Cómo crear un reemplazo de la aplicación de FTP

Cómo crear un reemplazo de la aplicación de FTP

118039
Created On 09/25/18 17:27 PM - Last Modified 06/07/23 17:38 PM


Resolution


Nota: El siguiente artículo describe pasos adicionales necesarios en el caso de una anulación de la aplicación debe ser habilitado para una conexión FTP activa. No es necesario si no es necesario en primer lugar la anulación de la aplicación.

 

 

Resumen

FTP es un servicio basado en TCP exclusivamente. No hay ningún componente UDP a FTP. FTP es un servicio inusual en que utiliza dos puertos, un puerto de 'datos' y un 'comando' puerto (también conocido como el control). Tradicionalmente estos son puerto 21 para el puerto de comando y Puerto 20 al puerto de datos. La confusión comienza sin embargo, cuando nos encontramos con que dependiendo del modo, el puerto de datos no es siempre en el puerto 20.

 

Detalles

FTP activo:

En modo activo de FTP el cliente se conecta desde un puerto aleatorio no privilegiado (N > 1023) en el servidor FTP comando port, el puerto 21. A continuación, el cliente comienza a escuchar el puerto N + 1 y envía el Puerto de comando FTP n + 1 al servidor FTP. El servidor se conectará entonces a Puerto de datos especificado del cliente desde su puerto de datos locales, que es puerto 20.

Desde del firewall servidor, para apoyar de modo activo de FTP la siguiente comunicación canales necesitan ser abierto:

  • FTP puerto del servidor 21 (cliente inicia la conexión) en cualquier lugar
  • FTP puerto del servidor 21 puertos > 1023 (responde servidor al puerto de control del cliente)
  • FTP puerto del servidor 20 puertos > 1023 (servidor inicia la conexión de datos con puerto de datos del cliente)
  • FTP puerto del servidor 20 de puertos > 1023 (cliente envía ACK al puerto de datos del servidor)

activo. PNG.png

 

FTP pasivo:

Desde del firewall servidor, para apoyar el modo pasivo de FTP la siguiente comunicación canales necesitan ser abierto:

  • FTP puerto del servidor 21 (cliente inicia la conexión) en cualquier lugar
  • FTP puerto del servidor 21 puertos > 1023 (responde servidor al puerto de control del cliente)
  • Servidor FTP puertos > 1023 desde cualquier lugar (cliente inicia la conexión de datos al puerto aleatorio especificado por servidor)
  • FTP puertos del servidor > 1023 a puertos remotos > 1023 (servidor envía ACK (y datos) al puerto de datos del cliente)

pasivo. PNG.png

 

Pasos

El firewall de Palo Alto Networks ayuda con aplicaciones que tienen requisitos especiales y anulaciones de aplicación.

Para configurar el reemplazo para el protocolo FTP que podría aplicarse lo siguiente:

  1. Crear una aplicación personalizada que utiliza los puertos FTP: 20,21 y los puertos dinámicos mayores que 1024.
    aplicación-custom. PNG.png
    aplicación-custom1. PNG.png
    aplicación-custom2. PNG.png
  2. Crear un reemplazo de aplicación la regla
    Política de anulación de la aplicación. PNG.png
    policy1. PNG.png
    Política2. PNG.png
    policy3. PNG.png
    policy4. PNG.png
  3. Asegúrese de que hay una política de seguridad permitiendo el recién definida (custom-ftp) tráfico de esta aplicación se quitarán.
    política de seg. PNG.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFeCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language