Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per supportare FTP, un firewall deve considerare gli aspetti chiave seguenti:
- Modalità FTP - Attivo o Passivo
- Posizione client e server - Internet o intranet
- Direzione del flusso- in ingresso o in uscita
Firewall di Azure supporta scenari FTP attivi e passivi. Per altre informazioni sulla modalità FTP, vedere FTP attivo e FTP passivo, una spiegazione definitiva.
Per impostazione predefinita, Firewall di Azure abilita FTP passivo e disabilita il supporto FTP attivo per la protezione da attacchi di rimbalzo FTP che usano il comando FTP PORT.
Tuttavia, è possibile abilitare FTP attivo quando si distribuisce Firewall di Azure usando Azure PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager. Firewall di Azure può supportare sia FTP attivo che passivo contemporaneamente.
ActiveFTP è una proprietà di Firewall di Azure per cui è possibile abilitare:
- Tutti gli SKU di Firewall di Azure
- Firewall di rete virtuale e hub sicuro
- Firewall che usano criteri e regole classiche
Scenari supportati
La tabella seguente illustra la configurazione necessaria per supportare vari scenari FTP:
Suggerimento
Tenere presente che potrebbe anche essere necessario configurare le regole del firewall sul lato client per supportare la connessione.
Nota
Per impostazione predefinita, Firewall di Azure abilita FTP passivo e FTP attivo richiede una configurazione aggiuntiva. Per istruzioni, vedere la sezione successiva.
La maggior parte dei server FTP non accetta i dati e controlla i canali da indirizzi IP di origine diversi per motivi di sicurezza. Di conseguenza, le sessioni FTP tramite Firewall di Azure devono connettersi con un singolo IP client. Questo requisito significa che non dovresti mai eseguire il SNAT sul traffico FTP E-W con l'IP privato del Firewall di Azure. Usare invece l'IP client per i flussi FTP. Per il traffico FTP su Internet, configurare Azure Firewall con un singolo indirizzo IP pubblico per la connettività FTP. Usare un gateway NAT per evitare l'esaurimento di SNAT.
| Scenario firewall | Modalità FTP attiva | Modalità FTP passiva |
|---|---|---|
| VNet-VNet | Regole di rete da configurare: - Consentire dalla rete virtuale di origine alla porta IP di destinazione 21 - Consentire dalla porta 20 dell'IP di destinazione alla rete virtuale di origine |
Regole di rete da configurare: - Permettere il traffico dalla rete virtuale di origine verso la porta IP di destinazione 21. - Consentire dalla rete virtuale di origine all'IP di destinazione <Intervallo porte dati> |
| Rete virtuale in uscita - Internet (client FTP nella rete virtuale, server su Internet) |
Non supportato 1 | Regole di rete da configurare: - Consentire traffico dalla rete virtuale di origine alla porta IP di destinazione 21 - Consentire dalla rete virtuale di origine all'IP di destinazione <Intervallo porte dati> |
| DNAT In ingresso (client FTP su Internet, server FTP nella rete virtuale) |
Una regola DNAT da configurare: - DNAT dall'origine Internet alla porta IP della rete virtuale 21 Regola di rete da configurare: - Consentire il traffico dall'IP del server FTPverso l'IP del client Internet nella gamma di porte FTP attive. |
Non supportato 2 |
1 FTP attivo non funziona quando il client FTP deve raggiungere un server FTP su Internet. FTP attivo usa un comando PORT dal client FTP che indica al server FTP l'indirizzo IP e la porta da usare per il canale dati. Il comando PORT usa l'indirizzo IP privato del client, che non può essere modificato. Il traffico sul lato client che attraversa il Firewall di Azure è NATed per le comunicazioni basate su Internet, pertanto il comando PORT non è valido dal server FTP. Si tratta di una limitazione generale di ACTIVE FTP quando viene usato con un NAT lato client.
2 FTP passivo su Internet non è supportato perché il traffico del percorso dati (dal client Internet tramite Firewall di Azure) può potenzialmente usare un indirizzo IP diverso (a causa del servizio di bilanciamento del carico). Per motivi di sicurezza, non è consigliabile modificare le impostazioni del server FTP per accettare il controllo e il traffico del piano dati da indirizzi IP di origine diversi.
Eseguire la distribuzione con Azure PowerShell
Per eseguire la distribuzione con Azure PowerShell, usare il AllowActiveFTP parametro . Per altre informazioni, vedere Creare un firewall con Allow Active FTP.For more information, see Create a Firewall with Allow Active FTP.
Aggiornare un Firewall di Azure esistente usando Azure PowerShell
Per aggiornare un firewall di Azure esistente usando Azure PowerShell, impostare il AllowActiveFTP parametro su True.
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall `
-Name $afwName `
-ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Eseguire la distribuzione usando l'interfaccia della riga di comando di Azure
Per eseguire la distribuzione usando l'interfaccia della riga di comando di Azure, usare il --allow-active-ftp parametro . Per altre informazioni, vedere az network firewall create.
Distribuire un modello di Azure Resource Manager
Per eseguire la distribuzione usando un modello ARM, usare il campo AdditionalProperties:
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Per altre informazioni, vedere Microsoft.Network azureFirewalls.
Passaggi successivi
- Per altre informazioni sugli scenari FTP, vedere Convalida degli scenari di traffico FTP con Firewall di Azure.
- Per informazioni su come distribuire un Firewall di Azure, vedere Distribuire e configurare Firewall di Azure con Azure PowerShell.