Wie erstelle ich eine Anwendung-Überschreibung für FTP

Wie erstelle ich eine Anwendung-Überschreibung für FTP

118037
Created On 09/25/18 17:27 PM - Last Modified 06/07/23 17:38 PM


Resolution


Hinweis: Der folgende Artikel beschreibt weitere Schritte erforderlich, für den Fall, dass eine app-Überschreibung für eine aktive FTP-Verbindung aktiviert werden muss. Es ist nicht erforderlich, wenn app-Override nicht in erster Linie benötigt wird.

 

 

Übersicht

FTP ist ein TCP-basierten Dienst ausschließlich. Es gibt keine UDP-Komponente auf FTP. FTP ist ein ungewöhnlich, dass es zwei Häfen, eine 'Daten'-Port und einen "Befehl" Port (auch bekannt als der Steueranschluss) nutzt. Traditionell sind Port 21 für den Befehl Port und Port 20 für den Datenport. Die Verwirrung beginnt jedoch, wenn wir feststellen, dass je nach Modus, der Daten-Port nicht immer auf Port 20.

 

Details

Active FTP:

Im aktiven Modus FTP, die der Client von einem zufälligen unprivilegierten Port (N > 1023) auf des FTP-Servers verbindet den Befehl Port, port 21. Dann fängt der Client an, Port N + 1 zu hören und sendet den FTP-Befehl Port n + 1 an den FTP-Server. Der Server verbindet dann zurück in den Hafen des Kunden angegebenen Daten, die von seiner lokalen Daten-Port Port 20 ist.

Aus Sicht der serverseitige Firewall um aktiven Modus FTP die folgende Kommunikation unterstützen Kanäle geöffnet werden müssen:

  • FTP-Server Port 21 von überall (Client initiiert Verbindung)
  • FTP Serverport 21 Häfen > 1023 (Server reagiert auf Steueranschluss des Kunden)
  • FTP-Server Port 20 Häfen > 1023 (Server initiiert Datenanbindung an Client Daten-Port)
  • FTP Serverport 20 Häfen > 1023 (Client sendet ACKs an Server Daten-Port)

aktiv. PNG.png

 

Passives FTP:

Aus Sicht der serverseitige Firewall um passiven Modus FTP die folgende Kommunikation unterstützen Kanäle geöffnet werden müssen:

  • FTP-Server Port 21 von überall (Client initiiert Verbindung)
  • FTP Serverport 21 Häfen > 1023 (Server reagiert auf Steueranschluss des Kunden)
  • FTP-Server ports > 1023 von überall (Client initiiert Datenverbindung zu zufälligen Port vom Server angegeben)
  • FTP-Server Ports > 1023 remote-Ports > 1023 (Server sendet ACKs (und Daten) an Client Daten-Port)

passive. PNG.png

 

Schritte

Palo Alto Networks Firewall unterstützt Anwendung Überschreibungen und mit Anwendungen, die besondere Wünsche haben.

Überschreibung für das FTP-Protokoll konfigurieren, die Folgendes zutreffen:

  1. Erstellen Sie eine benutzerdefinierte Anwendung, die die FTP-Ports verwendet: 20,21 und die dynamischen Ports größer als 1024.
    Anwendung-Custom. PNG.png
    Anwendung-custom1. PNG.png
    Anwendung-custom2. PNG.png
  2. Erstellen einer Anwendung Außerkraftsetzung Regel
    App Außerkraftsetzungsrichtlinie. PNG.png
    Richtlinie1. PNG.png
    Policy2. PNG.png
    steht3. PNG.png
    sind4. PNG.png
  3. Stellen Sie sicher, dass es ist eine Sicherheitsrichtlinie, die die neu definierten Verkehr (Custom-ftp) sonst Verkehr ermöglicht, für diese Anwendung abgelegt wird.
    SEC-Politik. PNG.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFeCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language