如何为 FTP 创建应用程序重写

注： 以下文章概述了在事件的应用程序重写需要为活跃的 FTP 连接启用所需的额外步骤。如果应用程序重写不需要放在第一位，它则不需要。

概述

FTP 是一种基于 TCP 服务完全。还有的 ftp 没有 UDP 组件。FTP 是一种不寻常的服务，因为它利用两个端口，一个 '数据' 端口和 '命令' 端口 （也称为控制端口）。传统上，这些是命令端口 21 端口和数据端口端口 20。混淆，然而，开始时我们发现，根据的模式，数据端口并不总是在端口 20 上。

详细

活动 FTP:

在主动模式 FTP 客户端从一个随机的非特权端口 (N > 1023年) 连接到 FTP 服务器的命令端口，端口 21。然后, 客户端开始侦听端口 N+1, 并将 ftp 命令端口 N+1 发送到 ftp 服务器. 服务器将从其本地数据端口，该端口是端口 20 然后返回到客户端指定的数据端口连接。

从服务器端的防火墙的角度来看，为了支持主动模式的 FTP 以下沟通渠道需要打开：

• FTP 服务器的端口 21 从任意位置 （客户端初始化连接）
• FTP 服务器的端口 21 到 > 1023年的端口 （服务器响应客户端的控制端口）
• FTP 服务器的端口 20 到端口 > 1023 （服务器初始化数据连接到客户端的数据端口）
• FTP 服务器的端口从 > （客户端发送到服务器的数据端口的 Ack） 的 1023年端口 20

被动 FTP:

从服务器端的防火墙的角度来看，为了支持被动模式的 FTP 以下通信渠道需要打开：

• FTP 服务器的端口 21 从任意位置 （客户端初始化连接）
• FTP 服务器的端口 21 到 > 1023年的端口 （服务器响应客户端的控制端口）
• FTP 服务器端口 1023 > 从任意位置 （客户端初始化数据连接到指定服务器的随机端口）
• FTP 服务器的端口 > 1023 到远程端口 > 1023 （服务器到客户端的数据端口发送 Ack （和数据））

步骤

帕洛阿尔托网络防火墙支持应用程序重写，并帮助有特殊要求的应用程序。

若要配置 FTP 协议以下的重写可以应用：

1. 创建一个自定义的应用程序，使用 FTP 端口： 20,21 和大于 1024年的动态端口。
   
   
   
2. 创建应用程序重写规则
   
   
   
   
   
3. 确保安全政策，允许新定义的交通 (自定义 ftp) 否则为交通，为此应用程序将被丢弃。