如何阻止 ftp 上载, 但允许 ftp 下载

概述

某些环境要求 ftp 下载访问以保持系统的最新, 同时阻止 ftp 上载以防止文件离开网络。这不能使用基于应用程序的安全策略来完成, 因为在 FTP 客户端和服务器之间建立会话后, 两个方向都允许通信。但是, 在允许 ftp 下载的同时阻止 ftp 上载可以使用文件阻止配置文件完成。

步骤

以下过程描述如何在帕洛阿尔托网络防火墙上配置文件阻止配置文件以阻止 ftp 上载, 但允许 ftp 下载:

1. 在 "对象 > 安全配置文件" 中, 使用以下参数创建配置文件:
   • 应用程序 = ftp
   • 文件类型 = 任何
   • 方向 = 上载
   • 操作 = 块
     
2. 完成文件阻止配置文件后, 将其应用于希望客户端为出站连接命中的安全策略。
   • 转到 "策略" 安全页并选择策略。文件阻止选项在 "配置文件设置" 部分的 "操作" 下。

所有者： jteetsel