使用FXP的ASA檔案傳輸配置示例

簡介

本文說明如何通過CLI在思科自適應安全裝置(ASA)上配置檔案交換協定(FXP)。

必要條件

需求

思科建議您瞭解檔案傳輸通訊協定(FTP)（主動/被動模式）的基本知識。

採用元件

本文檔中的資訊基於運行軟體版本8.0及更高版本的Cisco ASA。

附註：此配置示例使用兩個充當FXP伺服器並運行FTP服務（3C守護程式）的Microsoft Windows工作站。 它們還啟用了FXP。還使用另一個運行FXP客戶端軟體(FTP Rush)的Microsoft Windows工作站。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

FXP允許您通過FXP客戶端將檔案從一個FTP伺服器傳輸到另一個FTP伺服器，而無需依賴於客戶端網際網路連線速度。使用FXP時，最大傳輸速度僅取決於兩個伺服器之間的連線，通常比客戶端連線快得多。您可以在高頻寬伺服器要求其他高頻寬伺服器提供資源的情況下應用FXP，但只有低頻寬客戶端（如遠端工作的網路管理員）有權訪問兩台伺服器上的資源。

FXP作為FTP協定的擴展，其機制在FTP RFC 959第5.2節中說明。基本上，FXP客戶端發起與FTP伺服器1的控制連線，開啟與FTP伺服器2的另一個控制連線，然後修改伺服器的連線屬性，以便它們相互指向使得直接在兩個伺服器之間發生傳輸。

FXP檔案傳輸機制

以下是流程概述：

1. 客戶端在TCP埠21上開啟與server1的控制連線。
   
   
   • 使用者端將PASV命令傳送到server1。
     
     
   • Server1使用其IP地址和偵聽的埠做出響應。
     
     
2. 客戶端在TCP埠21上開啟與server2的控制連線。
   
   
   • 客戶端通過PORT命令將從server1接收的地址/埠傳遞給server2。
     
     
   • Server2做出響應，以通知客戶端PORT命令成功。Server2現在知道將資料傳送到何處。
     
     
3. 若要開始從server1到server2的傳輸過程：
   
   
   • 客戶端向server2傳送STOR命令，並指示它儲存收到的日期。
     
     
   • 客戶端將RETR命令傳送到server1，並指示其檢索或傳輸檔案。
     
     
4. 現在，所有資料都直接從源傳輸到目標FTP伺服器。兩台伺服器都只向客戶端報告失敗/成功的狀態消息。

連線表的顯示方式如下： 

TCP server2 192.168.1.10:21 client 172.16.1.10:50684, idle 0:00:04, bytes 694,
 flags UIOB
TCP client 172.16.1.10:50685 server1 10.1.1.10:21, idle 0:00:04, bytes 1208,
 flags UIOB

FTP檢查和FXP

僅當在ASA上禁用FTP檢查時，通過FXP通過ASA的文件傳輸才會成功。

當FXP客戶端在FTP PORT命令中指定了與客戶端不同的IP地址和TCP埠時，會出現一種不安全的情況，即攻擊者能夠從第三方FTP伺服器對Internet上的主機進行埠掃描。這是因為已指示FTP伺服器開啟與電腦上埠的連線，該電腦可能不是源客戶端。這稱為FTP退回攻擊,FTP檢查會關閉連線，因為它認為這違反了安全規定。

以下是範例：

%ASA-6-302013: Built inbound TCP connection 24886 for client:172.16.1.10/49187
 (172.16.1.10/49187) to server2:192.168.1.10/21 (192.168.1.10/21)
%ASA-6-302013: Built inbound TCP connection 24889 for client:172.16.1.10/49190
 (172.16.1.10/49190) to server2:192.168.1.10/49159 (192.168.1.10/49159)
%ASA-6-302014: Teardown TCP connection 24889 for client:172.16.1.10/49190 to
 server2:192.168.1.10/49159 duration 0:00:00 bytes 1078 TCP FINs
%ASA-4-406002: FTP port command different address: 172.16.1.10(10.1.1.10) to
 192.168.1.10 on interface client
%ASA-6-302014: Teardown TCP connection 24886 for client:172.16.1.10/49187 to
 server2:192.168.1.10/21 duration 0:00:00 bytes 649 Flow closed by inspection

設定

使用本節中介紹的資訊在ASA上配置FXP。

附註：使用命令查詢工具(僅供已註冊客戶使用)可獲取本節中使用的命令的更多資訊。

網路圖表

 

通過CLI配置ASA

完成以下步驟以配置ASA:

1. 禁用FTP檢測：
   

   FXP-ASA(config)# policy-map global_policy
   FXP-ASA(config-pmap)#  class inspection_default
   FXP-ASA(config-pmap-c)# no inspect ftp 

2. 配置訪問清單以允許FXP客戶端與兩個FTP伺服器之間的通訊：
   

   FXP-ASA(config)#access-list serv1 extended permit ip host 10.1.1.10 any
   FXP-ASA(config)#access-list serv1 extended permit ip any host 10.1.1.10
   FXP-ASA(config)#access-list serv2 extended permit ip host 192.168.1.10 any
   FXP-ASA(config)#access-list serv2 extended permit ip any host 192.168.1.10
   FXP-ASA(config)#access-list client extended permit ip host 172.16.1.10 any
   FXP-ASA(config)#access-list client extended permit ip any host 172.16.1.10

3. 在各自的介面上套用存取清單：
   

   FXP-ASA(config)#access-group serv1 in interface server1
   FXP-ASA(config)#access-group client in interface client
   FXP-ASA(config)#access-group serv2 in interface server2

驗證 

使用本節所述的資訊來驗證您的組態是否正常運作。

檔案傳輸過程

完成以下步驟，確認兩台FTP伺服器之間的檔案傳輸是否成功：

1. 從FXP客戶端電腦連線到server1:
   
   
   
   
2. 從FXP客戶端電腦連線到server2:
   
   
   
   
3. 將要傳輸的檔案從server1視窗拖放到server2視窗：
   
   
   
   
4. 驗證檔案傳輸是否成功：
   
   

疑難排解

本節提供兩種不同情景的擷取，可用於對組態進行疑難排解。

禁用FTP檢測方案

如本檔案的FTP檢查和FXP一節所述，FTP檢查被禁用時，此資料會顯示在ASA客戶端介面上：

   

以下是關於此資料的一些註解：

• 客戶端IP地址為172.16.1.10。
  
  
• Server1的IP地址為10.1.1.10。
  
  
• Server2 IP地址為192.168.1.10。

在本示例中，名為Kiwi_Syslogd.exe的檔案從server1傳輸到server2。

已啟用FTP檢測

啟用FTP檢測時，此資料顯示在ASA客戶端介面上：

以下是ASA丟棄捕獲：

FTP檢查會捨棄PORT請求，因為它包含與使用者端IP位址和連線埠不同的IP位址和連線埠。隨後，通過檢查終止與伺服器的控制連線。