组网需求
如图1所示,终端与设备之间路由可达,10.137.217.201是设备的管理网口IP地址。
用户希望终端与设备之间进行安全的文件传输操作,因为传统的FTP不具备安全机制,采用明文的形式传输数据,会造成“中间人”攻击和网络欺骗。可在设备上部署SSL策略,利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证。SSL是在传统FTP服务的基础上提供安全连接,从而很大程度上改善了传统FTP服务器安全性问题。
图1 通过FTPS进行文件操作组网图
配置思路
采用如下的思路配置通过FTPS进行文件操作:
- 先配置设备的普通FTP功能,将PC上存储的数字证书上传到设备上。
- 将FTPS服务器根目录下的数字证书拷贝到security子目录中,再配置SSL策略并加载数字证书,以实现客户端对服务器的身份验证。
- 使能安全FTP服务器功能及配置FTP本地用户。
- 用户通过终端第三方软件连接FTPS服务器。
操作步骤
- 先配置服务器的普通FTP功能,将PC上存储的数字证书上传到服务器上。
# 配置普通FTP功能:使能FTP功能和配置FTP用户信息。
<HUAWEI> system-view
[HUAWEI] sysname FTPS_Server
[FTPS_Server] ftp server-source -i MEth 0/0/1
//如果设备无管理网口,则可配置为管理IP地址对应的接口。如果此处服务器端源地址配置为了非管理IP地址及其对应的接口,则客户端必须使用配置的源地址才能连接服务器。
[FTPS_Server] ftp server enable
[FTPS_Server] aaa
[FTPS_Server-aaa] local-user admin password irreversible-cipher huawei@6789
[FTPS_Server-aaa] local-user admin service-type ftp
[FTPS_Server-aaa] local-user admin privilege level 3
[FTPS_Server-aaa] local-user admin ftp-directory flash:
[FTPS_Server-aaa] quit
[FTPS_Server] quit
# 在终端PC上进入windows命令行提示符输入,执行ftp命令指定FTP服务器的连接地址。然后输入正确的用户名和密码与FTP服务器建立FTP连接。在用户终端将数字证书及私钥文件上传到服务器上。
上述步骤成功执行后,在FTP服务器端执行命令dir,可看到成功上传的数字证书及私钥文件。
<FTPS_Server> dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - May 10 2011 05:05:40 src
1 -rw- 524,575 May 10 2011 05:05:53 private-data.txt
2 -rw- 446 May 10 2011 05:05:51 vrpcfg.zip
3 -rw- 1,302 May 10 2011 05:32:05 4_servercert_der_dsa.der
4 -rw- 951 May 10 2011 05:32:44 4_serverkey_der_dsa.der
...
65,233 KB total (7,289 KB free)
2、配置SSL策略并加载数字证书。
# 创建security子目录,并将安全证书移动到security子目录。
<FTPS_Server> mkdir security/
<FTPS_Server> move 4_servercert_der_dsa.der security/
<FTPS_Server> move 4_serverkey_der_dsa.der security/
上述步骤成功执行后,在security子目录下执行命令dir,可看到拷贝成功的数字证书及私钥文件。
<FTPS_Server> cd security/
<FTPS_Server> dir
Directory of flash:/security/
Idx Attr Size(Byte) Date Time FileName
0 -rw- 1,302 May 10 2011 05:44:34 4_servercert_der_dsa.der
1 -rw- 951 May 10 2011 05:45:22 4_serverkey_der_dsa.der
65,233 KB total (7,289 KB free)
# 创建SSL策略,并加载ASN1格式的数字证书。
<FTPS_Server> system-view
[FTPS_Server] ssl policy ftp_server
[FTPS_Server-ssl-policy-ftp_server] certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
[FTPS_Server-ssl-policy-ftp_server] quit
3、使能安全FTP服务器功能及配置FTP本地用户。
# 使能安全FTP服务器功能。
说明:使能安全FTP服务功能,必须去使能普通FTP服务器功能。
[FTPS_Server] undo ftp server
[FTPS_Server] ftp secure-server ssl-policy ftp_server
[FTPS_Server] ftp secure-server enable
# 配置FTP本地用户。
使用上面配置过的admin用户即可。
4、用户通过终端第三方软件连接FTPS服务器。
具体操作过程请参见第三方软件的帮助文档。
5、检查配置结果。
# 在安全FTP服务器端执行命令display ssl policy,可以看到加载的证书详细信息。
[FTPS_Server] display ssl policy
SSL Policy Name: ftp_server
Policy Applicants:
Key-pair Type: DSA
Certificate File Type: ASN1
Certificate Type: certificate
Certificate Filename: 4_servercert_der_dsa.der
Key-file Filename: 4_serverkey_der_dsa.der
Auth-code:
MAC:
CRL File:
Trusted-CA File:
Issuer Name:
Validity Not Before:
Validity Not After:
# 在安全FTP服务器端执行命令display ftp-server,可以看到SSL策略名称、安全FTP服务器的状态是running。
[FTPS_Server] display ftp-server
FTP server is stopped
Max user number 5
User count 1
Timeout value(in minute) 30
Listening port 21
Acl number 0
FTP server's source address 0.0.0.0
FTP SSL policy ftp_server
FTP Secure-server is running
# 用户可以通过支持SSL的FTP客户端软件与安全FTP服务器建立连接,并实现文件的上传和下载。
配置文件
FTPS_Server的配置文件
#
sysname FTPS_Server
#
FTP secure-server enable
FTP server-source -i MEth 0/0/1
ftp secure-server ssl-policy ftp_server
#
aaa
local-user admin password irreversible-cipher $1a$P2m&M5d"'JHR7b~SrcHF\Z\,2R"t&6V|zOLh9ygt;M\bjG$D>%@Ug/<3I$+=Y$
local-user admin privilege level 3
local-user admin ftp-directory flash:
local-user admin service-type ftp
#
ssl policy ftp_server
certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
#
return