通过FTP浅谈NATNATALG与ASPF

华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/20i通过FTP浅谈NAT、NATALG与ASPF声明Copyright©2005华为技术有限公司版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。®、HUAWEI®、华为®、C&C08®、EAST8000®、HONET®、®、视点®、ViewPoint®、INtess®、ETS®、DMC®、TELLIN®、InfoLink®、Netkey®、Quidway®、SYNLOCK®、Radium®、雷霆®、M900/M1800®、TELESIGHT®、Quidview®、Musa®、视点通®、Airbridge®、Tellwin®、Inmedia®、VRP®、DOPRA®、iTELLIN®、HUAWEIOptiX®、C&C08iNET®、NETENGINE™、OptiX™、iSite™、U-SYS™、iMUSE™、OpenEye™、Lansway™、SmartAX™、边际网™、infoX™、TopEng™均为华为技术有限公司的商标。对于本手册中出现的其它商标，由各自的所有人拥有。由于产品版本升级或其它原因，本手册内容会不定期进行更新。除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持技术支援网址：客户服务邮箱：support@huawei.com客户服务电话：80083021180755-28560000传真：0755-28560111地址：深圳市龙岗区坂田华为总部办公楼邮编：518129华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/20ii目录声明................................................................................................................................................i技术支持........................................................................................................................................i通过FTP浅谈NAT、NATALG与ASPF....................................................................................11基本概念...................................................................................................................................11.1FTP的pasv和port方式：............................................................................................11.2Nat与NatAlg.................................................................................................................21.3基于ACL规则的包过滤与ASPF...................................................................................22实例分析...................................................................................................................................32.1Natoutbound情况.......................................................................................................32.2NatServer情况..............................................................................................................42.3讨论...............................................................................................................................5华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/201通过FTP浅谈NAT、NATALG与ASPF1基本概念1.1FTP的pasv和port方式：FTP与其他客户服务器应用程序的不同就是它在主机之间使用两条连接。一条连接用于数据传送，而另一条则用于控制信息（命令和响应）传送，将命令与数据传送分开使得FTP的效率更高。在整个交互的FTP会话中，控制连接始终是处于连接状态，数据连接则在每一次文件传送时先打开然后关闭，若传送多个文件，则数据连接打开和关闭多次（每次数据连接打开的端口不同）。以下是使用port和pasv连接方式的简单流程：Port方式：1Client打开一个短暂端口与Server的21端口进行三次握手，建立控制连接；2Client使用接入命令，Server对client的user和pass验证后，Client登录成功；3Client使用文件管理命令和数据格式化命令来定义数据传输的文件类型、传输方式和目录等信息；4Client向Server端发起port连接命令，并把client端的一个短暂端口号发给Server；5Server的20端口与Client的短暂端口进行三次握手，建立数据连接；6传输数据；7握手再见；8使用QUIT命令请求关闭控制连接或者发请求打开另一个数据连接以传送另一个文件。Pasv方式：1Client打开一个短暂端口与Server的21端口进行三次握手，建立控制连接；2Client使用接入命令，Server对client的user和pass验证后，Client登录成功；3Client使用文件管理命令和数据格式化命令来定义数据传输的文件类型、传输方式和目录等信息；4Client向Server端发起pasv连接命令，要求Server选择一个端口号，并在pasv连接命令的响应中将此端口号告诉Client；5Client使用短暂端口号与Server选择的端口号进行三次握手，建立数据连接；华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/2026传输数据；7握手再见；8使用QUIT命令请求关闭控制连接或者发请求打开另一个数据连接以传送另一个文件。对比：port方式（主动连接方式）―――client选择端口，等待server数据连接pasv方式（被动连接方式）―――server选择端口，等待client数据连接“主动”和“被动”是相对于server而言的。1.2Nat与NatAlgNAT（NetworkAddressTranslation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种通过允许使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度，并且“隐藏”了企业的私有网络，具有安全性。NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们报文的数据部分可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，这就可能导致问题。在NAT实现中使用ALG（ApplicationLevelGateway，应用级网关）功能。ALG是特定的应用协议的转换代理，它和NAT交互以建立状态，使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据，并完成其他必需的工作以使应用协议可以跨越不同范围运行。Eudemon防火墙提供了完善的地址转换应用级网关机制，使其在流程上可以支持各种特殊的应用协议，而不需要对NAT平台进行任何的修改，具有良好的可扩充性。目前它所实现了常用应用协议的ALG功能包括：DNS、FTP、H.323、HWCC、ICMP、ILS（InternetLocatorService）、NetBIOS和QQ。1.3基于ACL规则的包过滤与ASPFACL（AccessControlList，访问控制列表），是由permit或deny语句组成的一系列有顺序的规则，这些规则针对数据包的源地址、目的地址、端口号、上层协议或其他信息来描述。防火墙转发数据包时，先检查包头信息（例如包的源地址/目的地址、源端口/目的端口和上层协议等），然后与设定的规则进行比较，根据比较的结果决定对该数据包进行转发还是丢弃处理。ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤，即基于状态的报文过滤。基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/203Eudemon防火墙采用ASPF状态检测技术，即基于状态的报文过滤，在进行数据包的检查时，将每个数据包看成是独立单元的同时，还要考虑前后报文的历史关联性，因此具有高安全性。2实例分析2.1Natoutbound情况E0/0/0E1/0/0[client]----------[Eudemon200]---------[server]5.5.5.2[trust][untrust]6.6.6.2[Eudemon]nataddress-group06.6.6.56.6.6.81.Port方式：C(3146端口)-----S(21端口)控制通道C(3147端口)------S(20端口)数据通道配置：[Eudemon]natalgenableftp[Eudemon-acl-adv-3000]rule5permittcpdestination6.6.6.20destination-porteqftp[Eudemon-acl-basic-2000]ruleper[Eudemon-interzone-trust-untrust]packet-filter3000outbound[Eudemon-interzone-trust-untrust]natoutbound2000address-group0[Eudemon-interzone-trust-untrust]detectftpdetect的作用：获取TCP会话的状态，检测它是否合法，创建servermap表项，打开数据端口3147，以后过来的包不用查acl，即可通过Aspf创建的隧道进行通信。2.Pasv方式：C(3256端口)-----S(21端口)控制通道C(3257端口)-----S(2381端口)数据通道华为产品维护资料通过FTP浅谈NAT、NATALG与ASPF2006/4/204配置：[Eudemon-acl-adv-3000]rule5permittcpdestination6.6.6.20destination-port