Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Om FTP te ondersteunen, moet een firewall rekening houden met de volgende belangrijke aspecten:
- FTP-modus : actief of passief
- Client-/serverlocatie - Internet of intranet
- Stroomrichting: binnenkomend of uitgaand.
Azure Firewall ondersteunt zowel actieve als passieve FTP-scenario's. Zie Active FTP versus Passieve FTP, een definitieve uitleg voor meer informatie over de FTP-modus.
Passieve FTP is standaard ingeschakeld en actieve FTP-ondersteuning is uitgeschakeld om te beveiligen tegen FTP-niet-bezorgdaanvallen met behulp van de FTP-poortopdracht.
U kunt echter Active FTP inschakelen wanneer u implementeert met behulp van Azure PowerShell, de Azure CLI of een Azure ARM-sjabloon. Azure Firewall kan zowel actieve als passieve FTP tegelijkertijd ondersteunen.
ActiveFTP is een Azure Firewall-eigenschap die kan worden ingeschakeld voor:
- alle Azure Firewall-SKU's
- hub- en VNet-firewalls beveiligen
- firewalls die gebruikmaken van beleid en klassieke regels
Ondersteunde scenario's
In de volgende tabel ziet u de configuratie die is vereist voor de ondersteuning van verschillende FTP-scenario's:
Tip
Houd er rekening mee dat het mogelijk ook nodig is om firewallregels aan de clientzijde te configureren om de verbinding te ondersteunen.
Notitie
Passieve FTP is standaard ingeschakeld en Actieve FTP moet extra zijn geconfigureerd in Azure Firewall. Zie de volgende sectie voor instructies.
De meeste FTP-servers accepteren geen gegevens en beheerkanalen van verschillende bron-IP-adressen om veiligheidsredenen. Ftp-sessies via Azure Firewall zijn daarom vereist om verbinding te maken met één client-IP. Dit impliceert dat E-W FTP-verkeer nooit SNAT mag worden gebruikt met privé-IP-adres van Azure Firewall en in plaats daarvan client-IP voor FTP-stromen gebruikt. Voor internet-FTP-verkeer wordt het aanbevolen Om Azure Firewall in te richten met één openbaar IP-adres voor FTP-connectiviteit. Het wordt aanbevolen om NAT Gateway te gebruiken om SNAT-uitputting te voorkomen.
| Firewallscenario | Actieve FTP-modus | Passieve FTP-modus |
|---|---|---|
| VNet-VNet | Netwerkregels die moeten worden geconfigureerd: - Toestaan van bron-VNet naar DEst IP-poort 21 - Van dest IP-poort 20 naar bron-VNet toestaan |
Netwerkregels die moeten worden geconfigureerd: - Toestaan van bron-VNet naar DEst IP-poort 21 - Toestaan van bron-VNet naar het dest IP-bereik <van gegevenspoorten> |
| Uitgaand VNet - Internet (FTP-client in VNet, server op internet) |
Niet ondersteund * | Netwerkregels die moeten worden geconfigureerd: - Toestaan van bron-VNet naar DEst IP-poort 21 - Toestaan van bron-VNet naar het dest IP-bereik <van gegevenspoorten> |
| Binnenkomende DNAT (FTP-client op internet, FTP-server in VNet) |
DNAT-regel die moet worden geconfigureerd: - DNAT van internetbron naar IP-poort 21 van VNet Netwerkregel die moet worden geconfigureerd: - Verkeer van FTP-server-IP naar het IP-adres van de internetclient op de actieve FTP-poortbereiken toestaan. |
Niet ondersteund** |
* Actieve FTP werkt niet wanneer de FTP-client een FTP-server op internet moet bereiken. Actieve FTP maakt gebruik van een POORT-opdracht van de FTP-client die aan de FTP-server vertelt welk IP-adres en welke poort moet worden gebruikt voor het gegevenskanaal. De opdracht PORT maakt gebruik van het privé-IP-adres van de client, die niet kan worden gewijzigd. Verkeer aan de clientzijde dat de Azure Firewall doorkruist, is GED voor communicatie via internet. De PORT-opdracht wordt dus gezien als ongeldig door de FTP-server. Dit is een algemene beperking van Actieve FTP wanneer deze wordt gebruikt met een NAT aan de clientzijde.
** Passieve FTP via internet wordt momenteel niet ondersteund omdat het gegevenspadverkeer (van de internetclient via Azure Firewall) mogelijk een ander IP-adres kan gebruiken (vanwege de load balancer). Om veiligheidsredenen is het niet raadzaam om de FTP-serverinstellingen te wijzigen om verkeer van besturings- en gegevensvlakverkeer van verschillende bron-IP-adressen te accepteren.
Implementeren met Azure PowerShell
Als u wilt implementeren met Behulp van Azure PowerShell, gebruikt u de AllowActiveFTP parameter. Zie Een firewall maken met Actieve FTP toestaan voor meer informatie.
Een bestaande Azure Firewall bijwerken met behulp van Azure PowerShell
Als u een bestaande Azure Firewall wilt bijwerken met behulp van Azure PowerShell, schakelt u de AllowActiveFTP parameter over naar True.
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall -Name $afwName -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Implementeren met behulp van Azure CLI
Als u wilt implementeren met behulp van de Azure CLI, gebruikt u de --allow-active-ftp parameter. Zie az network firewall create voor meer informatie.
Arm-sjabloon (Azure Resource Manager) implementeren
Als u wilt implementeren met behulp van een ARM-sjabloon, gebruikt u het AdditionalProperties veld:
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Zie Microsoft.Network azureFirewalls voor meer informatie.
Volgende stappen
- Zie Scenario's voor FTP-verkeer valideren met Azure Firewall voor meer informatie over FTP-scenario's.
- Zie Azure Firewall implementeren en configureren met behulp van Azure PowerShell voor meer informatie over het implementeren van een Azure Firewall.