Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um FTP zu unterstützen, muss eine Firewall die folgenden wichtigen Aspekte berücksichtigen:
- FTP-Modus – aktiv oder passiv
- Client- und Server-Standort – Internet oder Intranet
- Ablaufrichtung – eingehend oder ausgehend
Azure Firewall unterstützt sowohl aktive als auch passive FTP-Szenarien. Weitere Informationen zum FTP-Modus finden Sie unter Active FTP vs. Passive FTP, a Definitive Explanation (Aktives oder passives FTP: eine definitive Erklärung).
Standardmäßig aktiviert Azure Firewall passive FTP und deaktiviert die Aktive FTP-Unterstützung zum Schutz vor FTP-Unzustellbarkeitsangriffen, die den FTP-PORT-Befehl verwenden.
Sie können jedoch Active FTP aktivieren, wenn Sie Azure Firewall mithilfe von Azure PowerShell, der Azure CLI oder einer Azure ARM-Vorlage bereitstellen. Azure Firewall kann sowohl aktives als auch passives FTP gleichzeitig unterstützen.
ActiveFTP ist eine Azure Firewall-Eigenschaft, für die Sie Folgendes aktivieren können:
- Alle Azure Firewall SKUs
- Sichere Hub- und virtuelle Netzwerkfirewalls
- Firewalls mit Richtlinien und klassischen Regeln
Unterstützte Szenarios
Die folgende Tabelle zeigt die Konfiguration, die zur Unterstützung verschiedener FTP-Szenarien erforderlich ist:
Tipp
Denken Sie daran, dass Sie möglicherweise auch Firewallregeln auf der Clientseite konfigurieren müssen, um die Verbindung zu unterstützen.
Hinweis
Standardmäßig aktiviert Azure Firewall passive FTP, und Active FTP benötigt zusätzliche Konfiguration. Anweisungen finden Sie im nächsten Abschnitt.
Die meisten FTP-Server akzeptieren aus Sicherheitsgründen keine Daten und Steuerungskanäle aus unterschiedlichen Quell-IP-Adressen. Daher müssen FTP-Sitzungen über die Azure Firewall eine Verbindung mit einer einzelnen Client-IP herstellen. Diese Anforderung bedeutet, dass Sie niemals SNAT E-W FTP-Datenverkehr mit der privaten IP-Adresse der Azure Firewall verwenden sollten. Verwenden Sie stattdessen die Client IP für FTP Flows. Stellen Sie für internetinternen FTP-Datenverkehr Azure Firewall mit einer einzigen öffentlichen IP für die FTP-Konnektivität bereit. Verwenden Sie NAT-Gateway, um SNAT-Erschöpfung zu vermeiden.
| Firewall-Szenario | Aktiver FTP-Modus | Passiver FTP-Modus |
|---|---|---|
| VNet-VNet | Zu konfigurierende Netzwerkregeln: – Vom virtuellen Quellnetzwerk zum Ziel-IP-Port 21 zulassen – Vom Ziel-IP-Port 20 zum Quellnetzwerk zulassen |
Zu konfigurierende Netzwerkregeln: – Vom virtuellen Quellnetzwerk zum Ziel-IP-Port 21 zulassen – Vom virtuellen Quellnetzwerk zum Ziel-IP-<Bereich von Datenports> zulassen |
| Ausgehendes virtuelles Netzwerk – Internet (FTP-Client im virtuellen Netzwerk, Server im Internet) |
1 nicht unterstützt | Zu konfigurierende Netzwerkregeln: – Vom virtuellen Quellnetzwerk zum Ziel-IP-Port 21 zulassen – Vom virtuellen Quellnetzwerk zum Ziel-IP-<Bereich von Datenports> zulassen |
| Eingehendes DNAT (FTP-Client im Internet, FTP-Server im virtuellen Netzwerk) |
Zu konfigurierende DNAT-Regel: – DNAT von der Internetquelle zu IP-Port 21 des virtuellen Netzwerks Zu konfigurierende Netzwerkregel: – Lassen Sie Datenverkehr von einer FTP-Server-IP-Adresse zur IP-Adresse des Internetclients in den aktiven FTP-Portbereichen zu. |
Nicht unterstützt 2 |
1 Active FTP funktioniert nicht, wenn der FTP-Client einen FTP-Server im Internet erreichen muss. Aktives FTP verwendet einen PORT-Befehl vom FTP-Client, der dem FTP-Server mitteilt, welche IP-Adresse und welcher Port für den Datenkanal verwendet werden soll. Der PORT-Befehl verwendet die private IP-Adresse des Client, die nicht geändert werden kann. Clientseitiger Datenverkehr, der die Azure Firewall durchquert, wird für internetbasierte Kommunikation per NAT umgesetzt, sodass der PORT-Befehl vom FTP-Server als ungültig betrachtet wird. Dies ist eine allgemeine Einschränkung von aktivem FTP bei Verwendung mit einer clientseitigen NAT.
2 Passive FTP über das Internet wird nicht unterstützt, da der Datenpfaddatenverkehr (vom Internetclient über Azure Firewall) potenziell eine andere IP-Adresse (aufgrund des Lastenausgleichs) verwenden kann. Aus Sicherheitsgründen wird nicht empfohlen, die FTP-Servereinstellungen so zu ändern, dass der Steuerungs- und Datenebenendatenverkehr von verschiedenen Quell-IP-Adressen akzeptiert wird.
Bereitstellen mithilfe von Azure PowerShell
Um mit Azure PowerShell bereitzustellen, verwenden Sie den AllowActiveFTP Parameter. Weitere Informationen finden Sie unter Erstellen einer Firewall durch Zulassen von aktivem FTP.
Aktualisieren einer vorhandenen Azure Firewall-Instanz mithilfe von Azure PowerShell
Um eine vorhandene Azure-Firewall mithilfe von Azure PowerShell zu aktualisieren, legen Sie den AllowActiveFTP Parameter auf True.
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall `
-Name $afwName `
-ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Bereitstellen über die Azure-Befehlszeilenschnittstelle
Verwenden Sie zur Bereitstellung mithilfe der Azure CLI den Parameter --allow-active-ftp. Weitere Informationen finden Sie unter az network firewall create.
Bereitstellen einer Azure Resource Manager-Vorlage
Verwenden Sie zur Bereitstellung mithilfe einer ARM-Vorlage Feld AdditionalProperties:
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Weitere Informationen finden Sie unter Microsoft.Network azureFirewalls.
Nächste Schritte
- Weitere Informationen zu FTP-Szenarien finden Sie unter Überprüfen von FTP-Datenverkehrsszenarien mit Azure Firewall.
- Informationen zum Bereitstellen einer Azure Firewall finden Sie unter Bereitstellen und Konfigurieren von Azure Firewall mithilfe von Azure PowerShell.