Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống tường lửa ISA từ chối.
Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp trên hệ thống tường lửa ISA không hỗ trợ TLS do đó người dùng cần phải tắt bỏ bộ lọc này cho tất cả các Rule hoặc một số Rule nhất định. Tốt nhất nên tắt bỏ trên một số Rule nhất định để các máy trạm SecureNAT có thể sử dụng giao thức FTP cho quá trình truy cập ngoài. Sau khi tắt bỏ bộ lọc ứng dụng FTP, kết nối FTP trên máy chủ FTP đã được hệ thống tường lửa ISA bảo mật . Tuy nhiên, người dùng cần phải thực hiện thêm một thao tác khi đã bảo mật kết nối FTP đó là bảo mật truyền dữ liệu qua kênh FTP. Phần này sẽ đi sâu vào phương pháp truyền dữ liệu qua liên kết FTP bảo mật.
Sau khi xác thực máy chủ FTP, chúng ta cần phải liệt kê những thư mục và file truyền. Thao tác này được thực hiện qua kệnh dữ liệu thứ cấp.
Như bạn thấy ở trên, quá trình xác thực vẫn được tiến hành nhưng hệ thống vẫn treo lệnh 150 kết nối dữ liệu chế độ Opening Binary, và nếu tiếp tục chờ đợi chúng ta sẽ nhận được một thông báo Time out.
Như đã nói trong phần trước, chúng ta có thể kiểm tra TCP trong 3 packet chứa thông tin kết nối, sau đó quá trình thẩm định quyền FTP sẽ khởi chạy, và ở phía cuối cửa sổ theo dõi bạn sẽ thấy một số packet lưu trữ thông tin kết nối qua kênh dữ liệu.
Kênh dữ liệu FTP là kênh kết nối mở TCP thứ hai. Trong quá trình thẩm định quyền, máy chủ FTP gửi tới máy trạm FTP thông tin về cổng kết nối động thứ cấp cần mở. Sau đó, máy trạm này mở một cổng trên cổng thứ cấp này và thiết lập kết nối dữ liệu. Cần nhớ rằng cổng thứ cấp này là một cổng cao động ngẫu nhiên. Trước khi Windows Vista được tung ra, những cổng cao có thể được lựa chọn trong phạm vi 1024 đến 5000. Nhưng khi Windows Vista được ra mắt thì Microsoft đã thay đổi lựa chọn cổng ngẫu nhiên, đó là lí do tại sao bạn thấy cổng ngẫu nhiên ở đây được đặt là 49198 TCP. Windows Vista và Windows Server 2008 sử dụng loạt cổng động từ 49152 tới 65535.
Mặc định, bộ lọc lớp ứng dụng của hệ thống tường lửa ISA sẽ giám sát cổng ngẫu nhiên này (được sử dụng cho kết nối thứ cấp bởi những cổng mở, động khi máy trạm kết nối tới máy chủ FTP). Tuy nhiên, do chúng ta cần tắt bỏ bộ lọc ứng dụng này để thực hiện lệnh Auth TLS, do đó chúng ta sẽ thay thế bộ lọc ứng dụng FTP trên hệ thống tường lửa ISA bằng một bộ lọc khác.