Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aby obsługiwać protokół FTP, zapora musi wziąć pod uwagę następujące kluczowe aspekty:
- Tryb FTP — aktywny lub pasywny
- Lokalizacja klienta/serwera — Internet lub intranet
- Kierunek przepływu — ruch przychodzący lub wychodzący.
Usługa Azure Firewall obsługuje scenariusze aktywnych i pasywnych protokołów FTP. Aby uzyskać więcej informacji na temat trybu FTP, zobacz Active FTP vs. Passive FTP, a Definitive Explanation (Objaśnienie ostateczne).
Domyślnie pasywny protokół FTP jest włączony, a obsługa aktywnego protokołu FTP jest wyłączona w celu ochrony przed atakami ftp bounce za pomocą polecenia FTP PORT.
Można jednak włączyć aktywny protokół FTP podczas wdrażania przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure ARM. Usługa Azure Firewall może obsługiwać zarówno protokół FTP aktywny, jak i pasywny jednocześnie.
ActiveFTP to właściwość usługi Azure Firewall, która może być włączona dla:
- wszystkie jednostki SKU usługi Azure Firewall
- bezpieczne zapory koncentratora i sieci wirtualnej
- zapory korzystające z zasad i reguł klasycznych
Obsługiwane scenariusze
W poniższej tabeli przedstawiono konfigurację wymaganą do obsługi różnych scenariuszy FTP:
Napiwek
Pamiętaj, że może być również konieczne skonfigurowanie reguł zapory po stronie klienta w celu obsługi połączenia.
Uwaga
Domyślnie pasywny protokół FTP jest włączony, a usługa Active FTP wymaga dodatkowej konfiguracji w usłudze Azure Firewall. Aby uzyskać instrukcje, zobacz następną sekcję.
Większość serwerów FTP nie akceptuje danych i kanałów kontroli z różnych źródłowych adresów IP ze względów bezpieczeństwa. W związku z tym sesje FTP za pośrednictwem usługi Azure Firewall są wymagane do nawiązania połączenia z pojedynczym adresem IP klienta. Oznacza to, że ruch E-W FTP nigdy nie powinien być sNAT z prywatnym adresem IP usługi Azure Firewall i zamiast tego używać adresu IP klienta dla przepływów FTP. Podobnie w przypadku ruchu internetowego FTP zaleca się aprowizację usługi Azure Firewall przy użyciu jednego publicznego adresu IP na potrzeby łączności FTP. Zaleca się użycie bramy translatora adresów sieciowych w celu uniknięcia wyczerpania SNAT.
Scenariusz zapory | Aktywny tryb FTP | Pasywny tryb FTP |
---|---|---|
Sieć wirtualna-sieć wirtualna | Reguły sieciowe do skonfigurowania: — Zezwalaj ze źródłowej sieci wirtualnej na odst port IP 21 — Zezwalaj na odejmowania portu IP 20 do źródłowej sieci wirtualnej |
Reguły sieciowe do skonfigurowania: — Zezwalaj ze źródłowej sieci wirtualnej na odst port IP 21 — Zezwalaj ze źródłowej sieci wirtualnej na odst <zakres portów danych> |
Wychodząca sieć wirtualna — Internet (Klient FTP w sieci wirtualnej, serwer w Internecie) |
Nieobsługiwane * | Reguły sieciowe do skonfigurowania: — Zezwalaj ze źródłowej sieci wirtualnej na odst port IP 21 — Zezwalaj ze źródłowej sieci wirtualnej na odst <zakres portów danych> |
Przychodząca usługa DNAT (Klient FTP w Internecie, serwer FTP w sieci wirtualnej) |
Reguła DNAT do skonfigurowania: - DNAT From Internet Source to VNet IP port 21 (DNAT Ze źródła internetowego do portu IP sieci wirtualnej 21) Reguła sieci do skonfigurowania: — Zezwalaj na ruch z adresu IP serwera FTP do adresu IP klienta internetowego w aktywnych zakresach portów FTP. |
Nieobsługiwane** |
* Aktywny protokół FTP nie działa, gdy klient FTP musi nawiązać połączenie z serwerem FTP w Internecie. Aktywny protokół FTP używa polecenia PORT z klienta FTP, który informuje serwer FTP, jakiego adresu IP i portu używać dla kanału danych. Polecenie PORT używa prywatnego adresu IP klienta, którego nie można zmienić. Ruch po stronie klienta przechodzący przez usługę Azure Firewall jest NATed na potrzeby komunikacji internetowej, więc polecenie PORT jest postrzegane jako nieprawidłowe przez serwer FTP. Jest to ogólne ograniczenie usługi Active FTP w przypadku użycia z translatorem adresów sieciowych po stronie klienta.
** Pasywny protokół FTP przez Internet jest obecnie nieobsługiwany, ponieważ ruch ścieżki danych (od klienta internetowego za pośrednictwem usługi Azure Firewall) może potencjalnie używać innego adresu IP (ze względu na moduł równoważenia obciążenia). Ze względów bezpieczeństwa nie zaleca się zmiany ustawień serwera FTP w celu akceptowania ruchu płaszczyzny danych i kontroli z różnych źródłowych adresów IP.
Wdrażanie przy użyciu programu Azure PowerShell
Aby wdrożyć przy użyciu programu Azure PowerShell, użyj parametru AllowActiveFTP
. Aby uzyskać więcej informacji, zobacz Create a Firewall with Allow Active FTP (Tworzenie zapory z dozwolonym aktywnym protokołem FTP).
Aktualizowanie istniejącej usługi Azure Firewall przy użyciu programu Azure PowerShell
Aby zaktualizować istniejącą usługę Azure Firewall przy użyciu programu Azure PowerShell, przełącz AllowActiveFTP
parametr na wartość "True".
$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall -Name $afwName -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall
Wdrażanie przy użyciu interfejsu wiersza polecenia platformy Azure
Aby wdrożyć przy użyciu interfejsu wiersza polecenia platformy Azure, użyj parametru --allow-active-ftp
. Aby uzyskać więcej informacji, zobacz az network firewall create.
Wdrażanie szablonu usługi Azure Resource Manager (ARM)
Aby wdrożyć przy użyciu szablonu usługi ARM, użyj AdditionalProperties
pola:
"additionalProperties": {
"Network.FTP.AllowActiveFTP": "True"
},
Aby uzyskać więcej informacji, zobacz Microsoft.Network azureFirewalls.
Następne kroki
- Aby dowiedzieć się więcej na temat scenariuszy FTP, zobacz Weryfikowanie scenariuszy ruchu FTP za pomocą usługi Azure Firewall.
- Aby dowiedzieć się, jak wdrożyć usługę Azure Firewall, zobacz Wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu programu Azure PowerShell.