Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para admitir el FTP, un firewall debe tener en cuenta los siguientes aspectos clave:
- Modo FTP: activo o pasivo.
- Ubicación del cliente o servidor: Internet o intranet.
- Dirección del flujo: entrante o saliente.
Azure Firewall admite escenarios de FTP activo y pasivo. Para obtener más información sobre el modo FTP, consulte FTP activo frente a FTP pasivo: una explicación definitiva.
De forma predeterminada, el FTP pasivo está habilitado y la compatibilidad con el FTP activo está deshabilitada para protegerse frente a ataques de devolución de FTP mediante el comando PORT de FTP.
Sin embargo, puede habilitar el FTP activo durante la implementación mediante Azure PowerShell, la CLI de Azure o una plantilla de Azure ARM. Azure Firewall puede admitir el FTP activo y pasivo simultáneamente.
ActiveFTP es una propiedad de Azure Firewall que se puede habilitar para:
- todos los SKU de Azure Firewall
- centros de conectividad seguros y firewalls de red virtual
- firewalls que usan reglas clásicas y directivas
Escenarios admitidos
En la tabla siguiente se muestra la configuración necesaria para admitir varios escenarios de FTP:
Sugerencia
Recuerde que también puede ser necesario configurar reglas de firewall en el lado cliente para admitir la conexión.
Nota
De forma predeterminada, el FTP pasivo está habilitado y el FTP activo necesita configurarse de forma adicional en Azure Firewall. Para obtener instrucciones, consulte la siguiente sección.
La mayoría de los servidores FTP no aceptan los canales de datos y control de diferentes direcciones IP de origen por motivos de seguridad. Por lo tanto, se requieren sesiones FTP a través de Azure Firewall para conectarse con una dirección IP de cliente única. Esto implica que el tráfico FTP de E-W nunca debe ser SNAT con Azure Firewall IP privada y, en su lugar, usar IP de cliente para flujos FTP. Del mismo modo, para el tráfico FTP de Internet, se recomienda aprovisionar Azure Firewall con una única dirección IP pública para la conectividad FTP. Se recomienda usar NAT Gateway para evitar el agotamiento de SNAT.
| Escenario de Firewall | Modo FTP activo | Modo FTP pasivo |
|---|---|---|
| Red virtual-Red virtual | Reglas de red para configurar: - Permitir desde la red virtual de origen al puerto IP de destino 21 - Permitir desde el puerto IP de destino 20 a la red virtual de origen |
Reglas de red para configurar: - Permitir desde la red virtual de origen al puerto IP de destino 21 - Permitir desde la red virtual de origen al <intervalo de puertos de datos> IP de destino |
| Red virtual de salida-Internet (Cliente FTP en red virtual, servidor en Internet) |
No compatible * | Reglas de red para configurar: - Permitir desde la red virtual de origen al puerto IP de destino 21 - Permitir desde la red virtual de origen al <intervalo de puertos de datos> IP de destino |
| DNAT de entrada (cliente FTP en Internet, servidor FTP en VNet) |
Regla DNAT para configurar: - DNAT del origen de Internet al puerto IP de la red virtual 21 Regla de red para configurar: - Permitir el tráfico desde la dirección IP del servidor FTP a la dirección IP del cliente de Internet en los intervalos de puertos FTP activos. |
No compatible** |
* El FTP activo no funciona cuando el cliente FTP deba llegar a un servidor FTP de Internet. El FTP activo usa un comando PORT del cliente FTP que indica al servidor FTP qué dirección IP y puerto usar para el canal de datos. Este comando PORT usa la dirección IP privada del cliente, que no se puede cambiar. El tráfico del lado cliente que recorre Azure Firewall es tráfico con NAT para las comunicaciones basadas en Internet, por lo que el servidor FTP considera el comando PORT como no válido. Se trata de una limitación general del FTP activo cuando se usa con una NAT del lado del cliente.
** Actualmente no se admite un FTP pasivo a través de Internet, porque el tráfico de ruta de acceso de datos (desde el cliente de Internet a través de Azure Firewall) puede usar potencialmente una dirección IP diferente (debido al equilibrador de carga). Por motivos de seguridad, no se recomienda cambiar la configuración del servidor FTP para aceptar el control y el tráfico del plano de datos de diferentes direcciones IP de origen.
Implementación mediante Azure PowerShell
Para realizar la implementación mediante Azure PowerShell, use el parámetro AllowActiveFTP. Para más información, consulte Creación de un firewall con Permitir FTP activo.
Actualizar una instancia de Azure Firewall existente mediante Azure PowerShell
Para actualizar una instancia de Azure Firewall existente mediante Azure PowerShell, cambie el parámetro AllowActiveFTP a "True".
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall -Name $afwName -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Implementación con la CLI de Azure
Para realizar la implementación mediante la CLI de Azure, use el parámetro --allow-active-ftp. Para más información, consulte az network firewall create.
Implementación de una plantilla de Azure Resource Manager (ARM)
Para realizar la implementación con una plantilla de ARM, use el campo AdditionalProperties:
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Para obtener más información, consulte Microsoft.Network azureFirewalls.
Pasos siguientes
- Para más información sobre los escenarios de FTP, consulte Validación de escenarios de tráfico FTP con Azure Firewall.
- Para aprender a implementar una instancia de Azure Firewall, consulte Implementación y configuración de Azure Firewall mediante Azure PowerShell.