都设置ACK。 上面两种数据包的报头是很相似的，仅仅是调换一下位置而已。 C.入站的Telnet服务输入数据包特点 下面看看入站Telnet服务，它是一个远程客户机和防火墙里面的Telnet服务器通信。入站的Telnet服务的输入数据包含有远程用户键入的内容，具有如下特点： （1）输入数据包的IP目标地址是Telnet服务器(本地主机)的地址。 （2）Telnet的数据包类型为TCP。