Hinweis: Der folgende Artikel beschreibt weitere Schritte erforderlich, für den Fall, dass eine app-Überschreibung für eine aktive FTP-Verbindung aktiviert werden muss. Es ist nicht erforderlich, wenn app-Override nicht in erster Linie benötigt wird.
Übersicht
FTP ist ein TCP-basierten Dienst ausschließlich. Es gibt keine UDP-Komponente auf FTP. FTP ist ein ungewöhnlich, dass es zwei Häfen, eine 'Daten'-Port und einen "Befehl" Port (auch bekannt als der Steueranschluss) nutzt. Traditionell sind Port 21 für den Befehl Port und Port 20 für den Datenport. Die Verwirrung beginnt jedoch, wenn wir feststellen, dass je nach Modus, der Daten-Port nicht immer auf Port 20.
Details
Active FTP:
Im aktiven Modus FTP, die der Client von einem zufälligen unprivilegierten Port (N > 1023) auf des FTP-Servers verbindet den Befehl Port, port 21. Dann fängt der Client an, Port N + 1 zu hören und sendet den FTP-Befehl Port n + 1
an den FTP-Server. Der Server verbindet dann zurück in den Hafen des Kunden angegebenen Daten, die von seiner lokalen Daten-Port Port 20 ist.
Aus Sicht der serverseitige Firewall um aktiven Modus FTP die folgende Kommunikation unterstützen Kanäle geöffnet werden müssen:
- FTP-Server Port 21 von überall (Client initiiert Verbindung)
- FTP Serverport 21 Häfen > 1023 (Server reagiert auf Steueranschluss des Kunden)
- FTP-Server Port 20 Häfen > 1023 (Server initiiert Datenanbindung an Client Daten-Port)
- FTP Serverport 20 Häfen > 1023 (Client sendet ACKs an Server Daten-Port)
Passives FTP:
Aus Sicht der serverseitige Firewall um passiven Modus FTP die folgende Kommunikation unterstützen Kanäle geöffnet werden müssen:
- FTP-Server Port 21 von überall (Client initiiert Verbindung)
- FTP Serverport 21 Häfen > 1023 (Server reagiert auf Steueranschluss des Kunden)
- FTP-Server ports > 1023 von überall (Client initiiert Datenverbindung zu zufälligen Port vom Server angegeben)
- FTP-Server Ports > 1023 remote-Ports > 1023 (Server sendet ACKs (und Daten) an Client Daten-Port)
Schritte
Palo Alto Networks Firewall unterstützt Anwendung Überschreibungen und mit Anwendungen, die besondere Wünsche haben.
Überschreibung für das FTP-Protokoll konfigurieren, die Folgendes zutreffen:
- Erstellen Sie eine benutzerdefinierte Anwendung, die die FTP-Ports verwendet: 20,21 und die dynamischen Ports größer als 1024.
- Erstellen einer Anwendung Außerkraftsetzung Regel
- Stellen Sie sicher, dass es ist eine Sicherheitsrichtlinie, die die neu definierten Verkehr (Custom-ftp) sonst Verkehr ermöglicht, für diese Anwendung abgelegt wird.