FTP同步软件触发安全网关端口防御

■ 四川 赖文书

编者按： 单位出现了分公司的服务器无法与总部FTP服务器连接问题，经过与各部门同事不断沟通，发现是由于FTP同步软件触发安全网关端口防御导致。

软件同事老A突然跑来说分公司的服务器无法与总部FTP服务器传数据，让我们检查网络，他提供的故障涉及源IP是170.220.170.39，目的IP是172.16.115.13。

地址源IP是互联网的地址，目的IP是业务专网边界安全网关的地址，很明显互联网与专网是不通的，应用的同事不了解这些情况，给他解释了具体的网络结构，有问题再联系。

第二天分公司的运维同事小C直接联系到我们，还是反馈昨天的问题，并且提到了分公司到总部FTP服务器刚刚都是通的，一运行他们的FTP脚本就不通了。我们确认了专网边界安全网关安全策略是没有人动过，同时也通过其他途径Telnet测试了总部FTP服务器的21端口映射到安全网关的状态正常。

图1 端口扫描

奇怪了，这边检测完全正常，而对端就是不通，这种情况很容易引发工作上的扯淡推责。从专业的角度分析问题，还需要抓包工具确认对端的IP是否达到了安全网关，因为从分公司到总部还经过了千山万水，因为业务专网是租用电信运营商的MSTP（Multi-Service Transport Platform）专线网络组建的，其中任何一个环节出现异常都会引发故障。

在安全网关的Web管理页面没有找到网络抓包工具，只得开启SSH登录到安全网关系统后台调试。以前从来没用过网御星云的安全网关，登录后台命令行界面也一时半会不知道如何操作。尝试了在Linux系统里的tcpdump命令，真还有该工具。经过研究终于会用tcpdump抓包，让分公司运维同事小C去服务器上ping 172.16.115.13，这边抓包始终找不到对端的IP 170.220.170.39，那就是对端的数据包根本没有到达安全网关。可是对端能正常ping总公司安全网关的IP，为什么抓不到数据包，太蹊跷了。

让对方使用tracert命令跟踪路由，居然也看不到具体路径，好像全被各个网络防火墙节点过滤掉了。这样的测试结果真让我们不敢相信对方ping的IP就是我们安全网关的地址，也就没法进一步推进故障的排查。

这时分公司运维同事小C又说，另一台服务器现在也能TelnetFTP服务器的端口并通过截图为证，但是一执行他们的的FTP脚本端口立刻就不通了。我们再次检查安全网关上的配置发现“应用防护”/“抗扫描”/“设置”项里有个“端口扫描”如图1，其中配置项有个“黑名单”引起大家的注意，会不会对端的网络行为触发了端口扫描，超过阈值被自动加入黑名单。

一番查找在管理页面的“防火墙“/”黑名单“里真才看到了几个IP被关小黑屋了。截图给分公司的同事确认是否有他们相关的IP，根据”黑名单“上的时间对端很快发现有个IP好像他们的业务专网的出口地址，我们将该IP删除让其测试到总公司FTP服务器的端口，又能正常Telnet 172.16.115.13 21。果然是我们安全网关的安全配置引起了对端服务器无法与FTP服务器端口连接，可是为什么他们的FTP同步脚本就触发了抗端口扫描安全策略呢？

图2 Syncovery软件界面

为了进一步排查引发故障的根本原因，是脚本引起的还是对端服务器或者网络确有端口扫描行为？分公司运维同事小C分享了他们的ftp同步脚本模板如下：

#!/bin/bash

#mirror to ftp server

HOST="IP:端口"

USER="用户名"

PASS="密码"

LCD="本地路径"

RCD="远程路径"

lftp -c "set ftp:listoptions -a;

open ftp://$USER:$PASS@$HOST;

lcd $LCD; #切换本地目录

cd $RCD; #切换远端目录

mirror --reverse #反向镜像（上传文件）

--verbose #详细输出

--exclude-glob

a-dir-to-exclude/ #不包括相匹配的文件

--exclude-glob a-file-to-exclude

--excludeglob a-file-groupto-exclude*

--excludeglob other-files-toesclude"

LFTP是一款Unix系统下命令行界面的FTP客户端软件，除FTP外还支持FTPS、HTTP、HTTPS、SFTP、FXP等多种协议。此外，LFTP也内含一个简单的BitTorrent客户端。用户可在互动模式下运行，也可直接使用脚本操作，亦支持多线程下载。

通过分析FTP脚本感觉不应该触发端口抗扫描策略才对啊，一旦建立了FTP连接应该不会再频繁连接21端口。最后沟通发现他们的脚本只是手动同步时才用的，平时都是用Syncovery软件自动进行同步的，简单了解软件的情况，就是一款功能强大的同步软件如图2。也是他们最近才试用的工具，而为实现数据同步的时效性，配置了每1分钟自动同步。对此种情况我们可以将分公司出口IP加入安全网关的白名单，但就失去了安全防御的作用。经反复测试把端口抗扫描策略的阈值从50改到了80才保障同步软件的正常运行，不至于触发安全策略被阻断，初步判断该软件同步文件时有大量的端口连接活动。

此次故障中总结三点：

1.分析网络故障原因必须收集掌握相关信息如源IP、目的 IP、网络拓扑、具体应用和网络安全策略，第一次软件同事老A只反馈有问题，还得我们直接联系分公司运维同事小C才行。

2.在沟通中由于网络运维和系统运维的视角不同，反馈的信息需要甄别对待，比如分公司运维同事小C说的源IP不仅是NAT前内服务器IP，而且还是使用了非私有地址段，让我们误以为其是互联网上的设备。

3.为解决问题需要双方积极配合冷静思考，否则就像第一次软件同事老A报故障的结果仍然没解决问题，作为负责网络管理的我们还需要在沟通中引导软件开发和运维人员提供准确的信息，并且配合相关测试确认，才能提高解决问题的效率。