M2000防火墙策略配置导致FTPS失败

1、防火墙策略配置错误导致ftps失败案例写作：车龙66618【现象描述】d国t局安全开局过程中发现enodeb到m2000间的告警信息，性能文件，数字证书等均 无法正常上下载，即两者间的ftp功能无法正常工作。由于t局点对安全要求非常严格， 所以对于ftp需要采用加密传输方式，il前基站测支持ftps(ftp over ssl)的加密技术。 故从实质上看是enodeb到m2000间的ftps失败。【告警信息】由于ftps不通，告警无法上报【原因分析】前方传输组网图如下，enodeb和m2000间的客户传输设备较多，较复杂对于ftps不通定 位带来了较人的难度。正常的ftps过程如下:m2000一

2、般ftps问题失败的主要原因有如卜儿种可能：1. ftps server配置错误2. ftp client配置的用户名密码错误3. ftp server和ftp client间配置的策略不一致4. 中间传输没有开放ftp通信控制的21端口和数据端口5. 中间传输ftps策略配置问题。【处理过程】1. 通过检查m2000的ftps和关的配置，同时北向ftp功能正常确认ftp server配置正常2. 对于client测的配置而言，基站测只需要配置i2000的ip地址，用户名密码一般采用默认配 置，没有特别配置，核对正常，同时通过近端验证该用户名密码可以正常连接到m2000 server3. ft

3、p sewei和ftp client间配置的策略，由于前期已经和客户沟通采用ftps的加密传 输，同时确认确认客户传输网络防火墙支持ftps必备特性cc功能，确认ftp server 和ftp clientfu配置的策略一致，其屮enodeb是被动自适应模式，而主要在m2000 上设置ftps的加密方式即可。4. 对于ftps功能而言，21端i是控制通道的，数据通道的端ii是任意的（此处己经和客 户协商限定在50000-60000z间），如果是ftp的话町以在防火墙上打开detect ftp,则 就只打开21端口就对以了。如果是ftps,则屮间传输需要开放ftp通信控制的21端口 和数据端口.

4、实际上对于ftps而言，enodeb和m2000需要进行两次ssl）办商，笫一次为协商控制 而的加密，第二次为协商数据而的加密密钥。通过现网的抓包，发现控制而的ssl 协商是成功的，问题出在数据而的ssl协商上，当m2000收到了enodeb发出的数据 面的ssl协商请求，m2000向enb回应了server hello的消息，此后，enb没有响应 该报文，也没冇回ack, m2000又重传了两次，都没有响应，导致办商失败，发起ftps垂新连接，如此循环，这里是一个巫大疑点。82 599933110.& 180.310.79.1733ftp-data ftp data: 178 byt

5、es08 16.151370i0.81803ftpdata ltcp retransmissionftp data:5. 如果是ftp则不管是什么模式，打开21端口和detectftp,就可以了。ftp有主动方式和 被动方式2种，主动方式时，数据通道山服务器发起，因为这是一个新会话，所以需要打开 服务器到客户端的包过滤。被动方式时，数据通道由客户端发起，同样这是一个新会话，所以需要打开从客八端到服务器的包过滤，也即是说被动方式的控制通道和数据通道的方向是 致的（都是从客八端到服务器的发起过程），主动方式则是不一致的（控制通道是从客户 端到服务器，而数据通道是从服务器到客户

6、端的过程），这对于防火墙的端口开放方向是要 求不一样。但是ftps的话，因为是加密的，一般不同的防火墙厂商的相关设置策略 可能不一样。对于我司的防火墙eudemon无法支持自动建立通道，只能将包过滤端 口全部打开，其他厂商的防火墙设备根据口身设宜开放，否则防火墙设置不对可能 导致控制面正常而数据通道建立失败。结合以上分析，目前初步怀疑是防火墙的数据端口开放有问题或者ftps策略配置有 问题。通过一线和局方一同排查防火墙的配置，在将防火墙侧的ftp策略从passive 模式修改为bidirectional后，ftps已经成功。同时确认客户是采用checkpoint公司的 防火墙，在网上查到che

7、ckpoint公司的防火墙策略有如下设计：tcpftp-portftp-port allows only port commands data connections are unidirectional.tcpftp-pasvftp-pasv: allows only pasv commands. data connections are unidirectional.tcpftp-btdtrftp-btdtr: allows both port and pasv commands. data connections are bi-directional (for use in ftp-ssl)可以看到，当仅设置ftp-pasv时，防火墙只允许单向的ftp-data通过，即只允许从enb侧向 ftp server传送报文，而不允许ftp server向enb侧传输报文，从卜'tp server向cnb发的 ftp-data的报文会被拦截。在ftps协商屮，在进彳亍数据面的加密协商时，是需要c 1 i ent