如何为 FTP 创建应用程序重写
129197
Created On 09/25/18 17:27 PM - Last Modified 06/07/23 17:38 PM
Resolution
注: 以下文章概述了在事件的应用程序重写需要为活跃的 FTP 连接启用所需的额外步骤。如果应用程序重写不需要放在第一位,它则不需要。
概述
FTP 是一种基于 TCP 服务完全。还有的 ftp 没有 UDP 组件。FTP 是一种不寻常的服务,因为它利用两个端口,一个 '数据' 端口和 '命令' 端口 (也称为控制端口)。传统上,这些是命令端口 21 端口和数据端口端口 20。混淆,然而,开始时我们发现,根据的模式,数据端口并不总是在端口 20 上。
详细
活动 FTP:
在主动模式 FTP 客户端从一个随机的非特权端口 (N > 1023年) 连接到 FTP 服务器的命令端口,端口 21。然后, 客户端开始侦听端口 N+1, 并将 ftp 命令端口 N+1 发送
到 ftp 服务器. 服务器将从其本地数据端口,该端口是端口 20 然后返回到客户端指定的数据端口连接。
从服务器端的防火墙的角度来看,为了支持主动模式的 FTP 以下沟通渠道需要打开:
- FTP 服务器的端口 21 从任意位置 (客户端初始化连接)
- FTP 服务器的端口 21 到 > 1023年的端口 (服务器响应客户端的控制端口)
- FTP 服务器的端口 20 到端口 > 1023 (服务器初始化数据连接到客户端的数据端口)
- FTP 服务器的端口从 > (客户端发送到服务器的数据端口的 Ack) 的 1023年端口 20
被动 FTP:
从服务器端的防火墙的角度来看,为了支持被动模式的 FTP 以下通信渠道需要打开:
- FTP 服务器的端口 21 从任意位置 (客户端初始化连接)
- FTP 服务器的端口 21 到 > 1023年的端口 (服务器响应客户端的控制端口)
- FTP 服务器端口 1023 > 从任意位置 (客户端初始化数据连接到指定服务器的随机端口)
- FTP 服务器的端口 > 1023 到远程端口 > 1023 (服务器到客户端的数据端口发送 Ack (和数据))
步骤
帕洛阿尔托网络防火墙支持应用程序重写,并帮助有特殊要求的应用程序。
若要配置 FTP 协议以下的重写可以应用:
- 创建一个自定义的应用程序,使用 FTP 端口: 20,21 和大于 1024年的动态端口。
- 创建应用程序重写规则
- 确保安全政策,允许新定义的交通 (自定义 ftp) 否则为交通,为此应用程序将被丢弃。