一种工控防火墙支持FTP穿越NAT的实现方法及系统与流程

一种工控防火墙支持ftp穿越nat的实现方法及系统
技术领域
1.本发明涉及工控安全领域，尤其涉及一种工控防火墙支持ftp穿越nat的实现方法及系统。


背景技术：

2.ftp(file transfer protocol，文件传输协议)是tcp/ip协议组中的协议之一。ftp协议包括两个组成部分，其一为ftp服务器，其二为ftp客户端。其中ftp服务器用来存储文件，用户可以使用ftp客户端通过ftp协议访问位于ftp服务器上的资源。
3.当在专用网内部的一些主机本来已经分配到了本地ip地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用nat(network address translation，网络地址转换)方法。
4.然而传统的nat技术只能对ip层和传输层头部进行处理，对于应用层协议，nat并不能使这些应用透明地完成nat转换，因此在现有的nat环境下ftp功能并不能正常工作。基于此本技术提供一种应用在工控安全领域中实现工控防火墙支持ftp穿越nat的实现方法。


技术实现要素：

5.本发明提供了一种工控防火墙支持ftp穿越nat的实现方法，包括：
6.ftp主动模式下ftp穿越nat的实现方法：
7.设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置nat策略，转换port命令报文中的ip地址，并临时建立匹配port命令报文数据通道的nat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输；
8.ftp被动模式下ftp穿越nat的实现方法：
9.设置ftp被动模式，即ftp服务器被动地等待ftp客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知ftp服务器自身处于被动模式，工控防火墙配置nat策略，转换pasv命令报文中的ip地址，并临时建立匹配pasv命令报文数据通道的nat规则，ftp服务器收到pasv命令后，通知ftp客户端自身的数据端口，ftp客户端连接ftp服务器所通知的数据端口进行数据传输。
10.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，在主动模式下，ftp客户端随机开启一个端口n，向ftp服务器端口发起连接，然后开放n 1号端口进行监听，并向服务器发出port n 1命令；ftp服务器接收到port n 1命令后，用ftp服务器本地的ftp数据端口来连接ftp客户端指定的端口n 1，进行数据传输。
11.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，在主动模式下，ftp客户端经过工控防火墙向ftp服务器发起连接时，工控防火墙具体执行如下子步骤：
12.获取到port命令报文后，解析port命令报文，按照配置的nat策略转换port命令报文中的ip地址；
13.建立一条临时的nat规则，使得port命令协商出的数据通道能够匹配nat规则；
14.根据转换地址后的port命令报文的负载长度变化，调整ftp客户端发送的seq和ftp服务器响应的ack。
15.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，根据转换地址后的port命令报文的负载长度变化，调整ftp客户端发送的seq和ftp服务器响应的ack，具体为：
16.使用哈希桶实现seq表，seq表的内容为seq产生的差值，对报文的五元组作哈希值可以快速查找seq表的位置，具体是从客户端到服务器端如果命中seq表，则重新计算tcp的seq值；
17.使用哈希桶实现ack表，ack表的内容包括存储ack产生的差值以及对应的差值产生的报文位置；对报文的五元组作哈希值可以快速查找ack表的位置，具体是从服务器到客户端如果命中ack表，且如果ack值大于记录的报文位置，则重新计算tcp的ack值。
18.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，如果需要传输多个文件，即先后有多个port命令时，需要对建立的seq和ack表进行更新，具体更新如下：对于seq表，则累加seq差值；对于ack表，则需要累加ack差值以及对应的报文位置，同时保留上一个prot命令产生的ack差值累加值和报文位置，通过判断服务器到客户端命中ack表时，通过判断报文的ack值区间范围来计算tcp的ack值。
19.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，在被动模式下，ftp客户端随机开启一个端口n向ftp服务器端口发起连接，同时会开启n 1号端口，然后向ftp服务器发送pasv命令，通知ftp服务器自己处于被动模式；ftp服务器收到命令后，会开放一个端口p进行监听，然后通过响应通知ftp客户端自己的数据端口是p；ftp客户端收到命令后，会通过n 1号端口连接服务器的端口p，然后在两个端口之间进行数据传输。
20.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，所述方法应用于从内部私网ftp客户端访问互联网ftp服务器的场景，具体包括：
21.ftp主动模式下ftp穿越snat的实现方法：
22.设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置snat策略，按照配置的snat策略将port命令中访问外网的私网源ip地址转换为公网ip地址，并临时建立匹配port命令报文数据通道的dnat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输；
23.ftp被动模式下ftp穿越snat的实现方法：
24.设置ftp被动模式，即ftp服务器被动地等待ftp客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知ftp服务器自身处于被动模式，工控防火墙配置snat策略，按照配置的snat策略将pasv命令中访问外网的私网源ip地址转换为公网ip地址，并临时建立匹配pasv命令报文数据通道的snat规则，ftp服务器收到pasv命令后，通知ftp客户端自身的数据端口，ftp客户端连接ftp服务器所通知的数据端口进行数据传输。
25.如上所述的工控防火墙支持ftp穿越nat的实现方法，其中，所述方法应用于从互利网ftp客户端访问内部私网的ftp服务器的场景，具体包括：
26.ftp主动模式下ftp穿越dnat的实现方法：
27.设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置dnat策略，按照配置的dnat策略将port命令中访问内网的公网ip地址转换为私网源ip地址，并临时建立匹配port命令报文数据通道的dnat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输；
28.ftp被动模式下ftp穿越dnat的实现方法：
29.设置ftp被动模式，即ftp服务器被动地等待ftp客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知ftp服务器自身处于被动模式，工控防火墙配置dnat策略，按照配置的dnat策略将pasv命令中访问内网的公网ip地址转换为私网源ip地址，并临时建立匹配pasv命令报文数据通道的snat规则，ftp服务器收到pasv命令后，通知ftp客户端自身的数据端口，ftp客户端连接ftp服务器所通知的数据端口进行数据传输。
30.本技术还提供一种工控安全系统，其特征在于，包括ftp客户端、工控防火墙和ftp服务器；所述工控安全系统执行上述任一项所述的工控防火墙支持ftp穿越nat的实现方法。
31.本技术还提供一种计算机可读存储介质，其特征在于，包括至少一个存储器和至少一个处理器；
32.存储器用于存储一个或多个程序指令；
33.处理器，用于运行一个或多个程序指令，用以执行上述任一项所述的一种工控防火墙支持ftp穿越nat的实现方法。
34.本发明实现的有益效果如下：采用本技术技术方案，扩展了nat的应该场景，使得nat可支持ftp等含有动态端口的协议，从而实现ftp穿越nat而不被中断，达到成功传输文件的目的，同时对类似在应用层协议数据报文中包含地址信息的协议穿越nat提供了一种通用方法。
附图说明
35.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
36.图1是本技术实施例一提供一种工控防火墙支持ftp穿越nat的实现方法流程图；
37.图2是主动模式下的工控安全系统连接示意图；
38.图3是主动模式下工控防火墙的执行流程图；
39.图4展示了ftp主动模式穿越snat的具体实现流程；
40.图5是被动模式下的工控安全系统连接示意图；
41.图6展示了ftp被动模式穿越snat的具体实现流程。
具体实施方式
42.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整
地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.实施例一
44.如图1所示，本技术实施例一提供一种工控防火墙支持ftp穿越nat的实现方法，包括ftp主动模式下ftp穿越nat的实现方法和ftp被动模式下ftp穿越nat的实现方法(ftp：file transfer protocol，文件传输协议，是tcp/ip协议组中的协议之一)：
45.ftp主动模式下ftp穿越nat的实现方法：
46.设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置nat策略，转换port命令报文中的ip地址，并临时建立匹配port命令报文数据通道的nat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输；
47.ftp被动模式下ftp穿越nat的实现方法：
48.设置ftp被动模式，即ftp服务器被动地等待ftp客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知ftp服务器自身处于被动模式，工控防火墙配置nat策略，转换pasv命令报文中的ip地址，并临时建立匹配pasv命令报文数据通道的nat规则，ftp服务器收到pasv命令后，通知ftp客户端自身的数据端口，ftp客户端连接ftp服务器所通知的数据端口进行数据传输。
49.以下为ftp穿越snat(源nat，即修改报文的源地址，场景是从内部私网访问互联网)的实现方案，包括ftp主动模式下ftp穿越snat的实现方法和ftp被动模式下ftp穿越snat的实现方法：
50.①
ftp主动模式下ftp穿越snat的实现方法：
51.ftp客户端设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置snat策略，转换port命令报文中的源ip地址，并临时建立匹配port命令报文数据通道的dnat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输。
52.具体地，在主动模式下，ftp客户端随机开启一个端口n，向ftp服务器端口发起连接，然后开放n 1号端口进行监听，并向服务器发出port n 1命令；ftp服务器接收到port n 1命令后，用ftp服务器本地的ftp数据端口来连接ftp客户端指定的端口n 1，进行数据传输。例如，如图2所示，ftp客户端随机开启一个大于1024的非特权端口n，经过工控防火墙向ftp服务器的21号端口发起连接，然后ftp客户端开放非特权n 1号端口进行监听，并经过工控防火墙向服务器发出port n 1命令后，用ftp服务器本地的ftp数据端口(比如20号端口)来连接ftp客户端指定的端口n 1，进行数据传输。
53.port命令报文格式如下：
54.transmission control protocol,src potr:60866,dst port:21,seq:1146165981,ack:564595939,len:27
55.file transfer protocol(ftp)
56.ꢀꢀꢀꢀ
port 17,17,17,106,237,213\r/n
57.ꢀꢀꢀꢀꢀꢀꢀ
request command:port
58.request arg:17,17,17,106,237,213
59.active ip address:17.17.17.106
60.active port:60885
61.如图3所示，ftp客户端经过工控防火墙向ftp服务器发起连接时，工控防火墙具体执行如下子步骤：
62.步骤310、工控防火墙获取到port命令报文后，解析port命令报文，按照配置的snat策略将访问外网的私网源ip地址转换为公网ip地址；
63.具体地，工控防火墙按照snat策略将port命令中的私网ip地址17.17.17.106转换为对外公网ip地址172.168.111.106；由于ip地址的变化会导致报文负载长度的变化，因此需要重新计算报文的ip头部和tcp头部的长度和校验和。
64.步骤320、工控防火墙建立一条临时的dnat规则，使得port命令协商出的数据通道能够匹配snat规则；
65.nat(net address trancelate)规则具体包括snat(source network address translation，源网络地址转换)规则和dnat(destination network address translation，目标地址转换)规则。其中snat规则具体为：内部地址要访问公网上的服务时，内部地址会主动发起连接，将内部地址转换为公网ip，该地址转换操作即为snat规则；dnat规则具体为：内部需要对外提供服务时，外部主动发起连接，路由器或者防火墙的网络接收到这个连接，然后将连接转换到内部，此过程是由带公网ip的网关代替内部服务来接收外部的连接，然后在内部做地址转换，主要用于内部服务对外发布。
66.步骤330、工控防火墙根据转换地址后的port命令报文的负载长度变化，调整客户端发送的seq和服务器响应的ack；
67.由于port命令报文的负载长度在转换地址后可能发生变化，比如从17.17.17.106改变为172.168.111.106，增加了3个字节，而ftp服务器响应的是转换后的地址，所以在ftp客户端与ftp服务器之间的tcp会话中ack会比ftp客户端预期的多3，当ack要从ftp服务器达到ftp客户端时经过工控防火墙，工控防火墙中配置的nat要把ack减掉3，由于ack减少了，所以ftp客户端发送的tcp会话中的seq对应的就是这个减少了的ack，因此针对客户端发送出去的seq，工控防火墙中配置的nat需要加上3。后续在ftp客户端与ftp服务器之间连接时，工控防火墙中配置的nat会一直对该tcp会话重复上述过程。
68.在工控防火墙中针对seq和ack的变化建立如下两个表：
69.(1)使用哈希桶实现seq表，seq表的内容就是seq产生的差值，例如上述示例中的差值为3；对报文的五元组作哈希值可以快速查找seq表的位置，具体是从客户端到服务器端如果命中seq表，则重新计算tcp的seq值。
70.(2)使用哈希桶实现ack表，ack表的内容需要存储ack产生的差值以及对应的差值产生的报文位置；对报文的五元组作哈希值可以快速查找ack表的位置，具体是从服务器到客户端如果命中ack表，且如果ack值大于记录的报文位置，则重新计算tcp的ack值。
71.另外，本技术实施例中，如果需要传输多个文件，即先后有多个port命令时，需要对建立的seq和ack表进行更新，具体更新如下：
72.(1)对于seq表，需要累加seq差值即可。
73.(2)对于ack表，需要累加ack差值以及对应的报文位置，同时保留上一个prot命令
产生的ack差值累加值和报文位置，通过判断服务器到客户端命中ack表时，通过判断报文的ack值区间范围来计算tcp的ack值。
74.图4展示了ftp主动模式穿越snat的具体实现流程，在ftp客户端与ftp服务器之间建立ftp控制流会话时，工控防火墙命中snat规则，判断ftp客户端向ftp服务器发送的命令是否为port命令报文：
75.如果是port命令报文，则建立一条临时的dnat规则，让port命令协商出的数据通道可以匹配snat规则，解析port命令报文，按照配置的snat规则将访问外网的私网源ip地址转换为公网ip地址，然后再进行报文的转发；
76.如果是上行报文，则修改ack值，并创建或修改seq表；
77.如果是下行报文，则修改seq表。
78.②
ftp被动模式下ftp穿越nat的实现方法：
79.ftp客户端设置ftp被动模式，即服务器被动地等待客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知服务器自身处于被动模式，工控防火墙配置snat策略，转换pasv命令报文中的源ip地址，并临时建立匹配pasv命令报文数据通道的snat规则，ftp服务器收到pasv命令后，通知客户端自身的数据端口，客户端连接服务器所通知的数据端口进行数据传输。
80.具体地，在被动模式下，ftp客户端随机开启一个端口n向ftp服务器端口发起连接，同时会开启n 1号端口，然后向ftp服务器发送pasv命令，通知ftp服务器自己处于被动模式；ftp服务器收到命令后，会开放一个端口p进行监听，然后通过响应通知ftp客户端自己的数据端口是p；ftp客户端收到命令后，会通过n 1号端口连接服务器的端口p，然后在两个端口之间进行数据传输。例如，如图5所示，ftp客户端随机开启一个大于1024的端口n向ftp服务器的21号端口发起连接，同时会开启n 1号端口，然后向ftp服务器发送pasv命令，通知ftp服务器自己处于被动模式；ftp服务器收到命令后，会开放一个端口p进行监听，然后通过响应通知ftp客户端自己的数据端口是p；ftp客户端收到命令后，会通过n 1号端口连接服务器的端口p，然后在两个端口之间进行数据传输。
81.在被动模式下，工控防火墙需要建立一条临时的snat规则，让pasv命令协商出的数据通道可以匹配nat规则，但因为pasv的响应命令包含的公网的地址所以不需要修改pasv响应命令，因此不需要建立seq表和ack表。
82.图6展示了ftp被动模式穿越snat的具体实现流程，在ftp客户端与ftp服务器之间建立ftp控制流会话时，ftp客户端向ftp服务器发送pasv命令报文，工控防火墙命中snat规则，并在工控防火墙中建立一条临时的snat规则，让pasv命令协商出的数据通道可以匹配snat规则，解析pasv命令报文，按照配置的snat规则将访问外网的私网源ip地址转换为公网ip地址，然后再进行报文的转发；
83.需要说明的是，本技术以上是以ftp穿越snat(目的nat，即修改报文的目的地址，场景是从互利网访问内部私网的服务器)的方案为例进行详细描述，对于ftp穿越dnat的实现方案与上述ftp穿越snat的实现方案类似，具体包括：
84.ftp主动模式下ftp穿越dnat的实现方法：
85.设置ftp主动模式，即ftp服务器主动连接ftp客户端的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送port命令，工控防火墙配置dnat策略，按
照配置的dnat策略将port命令中访问内网的公网ip地址转换为私网源ip地址，并临时建立匹配port命令报文数据通道的dnat规则，ftp服务器连接ftp客户端指定的端口，进行数据传输；
86.ftp被动模式下ftp穿越dnat的实现方法：
87.设置ftp被动模式，即ftp服务器被动地等待ftp客户端连接自己的数据端口，ftp客户端经工控防火墙向ftp服务器发起连接，向ftp服务器发送pasv命令通知ftp服务器自身处于被动模式，工控防火墙配置dnat策略，按照配置的dnat策略将pasv命令中访问内网的公网ip地址转换为私网源ip地址，并临时建立匹配pasv命令报文数据通道的snat规则，ftp服务器收到pasv命令后，通知ftp客户端自身的数据端口，ftp客户端连接ftp服务器所通知的数据端口进行数据传输。
88.通过本技术所提供的工控防火墙支持ftp穿越nat的实现方法：在主动模式下，ftp客户端ip为17.17.17.106，工控防火墙将访问外网的源ip从17.17.17.106转换为117.132.11.1，ftp服务器ip地址为117.132.11.23，ftp客户端向服务器发起连接，可以成功下载上传文件，通过wireshark抓包分析看，ftp服务器看到的客户端ip已成功转换为117.132.11.1，port命令携带的私网ip地址也成功修改为117.132.11.1的地址。同样地，在被动模式下，ftp客户端重新连接ftp服务器，可以成功下载上传文件，抓包分析snat策略同样生效。
89.本技术实施例还提供一种工控安全系统，包括ftp客户端、工控防火墙和ftp服务器；所述工控安全系统执行一种工控防火墙支持ftp穿越nat的实现方法。
90.与上述实施例对应的，本发明实施例提供一种计算机存储介质，包括：至少一个存储器和至少一个处理器；
91.存储器用于存储一个或多个程序指令；
92.处理器，用于运行一个或多个程序指令，用以执行一种工控防火墙支持ftp穿越nat的实现方法。
93.与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种工控防火墙支持ftp穿越nat的实现方法。
94.本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的一种工控防火墙支持ftp穿越nat的实现方法。
95.在本发明实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(fieldprogrammable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
96.可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储
器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。
97.存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。
98.其中，非易失性存储器可以是只读存储器(read
‑
only memory，简称rom)、可编程只读存储器(programmable rom，简称prom)、可擦除可编程只读存储器(erasable prom，简称eprom)、电可擦除可编程只读存储器(electrically eprom，简称eeprom)或闪存。
99.易失性存储器可以是随机存取存储器(random access memory，简称ram)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(static ram，简称sram)、动态随机存取存储器(dynamic ram，简称dram)、同步动态随机存取存储器(synchronous dram，简称sdram)、双倍数据速率同步动态随机存取存储器(double data ratesdram，简称ddrsdram)、增强型同步动态随机存取存储器(enhancedsdram，简称esdram)、同步连接动态随机存取存储器(synchlink dram，简称sldram)和直接内存总线随机存取存储器(directrambus ram，简称drram)。
100.本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
101.本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
102.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。