摘要：本文首先介紹了FTP的工作模式以及在不同模式下連接是怎樣建立的，然后分析了訪問控制列表在對FTP服務器進行防護時的局限性，最后介紹Cisco IOS安全技術CBAC并用它來使FTP服務器正常安全的運行。本文以一個簡單的網絡拓撲為例，說明了如何使用CBAC來保護FTP服務器。
關鍵詞：FTP服務器；訪問控制列表；CBAC]
1、引言
FTP服務器是在互聯網中提供存儲空間的計算機，它能實現信息資源的共享。對FTP服務器的安全防護非常重要，在使用訪問控制列表對FTP服務器進行防護時，由于FTP協議的特殊性，我們會看到訪問控制列表的局限性。為了在使用訪問控制列表進行防護的同時不影響FTP服務器的正常運行，需要使用Cisco安全技術CBAC來對FTP服務器進行防護。
2、FTP工作模式
FTP（File Transfer Protocol）是一種專門用來傳輸文件的協議，它對網絡中信息的共享有著很重要的作用。它屬于應用層協議，FTP客戶機可以給服務器發出命令來下載文件，上傳文件，創建或改變服務器上的目錄。FPT是現代網絡中常用的一種協議。
FTP服務一般運行在20和21兩個端口。端口20用于在客戶端和服務器之間傳輸數據流，而21端口用于傳輸控制流。FTP有兩種工作模式：主動模式和被動模式。具體建立連接的過程如圖1：
在主動模式下，客戶端首先用一個隨機端口2008和服務器的21端口建立連接，告知服務器客戶端要使用2010端口進行數據的傳輸，服務器對此信息進行確認后，服務器就使用   20端口主動和客戶端的2010端口進行數據傳輸。在被動模式下，客戶端首先和服務器的21端口發起連接，詢問服務器要使用哪個端口進行數據的傳輸，服務器對這次連接確認并告知客戶端要使用1490端口傳輸數據，最后客戶端使用一個隨機端口2010和服務器的1490端口進行數據的傳輸。在主動模式下，可以看出服務器傳輸數據流的20端口和傳輸控制流的21端口是確定的，但是客戶端的傳輸控制流的2008端口和傳輸數據流的2010端口都不確定，可以是其他的端口。在被動模式下，只有服務器傳輸控制流的21端口是確定的，服務器傳輸數據流的端口及客戶端傳輸控制流和數據流的端口都是不確定的，是可變的。
3、ACL對FTP服務器防護的局限性
訪問控制列表通過允許和拒絕數據包來對網絡的流量進行控制，能有效的阻止不希望通過的數據包，允許正常訪問的數據包，從而保證網絡的安全性。但是訪問控制列表對于FTP服務器的保護有一定的局限性。
由于FTP服務器有主動模式和被動模式，兩種模式下建立連接的方式不同，所以需要分別討論，圖2為模擬的網絡環境，要求用戶只能訪問192.168.0.1的FTP服務。
在主動模式下，在路由器上配置訪問控制列表，允許任何主機到192.168.0.1的20和21端口的訪問，然后應用到F0/1接口上，就可以實現用戶只能訪問192.168.0.1的FTP服務，不能訪問其他服務。
在被動模式下，使用訪問控制列表時，則遇到了問題。由于被動模式下，FTP服務器傳輸數據流的端口不再是20端口，而是一個不確定的數字，沒有辦法允許數據流的通過，客戶端只能和服務器進行控制信息的交互，而不能和服務器進行數據的上傳和下載操作。這樣，訪問控制列表就不能使FTP服務器正常的工作。
4 、CBAC簡介
CBAC是基于上下文的訪問控制協議，它通過檢查通過的流量來發現TCP和UDP的會話狀態信息，然后使用這些狀態信息來創建臨時通道。CBAC只對指定的協議進行檢查，對于這些協議，只要數據包經過已經配置的接口，那么無論它們從哪個方向通過，都將被檢查，進入的數據包只會在其第一次通過接口的入站ACL時才會被檢查，如果數據包被ACL拒絕，數據包會被簡單的丟掉并且不會被CBAC檢查。
在Cisco路由器上創建ACL是管理員常用的數據過濾和網絡安全防護措施，但是ACL的局限性是非常明顯的，因為它只能檢測到網絡層和傳輸層的數據信息，而對于封裝在IP包中的信息它是無能為力的。因此，ACL并不可靠，需要CBAC的配合，這樣網絡安全性將會極大提升。
4.1、CBAC的主要功能
一、流量過濾。擴展ACL只能過濾3層和4層的流量，RACL能夠過濾5層的流量，而CBAC支持應用層的檢測，即查看某些數據包的內容，如FTP，它能夠分別查看控制連接和數據連接。CBAC甚至能夠檢測HTTP連接中使用的java程序，并過濾它們。
二、流量檢測。CBAC不僅能像RACL那樣檢查返回到網絡的流量，同時還能夠防止TCP SYN洪水攻擊，CBAC能夠檢測客戶端到服務器連接的頻率，如果到達一個限度，就會關閉這些連接，也可用來防止DOS攻擊。
三、入侵檢測。CBAC是一個基于狀態的防火墻機制，它也能夠檢測某些DOS攻擊。提供對于某些SMTPe-mail攻擊的保護，限制某些SMTP命令發送到你內部網絡的e-mail服務器，所有這些攻擊都使CBAC產生日志信息，并且會選擇性的重置TCP連接或者丟棄這些欺騙數據包。
四、一般的告警和審計。CBAC對于檢測到的問題或攻擊能夠產生實時的告警，對于連接請求提供詳細的審計信息。例如，記錄所有的網絡連接請求，包括源和目的的IP地址，連接使用的端口，發送的數據大小，連接開始和結束的時間。
4.2、CBAC的原理
CBAC會追蹤它監視的連接，創建包括每個連接信息的狀態表。這個表和PIX使用的狀態表很相似。CBAC監視TCP，UDP和ICMP的連接并記錄到狀態表，并為返回的流量創建動態ACL條目，這點和RACL很相似，CBAC使用狀態表和動態ACL條目來檢測和防止攻擊。
4.3、CBAC的處理步驟
一、用戶發起一個到外部的連接，如telnet，如果配置了進站ACL，則在CBAC檢測之前先處理進站ACL，接著根據CBAC的檢測規則，CiscoIOS來檢測或忽略這些連接，如果沒有要檢測的連接，則允許數據包的通過。
二、如果有要檢測的連接，Cisco IOS就會比較當前連接和狀態表中的條目：如果條目不存在，則添加一條到狀態表中，否則，重置這個連接的空閑計時器。
三、如果這是一個新條目，則Cisco IOS添加一個動態ACL條目到外部接口的進站方向，允許返回到內部網絡的流量。這個動態ACL不會保存到NVRAM中。在Cisco IOS 12.3（4）T后，出現了一個新的特性叫做：Firewall ACL Bypass（FAB），使用這個特性后，CiscoIOS不會為允許返回的流量創建動態ACL條目，而是直接查看狀態表，看哪些流量允許返回內部網絡，這是通過快速交換進程，如CEF來實現的，從而加快了處理返回的流量的速度。如果在狀態表中沒有發現符合的條目，則繼續進行進站ACL的檢查過程。
4.4、CBAC的配置
步驟一：決定路由器上的哪個接口作為內部接口，哪個接口作為外部接口。
步驟二：創建普通的IPACL列表過濾進入和離開內部網絡的流量，并保證那些要監視的出站流量允許被通過。
步驟三：改變全局的連接超時時間。
步驟四：配置應用程序端口映射PAM。
步驟五：定義CBAC監視規則，定義哪些條目要加入到狀態表，哪些流量被允許返回，如果出站流量不符合監視規則，路由器不會監視這些流量，只把它們當作普通流量處理。
步驟六：在接口上激活監視規則，這樣路由器才會使用CBAC來監視這些流量。
步驟七：發送流量經過CBAC路由器來測試你的配置。
5、CBAC如何對FTP服務器進行防護
在一些網絡環境中，FTP服務器適合使用被動模式，為了在使用訪問控制列表對服務器進行保護的同時又不影響服務的正常運行，就要用思科的IOS安全技術CBAC和訪問控制列表配合起來對服務器共同進行防護。
在這里，仍然以上面圖2的拓撲圖為例來說明CBAC的使用。在路由器上首先配置訪問控制列表：access-list 101 permit tcp any host 192.168.0.1eq21,然后應用到接口F0/1上：ip access-group101in。定義CBAC監視規則：ip inspect name test ftp，定義了一個名為test的規則來對ftp流量進行檢測。在接口F0/1上激活檢測規則：ip inspect test in。此時，當PC1訪問FTP服務器時，流量首先到達路由器，被訪問控制列表允許后，PC1和FTP服務器就可以進行控制信息的交互，同時，CBAC會對這一流量進行檢測，發現他們的控制信息中有FTP服務器將用來傳輸數據的端口號，路由器又允許了到這個端口的數據的訪問，于是，PC1就能和FTP服務器順利的建立連接并進行數據的傳輸。
6、結束語
在實際的網絡環境中，網絡結構會比上面的例子更復雜，這里只是用了一個最簡單的拓撲情況來說明CBAC怎樣來使用，為了保證服務器的安全，還可以改變全局的連接時間，比如完成TCP連接的時間，TCP連接關閉的時間，TCP連接的空閑時間，UDP連接的空閑時間。通過這些時間的配置，也能夠避免服務器被攻擊。