Comment créer une Application de substitution pour FTP

Comment créer une Application de substitution pour FTP

118055
Created On 09/25/18 17:27 PM - Last Modified 06/07/23 17:38 PM


Resolution


Remarque : L’article suivant décrit les étapes supplémentaires requises dans le cas où une app-substitution doit être activé pour une connexion FTP active. Il n’est pas requis si app-override n’est pas nécessaire en premier lieu.

 

 

Vue d’ensemble

FTP est un service TCP basé exclusivement. Il n’y a aucun composant de l’UDP à FTP. FTP est un service inhabituel car il utilise deux ports, un port de « data » et un port « command » (également connu sous le nom du port de contrôle). Traditionnellement, ce sont le port 21 pour le port de commande et le port 20 pour le port de données. La confusion commence cependant, lorsque nous trouvons que selon le mode, le port de données n’est pas toujours sur le port 20.

 

Détails

FTP actif:

FTP mode actif, le client se connecte depuis un port aléatoire non privilégié (N > 1023) sur le serveur FTP commande port, port 21. Ensuite, le client commence à écouter le port N + 1 et envoie le port de commande FTP n + 1 au serveur FTP. Le serveur se connectera ensuite renvoyer au port de données spécifié du client de son port de données locales, qui est le port 20.

Du point de vue du côté serveur pare-feu, canaux pour prendre en charge le mode actif FTP la communication ci-après doivent être ouverts :

  • FTP le port 21 du serveur depuis n’importe où (Client initie la connexion)
  • FTP port serveur 21 ports > 1023 (réponse du serveur port de contrôle du client)
  • FTP port serveur 20 ports > 1023 (serveur initie la connexion de données au port de données du client)
  • FTP port serveur 20 ports > 1023 (Client envoie des accusés de réception au port de données du serveur)

active. PNG.png

 

Mode FTP passif :

Du point de vue du côté serveur pare-feu, canaux pour prendre en charge le mode passif FTP la communication ci-après doivent être ouverts :

  • FTP le port 21 du serveur depuis n’importe où (Client initie la connexion)
  • FTP port serveur 21 ports > 1023 (réponse du serveur port de contrôle du client)
  • Les ports du serveur FTP > 1023 depuis n’importe où (Client initie la connexion de données à port aléatoire spécifié par serveur)
  • FTP de ports du serveur > 1023 à ports distants > 1023 (serveur envoie des accusés de réception (et données) au port de données du client)

passive. PNG.png

 

Étapes

Le pare-feu de Palo Alto Networks prend en charge les substitutions de l’application et permet aux applications qui ont des besoins spéciaux.

Pour configurer le remplacement pour le protocole FTP, que ce qui suit pourrait s’appliquer :

  1. Créer une application personnalisée qui utilise les ports FTP : 20,21 et les dynamiques ports supérieurs à 1024.
    application-custom. PNG.png
    application-custom1. PNG.png
    application-custom2. PNG.png
  2. Créer une demande de remplacement règle
    Stratégie de remplacement App. PNG.png
    Stratégie1. PNG.png
    Stratégie2. PNG.png
    stratégie3. PNG.png
    Policy4. PNG.png
  3. Assurez-vous qu’il y a une politique de sécurité permettant le trafic autrement de trafic nouvellement défini (custom-ftp) pour cette application sont supprimée.
    sec-politique. PNG.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFeCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language