Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour prendre en charge le mode FTP, un pare-feu doit prendre en compte les aspects clés suivants :
- Mode FTP – actif ou passif
- Emplacement client/serveur - Internet ou intranet
- Direction du flux - entrant ou sortant.
Le pare-feu Azure prend en charge les scénarios FTP actifs et passifs. Pour plus d’informations sur le mode FTP, consultez FTP actif et FTP passif, une explication définitive.
Par défaut, le FTP passif est activé et la prise en charge FTP active est désactivée pour protéger contre les attaques FTP bounce à l’aide de la commande PORT de FTP.
Néanmoins, vous pouvez activer le mode FTP actif quand vous effectuez un déploiement avec Azure PowerShell, Azure CLI ou un modèle ARM Azure. Le pare-feu Azure peut prendre en charge les protocoles FTP actifs et passifs simultanément.
ActiveFTP est une propriété du Pare-feu Azure pouvant être activée pour :
- toutes les références SKU Pare-feu Azure
- sécuriser les pare-feu du hub et du réseau virtuel
- pare-feu utilisant une stratégie et des règles classiques
Scénarios pris en charge
Le tableau suivant présente la configuration requise pour prendre en charge différents scénarios FTP :
Conseil
N’oubliez pas que la configuration des règles de pare-feu côté client peut également être nécessaire pour prendre en charge la connexion.
Notes
Par défaut, le FTP passif est activé et le FTP actif doit être configuré sur Pare-feu Azure. Si vous souhaitez obtenir des instructions, consultez la section suivante.
La plupart des serveurs FTP n’acceptent pas les données et les canaux de contrôle provenant d’adresses IP sources différentes pour des raisons de sécurité. Par conséquent, les sessions FTP via Pare-feu Azure sont requises pour se connecter à une adresse IP cliente unique. Cela implique que le trafic FTP E-W ne doit jamais être SNAT avec une adresse IP privée du Pare-feu Azure et utiliser plutôt l’adresse IP cliente pour les flux FTP. De même, pour le trafic FTP Internet, il est recommandé de approvisionner Pare-feu Azure avec une seule adresse IP publique pour la connectivité FTP. Il est recommandé d’utiliser NAT Gateway pour éviter l’épuisement SNAT.
| Scénario de pare-feu | Mode FTP actif | Mode FTP passif |
|---|---|---|
| VNet-VNet | Règles de réseau à configurer : -Autoriser du réseau virtuel source au port IP de destination 21 -Autoriser du port IP de destination 20 au réseau virtuel source |
Règles de réseau à configurer : -Autoriser du réseau virtuel source au port IP de destination 21 -Autoriser du réseau virtuel source <à la plage de ports de données> |
| Réseau virtuel sortant-Internet (Client FTP dans VNet, serveur sur Internet) |
Non pris en charge * | Règles de réseau à configurer : -Autoriser du réseau virtuel source au port IP de destination 21 -Autoriser du réseau virtuel source <à la plage de ports de données> |
| Trafic DNAT entrant (Client FTP sur Internet, serveur FTP dans VNet) |
Règle DNAT à configurer : -DNAT de la source Internet au port IP de réseau virtuel 21 Règle de réseau à configurer : - Autoriser le trafic entrel’adresse IP du serveur FTP et l’adresse IP du client Internet sur les plages de ports FTP actives. |
Non supporté** |
* Le FTP actif ne fonctionne pas lorsque le client FTP doit atteindre un serveur FTP sur Internet. Le FTP actif utilise une commande de PORT du client FTP qui indique au serveur FTP l’adresse IP et le port à utiliser pour le canal de données. La commande PORT utilise l’adresse IP privée du client qui ne peut pas être modifiée. Le trafic côté client qui traverse le pare-feu Azure est traduit pour des communications basées sur Internet, de sorte que la commande PORT est considérée comme incorrecte par le serveur FTP. Il s’agit d’une limitation générale du FTP actif lorsqu’il est utilisé avec une traduction d’adresses réseau (NAT) côté client.
** Le FTP passif sur Internet n'est actuellement pas pris en charge car le trafic du chemin de données (du client Internet via le pare-feu Azure) peut potentiellement utiliser une adresse IP différente (en raison de l'équilibreur de charge). Pour des raisons de sécurité, il n'est pas recommandé de modifier les paramètres du serveur FTP pour accepter le trafic de contrôle et de plan de données provenant de différentes adresses IP sources.
Déployer avec Azure PowerShell
Pour déployer avec Azure PowerShell, utilisez le paramètre AllowActiveFTP. Pour plus d’informations, consultez la section sur la création d’un pare-feu autorisant le mode FTP actif.
Mettre à jour un pare-feu Azure existant avec Azure PowerShell
Pour mettre à jour un pare-feu Azure existant avec Azure PowerShell, basculez le paramètre AllowActiveFTP sur « True ».
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall -Name $afwName -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Déployer à l’aide d’Azure CLI
Pour déployer avec Azure CLI, utilisez le paramètre --allow-active-ftp. Pour plus d’informations, consultez az network firewall create.
Déployer le modèle Azure Resource Manager (ARM)
Pour déployer avec un modèle ARM, utilisez le champ AdditionalProperties :
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Pour plus d’informations, consultez Microsoft.Network azureFirewalls.
Étapes suivantes
- Pour en savoir plus sur les scénarios FTP, consultez Validation des scénarios de trafic FTP avec le pare-feu Azure.
- Pour apprendre à déployer un pare-feu Azure, consultez Déployer et configurer un pare-feu Azure à l’aide d’Azure PowerShell.