我们有安装了 IPS 模块的 Cisco ASA 5510 防火墙。
我们有一个客户,我们必须通过 VPN 连接到他们的网络才能通过 FTP 交换文件。我们在本地工作站上使用 Cisco VPN 客户端(版本 5.0.01.0600),这些工作站位于防火墙后面并受 IPS 的约束。
VPN 客户端成功连接到远程站点。然而,当我们开始 FTP 文件传输时,我们只能上传 150K 到 200K 的数据,然后一切都停止了。一分钟后,VPN 会话被丢弃。
我想通过使用以下命令暂时禁用 ASA 上的 IPS 服务策略,我已将此与 IPS 问题隔离:
访问列表 IPS 线路 1 扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 非活动
发出此命令后,我建立了到远程站点的 VPN,并成功传输了整个文件。
在仍然连接到 VPN 和 FTP 会话的同时,我发出了启用 IPS 的命令:
访问列表 IPS 线路 1 扩展许可 ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
再次尝试文件传输并再次成功,因此我关闭了 FTP 会话并重新打开它,同时保持相同的 VPN 会话打开。此文件传输也成功。这告诉我 FTP 程序没有被过滤或导致问题。此外,我们每天使用 FTP 与许多站点交换文件,没有问题。
然后,我断开了原始 VPN 会话的连接,该会话是在访问列表处于非活动状态时建立的,然后重新连接 VPN 会话,现在访问列表处于活动状态。开始 FTP 传输后,文件在 150K 后停止。
对我来说,这似乎是 IPS 被阻止,或者以某种方式干扰了远程站点的初始 VPN 设置。
这仅在上周应用最新的 IPS 签名更新(签名版本 407.0)后才开始发生。我们之前的 sig 版本是 95 天前的,因为系统不会自动更新。
关于可能导致此问题的任何想法?
407签名中没有任何与FTP相关的内容。一般来说,当您遇到此类 FTP 问题(启动然后停止)时,通常与主动 FTP 和被动 FTP 相关。你用的什么ftp客户端?尝试在 FTP 客户端上将其从主动更改为被动,看看是否有帮助。
在主动 FTP 中,您要 FTP 到的位置会在与传入请求不同的端口上启动数据传输……这就是它通常被防火墙阻止的原因。
在被动 FTP 中,您启动到不同端口的数据传输,并且它可以工作,因为大多数防火墙允许所有出站发生。
编辑添加: 签名是累积的。虽然 407 更新没有显示任何与 FTP 相关的内容,但从 95 天前到现在的所有其他更新都可能有一些内容。不过,我不会研究每个更新来为您找到答案;)
由于您对此有其他问题,我还必须问...除了将流量转移到 IPS 模块之外,您是否还在该 5510 上使用默认检查?如果你是的话,你真的不需要。
| 归档时间: |
|
| 查看次数: |
11139 次 |
| 最近记录: |