本發明公開一種FTP的應用層報文過濾方法，包括以下步驟：在建立文件傳輸協議FTP的控制通道傳輸控制協議TCP連接時獲取客戶端發送的首個傳輸控制協議同步TCP SYN報文并轉發至FTP服務器；檢測FTP服務器的回復報文是否為同步確認SYN+ACK的TCP報文，如若不是，則作丟棄處理；檢測客戶端的響應報文是否為ACK的TCP報文，如若不是，則作丟棄處理；建立數據流表以記錄并更新FTP狀態。本發明還提供一種FTP的應用層報文過濾裝置。本發明可避免和阻止FTP的應用層攻擊行為，保證FTP業務安全可靠的傳輸。

技術領域

本發明涉及FTP（File Transfer Protocol，文件傳輸協議）業務的ASPF（Application Specific Packet Filter，應用層報文過濾）實現方法，具體涉及基于一種FTP的應用層報文過濾方法及裝置。

背景技術

FTP是TCP/IP（Transmission Control Protocol/Internet Protocol，傳輸控制協議/因特網互聯協議或網絡通訊協議）協議簇中的協議之一，該協議是Internet文件傳送的基礎，它由一系列規格說明文檔組成，目標是提高文件的共享性，使存儲介質對用戶透明和可靠高效地傳送數據。簡單的說，FTP就是完成兩臺計算機之間的拷貝，從遠程計算機拷貝文件至自己的計算機上，稱之為“下載（download）”文件。若將文件從自己計算機中拷貝至遠程計算機上，則稱之為“上載（upload）”文件。在TCP/IP協議中，FTP標準命令TCP端口號為21，Port（主動）方式數據端口為20。FTP采用兩個TCP連接來傳輸一個文件。

控制連接以通常的客戶-服務器方式建立。服務器以被動方式打開眾所周知的用于FTP的端口（21），等待客戶的連接。客戶則以主動方式打開TCP端口21，來建立連接。控制連接始終等待客戶與服務器之間的通信。該連接將命令從客戶傳給服務器，并傳回服務器的應答。由于命令通常是由用戶鍵入的，所以IP對控制連接的服務類型就是“最大限度地減小遲延”。每當一個文件在客戶與服務器之間傳輸時，就創建一個數據連接。由于該連接用于傳輸目的，所以IP對數據連接的服務特點就是“最大限度提高吞吐量”。

隨著計算機技術和網絡技術的普及，網絡安全問題也越來越得到關注，基于FTP的文件安全可靠傳輸變得越來越重要，防火墻作為一種控制FTP文件傳輸的安全機制，已成為FTP安全傳輸的首要選擇。防火墻的目的就是在信任網絡和非信任網絡之間建立一道屏障，并實施相應的安全策略。在網絡中應用防火墻是一種非常有效的網絡安全手段。通常，防火墻的實現技術一般采用包過濾技術。

包過濾技術的核心是定義ACL（Access Control List，訪問控制列表）規則來過濾數據包。對于需要轉發的數據包，包過濾防火墻首先獲取其包頭信息（包括IP層所承載的上層協議的協議號、數據包的源地址、目的地址、源端口和目的端口等），然后與用戶設定的ACL規則進行比較，根據比較的結果對數據包進行處理（允許通過或者丟棄）。

包過濾技術的優點在于它只進行網絡層的過濾，處理速度較快，尤其是在流量中等、配置的ACL規模適中的情況下對設備的性能幾乎沒有影響。而且，包過濾技術的實現對于上層應用以及用戶來講都是透明的，無須在用戶主機上安裝特定的軟件。盡管包過濾技術具有以上優勢，但由于包過濾防火墻僅對網絡層進行檢查和過濾，不對報文的應用層內容進行解析和檢測，因此無法對一些來自于應用層的威脅進行防范，例如FTP應用中用戶登錄攻擊等。

發明內容

本發明的主要目的在于提供一種FTP的應用層報文過濾方法，以解決現有技術中無法對一些來自于應用層的威脅進行防范的技術問題。

為了實現發明目的，本發明提供一種FTP的應用層報文過濾方法，包括以下步驟：

在建立FTP的控制通道TCP連接時獲取客戶端發送的首個TCP SYN報文并轉發至FTP服務器；