Ftp的应用层报文过滤方法及装置制造方法

Ftp的应用层报文过滤方法及装置制造方法
【专利摘要】本发明公开一种FTP的应用层报文过滤方法，包括以下步骤：在建立文件传输协议FTP的控制通道传输控制协议TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器；检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文，如若不是，则作丢弃处理；检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；建立数据流表以记录并更新FTP状态。本发明还提供一种FTP的应用层报文过滤装置。本发明可避免和阻止FTP的应用层攻击行为，保证FTP业务安全可靠的传输。
【专利说明】FTP的应用层报文过滤方法及装置

【技术领域】
[0001]本发明涉及FTP (File Transfer Protocol,文件传输协议)业务的ASPF(Applicat1n Specific Packet Filter,应用层报文过滤)实现方法,具体涉及基于一种FTP的应用层报文过滤方法及装置。

【背景技术】
[0002]FTP 是 TCP/IP (Transmiss1n Control Protocol/Internet Protocol,传输控制协议/因特网互联协议或网络通讯协议)协议簇中的协议之一，该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性，使存储介质对用户透明和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载(download)”文件。若将文件从自己计算机中拷贝至远程计算机上，则称之为“上载(upload)”文件。在TCP/IP协议中，FTP标准命令TCP端口号为21，Port (主动)方式数据端口为20。FTP采用两个TCP连接来传输一个文件。
[0003]控制连接以通常的客户-服务器方式建立。服务器以被动方式打开众所周知的用于FTP的端口(21)，等待客户的连接。客户则以主动方式打开TCP端口 21，来建立连接。控制连接始终等待客户与服务器之间的通信。该连接将命令从客户传给服务器，并传回服务器的应答。由于命令通常是由用户键入的，所以IP对控制连接的服务类型就是“最大限度地减小迟延”。每当一个文件在客户与服务器之间传输时，就创建一个数据连接。由于该连接用于传输目的，所以IP对数据连接的服务特点就是“最大限度提高吞吐量”。
[0004]随着计算机技术和网络技术的普及，网络安全问题也越来越得到关注，基于FTP的文件安全可靠传输变得越来越重要，防火墙作为一种控制FTP文件传输的安全机制，已成为FTP安全传输的首要选择。防火墙的目的就是在信任网络和非信任网络之间建立一道屏障，并实施相应的安全策略。在网络中应用防火墙是一种非常有效的网络安全手段。通常，防火墙的实现技术一般采用包过滤技术。
[0005]包过滤技术的核心是定义ACL (Access Control List,访问控制列表)规则来过滤数据包。对于需要转发的数据包，包过滤防火墙首先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等)，然后与用户设定的ACL规则进行比较，根据比较的结果对数据包进行处理(允许通过或者丢弃)。
[0006]包过滤技术的优点在于它只进行网络层的过滤，处理速度较快，尤其是在流量中等、配置的ACL规模适中的情况下对设备的性能几乎没有影响。而且，包过滤技术的实现对于上层应用以及用户来讲都是透明的，无须在用户主机上安装特定的软件。尽管包过滤技术具有以上优势，但由于包过滤防火墙仅对网络层进行检查和过滤，不对报文的应用层内容进行解析和检测，因此无法对一些来自于应用层的威胁进行防范，例如FTP应用中用户登录攻击等。


【发明内容】

[0007]本发明的主要目的在于提供一种FTP的应用层报文过滤方法，以解决现有技术中无法对一些来自于应用层的威胁进行防范的技术问题。
[0008]为了实现发明目的，本发明提供一种FTP的应用层报文过滤方法，包括以下步骤:
[0009]在建立FTP的控制通道TCP连接时获取客户端发送的首个TCP SYN报文并转发至FTP服务器；
[0010]检测FTP服务器的回复报文是否为SYN+ACK的TCP报文，如若不是，则作丢弃处理；
[0011]检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；
[0012]建立数据流表以记录并更新FTP状态。
[0013]优选地，在执行所有步骤之后还包括以下步骤:
[0014]当FTP状态为TCP连接建立成功时，要求客户端向FTP服务器发送用户名；
[0015]在接收到客户端发送的用户名之后，通知所述FTP状态记录单元更新FTP状态为USER已发送，并要求客户端向FTP服务器发送密码，等待服务器端确认报文并解析登录是否成功；
[0016]当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
[0017]优选地，上述方法还包括以下步骤:
[0018]解析FTP控制通道中PORT命令报文内容，获取数据通道的IP和端口 ；
[0019]根据数据通道的IP和端口建立动态的数据通道通过规则，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
[0020]优选地，上述方法还包括以下步骤:
[0021]解析PASV命令及其响应报文内容，获取数据通道的IP和端口号；
[0022]根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
[0023]优选地，上述方法还包括以下步骤:对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。
[0024]本发明还提供一种FTP的应用层报文过滤装置，包括TCP三次握手检测单元和FTP状态记录单元，所述TCP三次握手检测单元用于:
[0025]在建立FTP的控制通道TCP连接时获取客户端发送的首个TCP SYN报文并转发至FTP服务器；
[0026]检测FTP服务器的回复报文是否为SYN+ACK的TCP报文，如若不是，则作丢弃处理；
[0027]检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；
[0028]所述FTP状态记录单元用于建立数据流表以记录并更新FTP状态。
[0029]优选地，上述FTP的应用层报文过滤装置还包括:
[0030]用户名处理单元，用于当FTP状态为TCP连接建立成功时，要求客户端向FTP服务器发送用户名；
[0031]密码处理单元，用于在接收到客户端发送的用户名之后，通知所述FTP状态记录单元更新FTP状态为USER已发送，并要求客户端向FTP服务器发送密码，等待服务器端确认报文并解析登录是否成功；
[0032]所述FTP状态记录单元进一步用于当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
[0033]优选地，上述FTP的应用层报文过滤装置还包括:
[0034]解析单元，用于解析FTP控制通道中PORT命令报文内容，获取数据通道的IP和端Π ；
[0035]过滤规则建立单元，用于根据数据通道的IP和端口建立动态的数据通道通过规贝U，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
[0036]优选地，所述解析单元进一步用于:
[0037]解析PASV命令及其响应报文内容，获取数据通道的IP和端口号；
[0038]所述过滤规则建立单元进一步用于:
[0039]根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
[0040]优选地，上述FTP的应用层报文过滤装置还包括数据通道监控单元，用于对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。
[0041]本发明通过对FTP的TCP报文进行跟踪检测，监控控制通道和数据通道建立满足TCP三次握手协议；通过对FTP控制通道中客户端和服务器端登录交互进行检测和控制，实现对攻击报文和不满足登录交互协议报文的过滤；通过解析PORT命令报文和PASV命令及其响应报文，获取数据通道选用的IP和端口号，动态添加数据通道过滤规则，允许符合条件的数据通道传输报文。通过上述方法，全方位实现了对FTP业务的跟踪、检测、过滤和监控，避免和阻止了 FTP的应用层攻击行为，保证了 FTP业务安全可靠的传输。

【专利附图】

【附图说明】
[0042]图1为本发明一实施例中FTP的应用层报文过滤方法流程图；
[0043]图2为图1所示FTP的应用层报文过滤方法的信令交互流程示意图；
[0044]图3为本发明一实施例中FTP的应用层报文过滤方法流程图；
[0045]图4为图3所示FTP的应用层报文过滤方法的信令交互流程示意图；
[0046]图5为本发明一实施例中FTP的应用层报文过滤方法流程图；
[0047]图6为图5所示FTP的应用层报文过滤方法的信令交互流程示意图；
[0048]图7为本发明一实施例中FTP的应用层报文过滤装置的结构示意图；
[0049]图8为本发明另一实施例中FTP的应用层报文过滤装置的结构示意图；
[0050]图9为本发明又一实施例中FTP的应用层报文过滤装置的结构示意图。
[0051]本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

【具体实施方式】
[0052]应当理解，此处所描述的具体实施例仅仅用于解释本发明，并不用于限定本发明。
[0053]本发明提供一种FTP的应用层报文过滤方法，参照图1所示，本发明一实施例中，该方法包括以下步骤:
[0054]步骤S10，在建立FTP的控制通道TCP连接时获取客户端发送的首个TCPSYN报文并转发至FTP服务器；
[0055]步骤S20，检测FTP服务器的回复报文是否为SYN+ACK的TCP报文，如若不是，则作丢弃处理；若是，则转发至客户端；
[0056]步骤S30，检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；若是，则转发至FTP服务器；
[0057]步骤S40，建立数据流表以记录并更新FTP状态。
[0058]具体的，请参照图2所示，本发明实施例中，在FTP控制通道建立过程中，当客户端I向FTP服务器2发送首个TCP SYN数据包时，FTP的应用层报文过滤装置3建立数据流表，记录数据流表状态，将TCP SYN数据包转发到FTP服务器2。FTP的应用层报文过滤装置3如果检测到FTP服务器2响应的非TCP SYN+ACK数据包或者来自其它地址的TCP数据包，则将其丢弃；如果FTP服务器2响应的是TCP SYN+ACK数据包，则将其转发至客户端1，FTP的应用层报文过滤装置3更新数据流表状态。FTP的应用层报文过滤装置3检测客户端I的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；如果是，则将其转发到FTP服务器2，FTP的应用层报文过滤装置3更新数据流表状态(例如更新为TCP_EST，表示FTP状态为TCP连接建立成功)。
[0059]众所周知，FTP报文属于TCP报文，TCP报文通过三次握手才能建立TCP连接，从而用该连接传输数据。本发明实施例在FTP控制通道建立过程中，根据TCP三次握手协议，对三次握手过程中的FTP报文检测TCP合法性，利用数据流表跟踪和记录检测过程中FTP的TCP连接所处状态，过滤掉那些不符合TCP协议交互的非法报文，从而实现FTP非法报文的过滤,达到FTP的应用层报文过滤的目的。
[0060]参照图3所示，本发明一实施例中，上述方法还包括以下步骤:
[0061]步骤S50，当FTP状态为TCP连接建立成功时，要求客户端向FTP服务器发送用户名；
[0062]步骤S60，在接收到客户端发送的用户名之后，通知所述FTP状态记录单元更新FTP状态为USER已发送，并要求客户端向FTP服务器发送密码，等待服务器端确认报文并解析登录是否成功；
[0063]步骤S70，当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
[0064]具体的，参照图4所示，本发明实施例中，FTP的控制通道TCP连接建立后，记录该连接FTP状态为TCP连接建立成功，此时，客户端I和服务器2之间的控制通道并没有完全建立起来，FTP服务器2需要验证用户合法性，FTP服务器2要求客户输入用户名和密码进行验证。在客户端I登录FTP服务器2的过程中记录并维护该FTP控制通道所处的连接状态。当FTP状态为TCP连接建立成功时，FTP的应用层报文过滤装置3只允许客户端I向FTP服务器2发送用户名；在客户端I发送用户名之后，FTP的应用层报文过滤装置3通知所述FTP状态记录单元更新FTP状态为USER已发送，此时FTP的应用层报文过滤装置3只允许客户端I向FTP服务器2发送密码；当用户登录成功后，FTP的应用层报文过滤装置3记录FTP状态为控制通道建立成功，对于登录失败的用户，FTP的应用层报文过滤装置3更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。本发明实施例中，FTP连接过程中所有不符合FTP协议交互过程的报文都被拒绝，防止外部恶意用户对服务器资源的占用以及攻击。
[0065]参照图5所示，本发明一实施例中，上述方法还可包括以下步骤:
[0066]步骤S80，解析FTP控制通道中PORT命令报文内容，获取数据通道的IP和端口 ；
[0067]步骤S90，根据数据通道的IP和端口建立动态的数据通道通过规则，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
[0068]本发明实施例中，数据通道通过规则即数据包的动态过滤规则。具体的，参照图6所示，当客户端I向FTP服务器2发送USER和PASS命令报文，提供正确的用户名和密码，成功登录FTP服务器2后，FTP控制通道正式建立，FTP的应用层报文过滤装置3更新FTP状态为控制通道建立成功。当客户端I向FTP服务器2发送PORT报文协商数据通道后，FTP的应用层报文过滤装置3解析PORT报文中数据通道的信息，FTP的应用层报文过滤装置3建立动态的数据通道通过规则，允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除该动态的数据通道通过规贝U。本发明实施例中，动态的数据通道通过规则可以为ACL或者其他对不合法数据包进行过滤的过滤规则。
[0069]应当说明的是，本发明前述实施例所描述的实施例是PORT方式所适用的情形，对于PASV模式，本发明同样适用。本发明一实施例中，上述方法还可包括以下步骤:
[0070]解析PASV命令及其响应报文内容，获取数据通道的IP和端口号；
[0071]根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
[0072]本发明实施例中，上述方法还可包括以下步骤:对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。本发明实施例中，数据通道监控单元70对数据通道的TCP报文进行三次握手检测的过程与前述控制通道建立过程中三次握手检测的过程基本相同。本发明实施例对数据通道同样检测TCP三次握手交互的合法性，从而保护了数据传输的正确性和合法性，进一步达到FTP的应用层报文过滤目的。
[0073]本发明还提供一种FTP的应用层报文过滤装置，参照图7，图7为本发明一实施例中FTP的应用层报文过滤装置的结构示意图，本实施例中，FTP的应用层报文过滤装置3包括TCP三次握手检测单元10和FTP状态记录单元20，其中，TCP三次握手检测单元10用于:
[0074]在建立FTP的控制通道TCP连接时获取客户端I发送的首个TCP SYN报文并转发至FTP服务器2 ；
[0075]检测FTP服务器2的回复报文是否为SYN+ACK的TCP报文，如若不是，则作丢弃处理；若是，则转发至客户端I;
[0076]检测客户端I的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；若是，则转发至FTP服务器2 ；
[0077]FTP状态记录单元20用于建立数据流表以记录并更新FTP状态。
[0078]具体的，本发明实施例中，在FTP控制通道建立过程中，当客户端I向FTP服务器2发送首个TCP SYN数据包时，FTP状态记录单元20建立数据流表，记录数据流表状态，报文转发单元10将TCP SYN数据包转发到FTP服务器2。TCP三次握手检测单元10如果检测到FTP服务器2响应的非TCPSYN+ACK数据包或者来自其它地址的TCP数据包，则将其丢弃；如果FTP服务器2响应的是TCP SYN+ACK数据包，则将其转发至客户端1，FTP状态记录单元20更新数据流表状态。TCP三次握手检测单元10检测客户端I的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理；如果是，则将其转发到FTP服务器2，FTP状态记录单元20更新数据流表状态(例如更新为TCP_EST，表示FTP状态为TCP连接建立成功)。
[0079]众所周知，FTP报文属于TCP报文，TCP报文通过三次握手才能建立TCP连接，从而用该连接传输数据。本发明实施例在FTP控制通道建立过程中，根据TCP三次握手协议，对三次握手过程中的FTP报文检测TCP合法性，利用数据流表跟踪和记录检测过程中FTP的TCP连接所处状态，过滤掉那些不符合TCP协议交互的非法报文，从而实现FTP非法报文的过滤,达到FTP的应用层报文过滤的目的。
[0080]参照图8，在上述实施例的基础上，本发明一实施例中，上述FTP的应用层报文过滤装置3还可包括:
[0081]用户名处理单元30，用于当FTP状态为TCP连接建立成功时，要求客户端I向FTP服务器2发送用户名；
[0082]密码处理单元40，用于在接收到客户端I发送的用户名之后，通知所述FTP状态记录单元20更新FTP状态为USER已发送，并要求客户端I向FTP服务器2发送密码，等待服务器端确认报文并解析登录是否成功；
[0083]所述FTP状态记录单元20进一步用于当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
[0084]本发明实施例中，FTP的控制通道TCP连接建立后，记录该连接FTP状态为TCP连接建立成功，此时，客户端I和服务器2之间的控制通道并没有完全建立起来，FTP服务器2需要验证用户合法性，FTP服务器2要求客户输入用户名和密码进行验证。在客户端I登录FTP服务器2的过程中记录并维护该FTP控制通道所处的连接状态。当FTP状态为TCP连接建立成功时，用户名处理单元30只允许客户端I向FTP服务器2发送用户名；在客户端I发送用户名之后，密码处理单元40通知所述FTP状态记录单元更新FTP状态为USER已发送，此时密码处理单元40只允许客户端I向FTP服务器2发送密码；当用户登录成功后，FTP状态记录单元20记录FTP状态为控制通道建立成功，对于登录失败的用户，FTP状态记录单元20更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。本发明实施例中，FTP连接过程中所有不符合FTP协议交互过程的报文都被拒绝，防止外部恶意用户对服务器资源的占用以及攻击。
[0085]参照图9所示,在前述实施例的基础上,本发明一实施例中，上述FTP的应用层报文过滤装置3还可包括:
[0086]解析单元50，用于解析FTP控制通道中PORT命令报文内容，获取数据通道的IP和端口 ；
[0087]过滤规则建立单元60，用于根据数据通道的IP和端口建立动态的数据通道通过规则，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
[0088]本发明实施例中，数据通道通过规则即数据包的动态过滤规则。当客户端I向FTP服务器2发送USER和PASS命令报文，提供正确的用户名和密码，成功登录FTP服务器2后，FTP控制通道正式建立，FTP状态记录单元20更新FTP状态为控制通道建立成功。当客户端I向FTP服务器2发送PORT报文协商数据通道后，解析单元50解析PORT报文中数据通道的信息，过滤规则建立单元60建立动态的数据通道通过规则，允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除该动态的数据通道通过规则。本发明实施例中，动态的数据通道通过规则可以为ACL或者其他对不合法数据包进行过滤的过滤规则。
[0089]进一步的，本发明实施例中，上述FTP的应用层报文过滤装置3还可包括:数据通道监控单元70，用于对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。本发明实施例中，数据通道监控单元70对数据通道的TCP报文进行三次握手检测的过程与前述控制通道建立过程中三次握手检测的过程基本相同。本发明实施例对数据通道同样检测TCP三次握手交互的合法性，从而保护了数据传输的正确性和合法性，进一步达到FTP的应用层报文过滤目的。
[0090]应当说明的是，本发明前述实施例所描述的实施例是PORT方式所适用的情形，对于PASV模式，本发明同样适用。本发明一实施例中，解析单元50进一步用于:解析PASV命令及其响应报文内容，获取数据通道的IP和端口号；
[0091]过滤规则建立单元60进一步用于:根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
[0092]以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的【技术领域】，均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种FTP的应用层报文过滤方法，其特征在于，包括以下步骤: 在建立文件传输协议FTP的控制通道传输控制协议TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器； 检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文，如若不是，则作丢弃处理； 检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理； 建立数据流表以记录并更新FTP状态。
2.如权利要求1所述的FTP的应用层报文过滤方法，其特征在于，还包括以下步骤: 当FTP状态为TCP连接建立成功时，要求客户端向FTP服务器发送用户名； 在接收到客户端发送的用户名之后，通知所述FTP状态记录单元更新FTP状态为用户USER已发送，并要求客户端向FTP服务器发送密码，等待服务器端确认报文并解析登录是否成功； 当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
3.如权利要求2所述的FTP的应用层报文过滤方法，其特征在于，还包括以下步骤: 解析FTP控制通道中主动PORT命令报文内容，获取数据通道的IP和端口 ； 根据数据通道的IP和端口建立动态的数据通道通过规则，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
4.如权利要求3所述的FTP的应用层报文过滤方法，其特征在于，还包括以下步骤: 解析被动PASV命令及其响应报文内容，获取数据通道的IP和端口号； 根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
5.如权利要求1至4中任一项所述的FTP的应用层报文过滤方法，其特征在于，还包括以下步骤:对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。
6.一种FTP的应用层报文过滤装置，其特征在于，包括TCP三次握手检测单元和FTP状态记录单元，所述TCP三次握手检测单元用于: 在建立FTP的控制通道TCP连接时获取客户端发送的首个传输控制协议同步TCP SYN报文并转发至FTP服务器； 检测FTP服务器的回复报文是否为同步确认SYN+ACK的TCP报文，如若不是，则作丢弃处理； 检测客户端的响应报文是否为ACK的TCP报文，如若不是，则作丢弃处理； 所述FTP状态记录单元用于建立数据流表以记录并更新FTP状态。
7.如权利要求6所述的FTP的应用层报文过滤装置，其特征在于，还包括: 用户名处理单元，用于当FTP状态为TCP连接建立成功时，要求客户端向FTP服务器发送用户名； 密码处理单元，用于在接收到客户端发送的用户名之后，通知所述FTP状态记录单元更新FTP状态为USER已发送，并要求客户端向FTP服务器发送密码，等待服务器端确认报文并解析登录是否成功； 所述FTP状态记录单元进一步用于当用户登录成功后，记录FTP状态为控制通道建立成功，对于登录失败的用户，更新FTP状态为TCP连接建立成功，要求用户重新进行登录验证。
8.如权利要求7所述的FTP的应用层报文过滤装置，其特征在于，还包括: 解析单元，用于解析FTP控制通道中PORT命令报文内容，获取数据通道的IP和端口 ； 过滤规则建立单元，用于根据数据通道的IP和端口建立动态的数据通道通过规则，以允许双方进行数据通道的建立和数据传输，同时拒绝其它不属于该数据通道的报文通过，并在数据通道传输结束后，删除所述动态的数据通道通过规则。
9.如权利要求8所述的FTP的应用层报文过滤装置，其特征在于，所述解析单元进一步用于: 解析PASV命令及其响应报文内容，获取数据通道的IP和端口号； 所述过滤规则建立单元进一步用于: 根据从PASV命令响应报文中获得的IP和端口号建立动态的数据通道通过规则，允许此IP和端口下的数据传输。
10.如权利要求6至9中任一项所述的FTP的应用层报文过滤装置，其特征在于，还包括数据通道监控单元，用于对数据通道的TCP报文进行三次握手检测，跟踪检测TCP交互过程，记录TCP所处状态，丢弃不满足交互协议的数据报文传输。
【文档编号】H04L29/08GK104426837SQ201310364450
【公开日】2015年3月18日 申请日期:2013年8月20日 优先权日:2013年8月20日
【发明者】高永岗, 李娟
申请人:中兴通讯股份有限公司