supporto FTP Firewall di Azure
Per supportare FTP, un firewall deve considerare gli aspetti chiave seguenti:
- Modalità FTP - Attivo o Passivo
- Percorso client/server - Internet o Intranet
- Direzione del flusso: in ingresso o in uscita.
Firewall di Azure supporta scenari FTP attivi e passivi. Per altre informazioni sulla modalità FTP, vedere FTP attivo e FTP passivo, una spiegazione definitiva.
Per impostazione predefinita, FTP passivo è abilitato e il supporto FTP attivo è disabilitato per la protezione dagli attacchi di rimbalzo FTP tramite il comando FTP PORT.
Tuttavia, è possibile abilitare FTP attivo quando si esegue la distribuzione con Azure PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager. Firewall di Azure può supportare sia FTP attivo che passivo contemporaneamente.
ActiveFTP è una proprietà Firewall di Azure che può essere abilitata per:
- tutti gli SKU Firewall di Azure
- firewall sicuri dell'hub e della rete virtuale
- firewall che usano criteri e regole classiche
La tabella seguente illustra la configurazione necessaria per supportare vari scenari FTP:
Suggerimento
Tenere presente che potrebbe anche essere necessario configurare le regole del firewall sul lato client per supportare la connessione.
Nota
Per impostazione predefinita, FTP passivo è abilitato e l'FTP attivo deve essere configurato in modo aggiuntivo in Firewall di Azure. Per istruzioni, vedere la sezione successiva.
La maggior parte dei server FTP non accetta i dati e controlla i canali di indirizzi IP di origine diversi per motivi di sicurezza. Di conseguenza, le sessioni FTP tramite Firewall di Azure sono necessarie per connettersi con un singolo IP client. Ciò implica che il traffico FTP E-W non deve mai essere SNAT con Firewall di Azure IP privato e usare invece l'IP client per i flussi FTP. Analogamente per il traffico FTP Internet, è consigliabile effettuare il provisioning di Firewall di Azure con un singolo indirizzo IP pubblico per la connettività FTP. È consigliabile usare il gateway NAT per evitare l'esaurimento SNAT.
| Firewall Scenario | Modalità FTP attiva | Modalità FTP passiva |
|---|---|---|
| VNet-VNet | Regole di rete da configurare: - Consentire dalla rete virtuale di origine alla porta IP 21 Dest - Consentire dalla porta IP dest 20 alla rete virtuale di origine |
Regole di rete da configurare: - Consentire dalla rete virtuale di origine alla porta IP 21 Dest - Consentire dalla rete virtuale di origine all'intervallo IP <più rigido di porte dati> |
| Rete virtuale in uscita - Internet (client FTP nella rete virtuale, server su Internet) |
Non supportato * | Regole di rete da configurare: - Consentire dalla rete virtuale di origine alla porta IP 21 Dest - Consentire dalla rete virtuale di origine all'intervallo IP <più rigido di porte dati> |
| DNAT in ingresso (client FTP su Internet, server FTP nella rete virtuale) |
Regola DNAT da configurare: - DNAT dall'origine Internet alla porta IP della rete virtuale 21 Regola di rete da configurare: - Consentire il traffico dall'IP del server FTP all'INDIRIZZO IP del client Internet negli intervalli di porte FTP attivi. |
Non supportato** |
* Ftp attivo non funziona quando il client FTP deve raggiungere un server FTP su Internet. FTP attivo usa un comando PORT dal client FTP che indica al server FTP l'indirizzo IP e la porta da usare per il canale dati. Il comando PORT usa l'indirizzo IP privato del client, che non può essere modificato. Il traffico sul lato client che attraversa il Firewall di Azure è NATed per le comunicazioni basate su Internet, pertanto il comando PORT non è valido dal server FTP. Si tratta di una limitazione generale di ACTIVE FTP quando viene usato con un NAT lato client.
** FTP passivo su Internet non è attualmente supportato perché il traffico del percorso dati (dal client Internet tramite Firewall di Azure) può potenzialmente usare un indirizzo IP diverso (a causa del servizio di bilanciamento del carico). Per motivi di sicurezza, non è consigliabile modificare le impostazioni del server FTP per accettare il controllo e il traffico del piano dati da indirizzi IP di origine diversi.
Per eseguire la distribuzione con Azure PowerShell, usare il AllowActiveFTP parametro . Per altre informazioni, vedere Creare un firewall con Allow Active FTP.For more information, see Create a Firewall with Allow Active FTP.
Per aggiornare un Firewall di Azure esistente usando Azure PowerShell, impostare il AllowActiveFTP parametro su "True".
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall -Name $afwName -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Per eseguire la distribuzione usando l'interfaccia della riga di comando di Azure, usare il --allow-active-ftp parametro . Per altre informazioni, vedere az network firewall create.
Per eseguire la distribuzione usando un modello di Resource Manager, usare il AdditionalProperties campo :
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Per altre informazioni, vedere Microsoft.Network azureFirewalls.
- Per altre informazioni sugli scenari FTP, vedere Convalida degli scenari di traffico FTP con Firewall di Azure.
- Per informazioni su come distribuire un Firewall di Azure, vedere Distribuire e configurare Firewall di Azure con Azure PowerShell.