組網需求
如圖1所示,終端與裝置之間路由可達,10.137.217.201是裝置的管理網口IP位址。
使用者希望終端與裝置之間進行安全的檔案傳輸操作,因為傳統的FTP不具備安全機制,采用明文的形式傳輸資料,會造成“中間人”攻擊和網絡欺騙。可在裝置上部署SSL政策,利用資料加密、身份驗證和消息完整性驗證機制,為網絡上資料的傳輸提供安全性保證。SSL是在傳統FTP服務的基礎上提供安全連接配接,進而很大程度上改善了傳統FTP伺服器安全性問題。
圖1 通過FTPS進行檔案操作組網圖
配置思路
采用如下的思路配置通過FTPS進行檔案操作:
- 先配置裝置的普通FTP功能,将PC上存儲的數字證書上傳到裝置上。
- 将FTPS伺服器根目錄下的數字證書拷貝到security子目錄中,再配置SSL政策并加載數字證書,以實作用戶端對伺服器的身份驗證。
- 使能安全FTP伺服器功能及配置FTP本地使用者。
- 使用者通過終端第三方軟體連接配接FTPS伺服器。
操作步驟
- 先配置伺服器的普通FTP功能,将PC上存儲的數字證書上傳到伺服器上。
# 配置普通FTP功能:使能FTP功能和配置FTP使用者資訊。
<HUAWEI> system-view
[HUAWEI] sysname FTPS_Server
[FTPS_Server] ftp server-source -i MEth 0/0/1
//如果裝置無管理網口,則可配置為管理IP位址對應的接口。如果此處伺服器端源位址配置為了非管理IP位址及其對應的接口,則用戶端必須使用配置的源位址才能連接配接伺服器。
[FTPS_Server] ftp server enable
[FTPS_Server] aaa
[FTPS_Server-aaa] local-user admin password irreversible-cipher huawei@6789
[FTPS_Server-aaa] local-user admin service-type ftp
[FTPS_Server-aaa] local-user admin privilege level 3
[FTPS_Server-aaa] local-user admin ftp-directory flash:
[FTPS_Server-aaa] quit
[FTPS_Server] quit
# 在終端PC上進入windows指令行提示符輸入,執行ftp指令指定FTP伺服器的連接配接位址。然後輸入正确的使用者名和密碼與FTP伺服器建立FTP連接配接。在使用者終端将數字證書及私鑰檔案上傳到伺服器上。
上述步驟成功執行後,在FTP伺服器端執行指令dir,可看到成功上傳的數字證書及私鑰檔案。
<FTPS_Server> dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - May 10 2011 05:05:40 src
1 -rw- 524,575 May 10 2011 05:05:53 private-data.txt
2 -rw- 446 May 10 2011 05:05:51 vrpcfg.zip
3 -rw- 1,302 May 10 2011 05:32:05 4_servercert_der_dsa.der
4 -rw- 951 May 10 2011 05:32:44 4_serverkey_der_dsa.der
...
65,233 KB total (7,289 KB free)
2、配置SSL政策并加載數字證書。
# 建立security子目錄,并将安全證書移動到security子目錄。
<FTPS_Server> mkdir security/
<FTPS_Server> move 4_servercert_der_dsa.der security/
<FTPS_Server> move 4_serverkey_der_dsa.der security/
上述步驟成功執行後,在security子目錄下執行指令dir,可看到拷貝成功的數字證書及私鑰檔案。
<FTPS_Server> cd security/
<FTPS_Server> dir
Directory of flash:/security/
Idx Attr Size(Byte) Date Time FileName
0 -rw- 1,302 May 10 2011 05:44:34 4_servercert_der_dsa.der
1 -rw- 951 May 10 2011 05:45:22 4_serverkey_der_dsa.der
65,233 KB total (7,289 KB free)
# 建立SSL政策,并加載ASN1格式的數字證書。
<FTPS_Server> system-view
[FTPS_Server] ssl policy ftp_server
[FTPS_Server-ssl-policy-ftp_server] certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
[FTPS_Server-ssl-policy-ftp_server] quit
3、使能安全FTP伺服器功能及配置FTP本地使用者。
# 使能安全FTP伺服器功能。
說明:使能安全FTP服務功能,必須去使能普通FTP伺服器功能。
[FTPS_Server] undo ftp server
[FTPS_Server] ftp secure-server ssl-policy ftp_server
[FTPS_Server] ftp secure-server enable
# 配置FTP本地使用者。
使用上面配置過的admin使用者即可。
4、使用者通過終端第三方軟體連接配接FTPS伺服器。
具體操作過程請參見第三方軟體的幫助文檔。
5、檢查配置結果。
# 在安全FTP伺服器端執行指令display ssl policy,可以看到加載的證書詳細資訊。
[FTPS_Server] display ssl policy
SSL Policy Name: ftp_server
Policy Applicants:
Key-pair Type: DSA
Certificate File Type: ASN1
Certificate Type: certificate
Certificate Filename: 4_servercert_der_dsa.der
Key-file Filename: 4_serverkey_der_dsa.der
Auth-code:
MAC:
CRL File:
Trusted-CA File:
Issuer Name:
Validity Not Before:
Validity Not After:
# 在安全FTP伺服器端執行指令display ftp-server,可以看到SSL政策名稱、安全FTP伺服器的狀态是running。
[FTPS_Server] display ftp-server
FTP server is stopped
Max user number 5
User count 1
Timeout value(in minute) 30
Listening port 21
Acl number 0
FTP server's source address 0.0.0.0
FTP SSL policy ftp_server
FTP Secure-server is running
# 使用者可以通過支援SSL的FTP用戶端軟體與安全FTP伺服器建立連接配接,并實作檔案的上傳和下載下傳。
配置檔案
FTPS_Server的配置檔案
#
sysname FTPS_Server
#
FTP secure-server enable
FTP server-source -i MEth 0/0/1
ftp secure-server ssl-policy ftp_server
#
aaa
local-user admin password irreversible-cipher $1a$P2m&M5d"'JHR7b~SrcHF\Z\,2R"t&6V|zOLh9ygt;M\bjG$D>%@Ug/<3I$+=Y$
local-user admin privilege level 3
local-user admin ftp-directory flash:
local-user admin service-type ftp
#
ssl policy ftp_server
certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
#
return