PIXASA7.x启用FTPTFTP服务配置示例.PDFVIP

PIX/ASA 7.x：启用 FTP/TFTP 服务配置示例 目录 简介 先决条件 要求 使用的组件 网络图 相关产品 规则 背景信息 高级协议处理 配置基本的 FTP 应用程序检查 配置示例 对非标准 TCP 端口配置 FTP 协议检查 配置基本的 TFTP 应用程序检查 配置示例 验证 故障排除 问题：配置中的语法无效，收到类映射检查错误 解决方案 无法通过 ASA 运行 FTPS（SSL 上的 FTP） 相关信息 简介 本文档介绍网络外部的用户访问 DMZ 网络中的 FTP 和 TFTP 服务所需执行的步骤。 文件传输协议 (FTP) 有两种形式的 FTP： 主动模式 被动模式 在主动 FTP 模式下，客户端从一个随机的非特权端口 N (N1023) 连接到 FTP 服务器的命令端口 (21)。然后，客户端开始监听端口 N+1，并将 FTP 命令 port N+1 发送到 FTP 服务器。接下来，服 务器从其本地数据端口（端口 20）连接回客户端的指定数据端口。 在被动 FTP 模式下，客户端向服务器同时发起这两种连接，这将解决从服务器到客户端的数据端口 传入连接被防火墙过滤掉的问题。当打开一个 FTP 连接时，客户端将在本地打开两个随机的非特权 端口（N1023 和 N+1）。第一个端口联系服务器的端口 21。然后，客户端发出 PASV 命令，而不 是发出 port 命令并允许服务器连接回其数据端口。这样做的结果是服务器会打开一个随机的非特权 端口 P (P1023)，并将 port P 命令发送回客户端。然后，客户端发起从端口 N+1 到服务器的端口 P 的连接来传输数据。如果安全设备上未配置 inspection 命令，内部用户发起的出站 FTP 只能以被 动方式工作。此外，外部用户发起的访问 FTP 服务器的入站请求将被拒绝。 请参阅 ASA 8.3及以上版本：启用FTP/TFTP服务配置示例关于相同配置的更多信息使用ASDM用 Cisco可适应安全工具(ASA)有版本8.3和以上的。 简单文件传输协议 (TFTP) 如 RFC 1350 中所述，TFTP 是一种用于在 TFTP 服务器与客户端之间读写文件的简单协议。TFTP 使用 UDP 端口 69。 先决条件 要求 尝试进行此配置之前，请确保满足以下要求： 必需的接口之间存在基本通信。 已配置位于 DMZ 网络中的 FTP 服务器。 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行 7.2(2) 软件映像的 ASA 5500 系列自适应安全设备 运行 FTP 服务的 Windows 2003 Server 运行 TFTP 服务的 Windows 2003 Server 位于网络外部的客户端 PC 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 网络图 本文档使用以下网络设置： 注意： 此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用 的 RFC 1918 地址。 相关产品 此配置也适用于 PIX 安全设备 7.x。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 背景信息 安全设备支持通过自适应安全算法功能进行应用程序检查。通过自适应安全算法所使用的状态应用 程序检查，安全设备可跟踪穿过防火墙的每个连接，并确保这些连接有效。防火墙也通过状态检查 来监控连接的状态，以便编译信息并放入状态表中。如果使用除了管理员定义的规则之外还使用状 态表，则过滤决策将基于先前穿过防火墙的数据包所建立的上下文。实施应用程序检查包括下列操 作： 标识流量。 对流量应用检查。 在接口上激活检查。 高级协议处理 FTP 某些应用程序要求由 Cisco 安全设备应用程序检查功能进行的特殊处理。此类应用程序通常将 IP 编 址信息嵌入在用户数据包中，或者在动态分配的端口上打开辅助信道。应用程序检查功能可与网络 地址转换 (NAT) 配合工作，帮助标识嵌入式编址信息的位置。 除了标识嵌入式编址信息外，应用程序检查功能还监控会话，以确定用于辅助信道的端口号。许多 协议会打开辅助 TCP 或 UDP 端口以提高性能。某个已知端口上的初始会话用于协商动态分配的端 口号。应用程序检查功能监控这些会话、标识动态端口分配，并允许在特定会话持续时间内通过这 些端口进行数据