因海车k专 FTP文件传输协议 105人 命令通道:21端口 client ftp server 数据通道:20端口 5151 5150 21 20 PORT 5151 OK 建立数据通道 OK 2022/10/9 现代密码学理论与实践-20 17/63
2022/10/9 现代密码学理论与实践-20 17/63 FTP文件传输协议 client ftp server 命令通道:21端口 数据通道:20端口 5151 5150 21 20 PORT 5151 OK 建立数据通道 OK
车 FTP文件传输协议(续) 150人 命令通道:21端口 client server 数据通道:>1023 5151 5150 21 20 PASV 3267 0K3267 建立数据通道 OK 西金 2022/10/9 现代密码学理论与实践-20 18/63
2022/10/9 现代密码学理论与实践-20 18/63 FTP文件传输协议(续) 5151 5150 21 20 PASV OK3267 建立数据通道 OK 3267 client ftp server 命令通道:21端口 数据通道:>1023
我全 15 针对FTP的包过滤规则注意事项 。建立一组复杂的规则集 。是否允许正常模式的ftp数据通道 ●有些ftp client不支持pasv模式 动态监视ftp通道发出的pot命令 。有一些动态包过滤防火墙可以做到 。启示 。包过滤防火墙比较适合于单连接的服务(比如 smtp,pop3),不适合于多连接的服务(比如ftp) 2022/10/9 现代密码学理论与实践-20 19/63
2022/10/9 现代密码学理论与实践-20 19/63 针对FTP的包过滤规则注意事项 ⚫ 建立一组复杂的规则集 ⚫ 是否允许正常模式的ftp数据通道 ⚫ 有些ftp client不支持pasv模式 ⚫ 动态监视ftp通道发出的port命令 ⚫ 有一些动态包过滤防火墙可以做到 ⚫ 启示 ⚫ 包过滤防火墙比较适合于单连接的服务(比如 smtp, pop3),不适合于多连接的服务(比如ftp)
分组过滤的例子 。冷K Table 20.1 Packet-Filtering Examples action ourhost port theirhost port comment A block SPIGOT we don't trust these people allow OUR-GW 25 connection to our SMTP port action ourhost port theirhost port comment B block 米 default action ourhost port theirhost port comment allow 米 米 25 connection to their SMTP port action sre port dest port flags comment D allow four hosts} 25 our packets to their SMTP port allow 25 米 ACK their replies action src port dest port flags comment E allow four hosts} our outgoing calls allow 米 米 ACK replies to our calls allow 米 >1024 traffic to nonservers 2022/10/9 现代密妈学理论与买线-20 20/63
2022/10/9 现代密码学理论与实践-20 20/63 分组过滤的例子
海冷不 15 包过滤器防火墙的缺点 包过滤防火墙不检查上层数据,无法防范利用特 定应用漏洞的攻击 ·可用信息有限,提供的日志功能也十分有限 ● 不支持高级用户认证方案 易受TCPP协议栈漏洞攻击,如IP地址欺骗 ·对由于不恰当设置引起的安全威肋防范有限 2022/10/9 现代密码学理论与实践-20 21/63
2022/10/9 现代密码学理论与实践-20 21/63 包过滤器防火墙的缺点 ⚫ 包过滤防火墙不检查上层数据,无法防范利用特 定应用漏洞的攻击 ⚫ 可用信息有限,提供的日志功能也十分有限 ⚫ 不支持高级用户认证方案 ⚫ 易受TCP/IP协议栈漏洞攻击,如IP地址欺骗 ⚫ 对由于不恰当设置引起的安全威胁防范有限