FTP两种模式在USG6000上的表现

最新推荐文章于 2024-05-07 06:01:13 发布
最新推荐文章于 2024-05-07 06:01:13 发布
阅读量629 收藏
点赞数
分类专栏: 华为 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/120924705
版权
本文介绍了FTP的主动模式和被动模式在不同场景下的工作原理及安全策略。主动模式中,服务器需向客户端建立数据通道,可能导致安全策略问题,而被动模式则由客户端建立两个通道,避免此类问题。防火墙的server-map功能在主动模式下能动态创建策略以确保数据传输。
摘要由CSDN通过智能技术生成

1、主动模式

首先如果是域内的FTP的访问,无论是主动的还是被动的都是可以正常访问的,同时不会匹配任何的安全策略。

如果是域间的FTP的访问,那么它的访问就需要使用安全策略进行控制,任何的区域都要。一般情况下,如果我们的安全策略仅仅放行了客户端到服务器端的流量,那么FTP主动模式一定是会出现问题的。因为主动模式是客户端向服务器建立控制的通道,然后服务器向客户端建立数据的通道,这时因为仅仅建立了客户端到服务器的安全策略,于是服务器到客户端的没有相应的匹配规则,那么就会被默认的安全策略挡住。如果防火墙上开启了firewall detect ftp,也就是开启关于FTP的ASPF,那么防火墙将会根据在控制链路建立的阶段的时候,获取到的客户端开放的,关于数据通道的端口,去开放一个对应的策略,这个策略叫做server-map,称为服务映射,从宏观上来看,防火墙会根据应用的流量和工作特点,提前创建server-map,开放对应的策略使得数据不会因为这种情况而导致数据的丢失。

2、被动模式

被动模式是客户端向服务器发出控制通道建立请求和数据通道建立请求,也就是说FTP的两个通道的建立都是客户端,所以安全策略如果只设置了客户端到服务器也不会出现像主动模式的问题。

Mllllk
关注
专栏目录
饿了吗!来点营养的-华为USG6000V防火墙超详细配置
Friendsofthewind的博客
07-03 7372
华为防火墙设备管理方式 温馨提示:本章介绍最常用的两种Telnet、SSH方式管理 华为防火墙是AAA(Authentication Authorization Accounting)服务器,它是一种机制,能够处理用户访问请求的服务程序,为具有访问权限的用户提供服务。 验证:Authentication哪些用户可以访问 授权:具有访问权限的用户可以得到哪些服务,有什么权限 记账:对使用网络资源的用户审计 带外管理:Console方式管理,适用于刚买的新设备或者网络故障无法使用其他方式管理,此方式不需要IP
防火墙交换模式和路由模式问题(到底在哪个上面做nat?
jgftyfc的博客
11-03 5898
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!                精彩讨论:&n
EVE-NG--华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器
renxq097的博客
03-04 7435
EVE-NG–华为防火墙USG6000v 内外网打通,并均可通过公网IP访问FTP服务器 所有镜像在EVE-NG第一个博客百度云链接里面,自行下载。 需要现成自制镜像的私信我,百度云盘无偿分享给你。 组网图 项目需求介绍 1.企业内网用户和FTP服务器均在同一网段10.3.0.0/24,且均放在Trust安全区域。 2.Win模拟外网用户,IP地址采用向端口G1/0/1自动获得,放置至不信任区(模拟外网)。 3.内网用户和外网用户均通过公网地址1.1.1.1和端口2121访问FTP服务器. 4
2024年华为防火墙USG6000通过WEB图形界面配置案例(2),面试阿里的时候一定会问到的
最新发布
2401_84413092的博客
05-07 408
我可以将最近整理的前端面试题分享出来,其中包含HTML、CSS、JavaScript、服务端与网络、Vue、浏览器、数据结构与算法等等,还在持续整理更新中,希望大家都能找到心仪的工作。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】salocationmode patmode patdescription 外网访问FTP的安全策略nat-policypcp-policyreturn12345678910111213141516。
配置FTP/TFTP协议的ASPF
XMWS-IT
04-17 782
在多通道协议和NAT的应用中,ASPF是重要的辅助功能。通过配置ASPF功能,实现内网正常对外提供FTP和TFTP服务,同时还可避免内网用户在访问外网Web服务器时下载危险控件。由于FTP协议为系统预定义协议,只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义,可以通过用户自定义的ASPF来进行匹配。如图1所示,FW部署在某公司的出口,公司提供FTP、TFTP服务,公司员工还需要访问外网的Web网站。在域间应用detect ftp,实现FTP报文的正常转发。
ftp与防火墙
weixin_41003371的博客
02-23 5340
今天无聊研究了下防火墙对ftp的控制,这里使用了华为防火墙。 众所周知,ftp有20、21端口,20用来建立数据连接,21用来建立控制连接 ftp两种模式:主动模式PORT、被动模式PASV。这个主动、被动都是对于server来说的 1、主动模式:client向server发起控制连接,目标端口21 client使用控制连接把自已用于数据连接的端口告诉server,让server主动发起数据连接(你来连我) 这个模式下20、21端口都使用了 环境中,连接client的防火墙FW1端口处于t
网安笔记(stun )
qq_47529104的博客
03-19 4067
会话表简要信息 协议 源地址 源端口 目的地址 目的端口 只要是参与数据通信的,无论是逻辑接口 还是物理接口都要将其添加到区域中 如果要lookback口可以被ping通 那么它就必须使得接收ping包的接口开启server-managegoon给你 display firewall static system discard dispaly security-policy rule all ASPF技术 识别应用层数据 根据应用层数据生成server-map表 后续的报文,匹配server-map表.
华为防火墙的管理方式
Mr.李的博客
04-11 2294
AAA介绍
华为HCIP安全 722
aebv45的博客
05-19 1800
FTP操作匹配FTP过滤策略 执行 阻断 告警 防火墙和IDS 防火墙无法检测内部人员的恶意操作或误操作和掺杂在允许应用数据流中的恶意代码 防火墙属于粗粒度访问控制(串路设备) IDS属于细粒度检测设备(IDS入侵检测系统) DDOS属于流量型攻击 APT攻击难以防御 原因利用了零日漏洞 防火墙动作模式 严格最终动作取所有命中分类型中最严格类型 防火墙反病毒模块白名单配置规则为(example*) 采用前缀匹配模式 防火墙防御UDP Flood攻击方式 限流(把UDP报文限制在合理范围内) 关联防御 指纹.
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2320
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
开启LINUX防火墙后,FTP PASV不能正常登录问题
08-10
绍开启LINUX防火墙后,FTP PASV不能正常登录问题
华为防火墙ASPF详解及配置实例
永远是少年
07-26 7678
今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程中自动协商一些随机端口,在严
ENSP 防火墙USG6000V NAT 设置(全场景)
sgslwms的博客
06-22 1万+
防火墙作为出口网关做源NAT的情况
ENSP防火墙USG5500 NAT/FTP配置
sxjk1987的专栏
01-16 8031
常见的企业的NAT场景的配置过程。这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。由于该企业只有一个公网IP资源,已经作为设备连接外网的接口的IP地址,所以使用easy-ip方式借用这个接口的IP地址来提供NAT服务。 企业内网网段:10.3.0.0/24 --->防火墙GE0/0/0 安全区域trust 企业内IP地址自动分配,通过NA...
USG-SLB(服务器负载均衡)配置
weixin_34144450的博客
07-30 746
USG-SLB(服务器负载均衡)配置 1)简介 当前的网络应用中,单台服务器的处理能力已经成为网络中的瓶颈,尤其是在IDC(Internet Data Center)、网站等应用场合。具体体现在:单路服务器的平均处理能力仅为 1K TPS (每站终端数),而访问服务器的用户却很多。如果单纯升级服务器的性能,则浪费了前期的投资,且费用昂贵;如果单纯增加服务器的数目,需要...
华为USG防火墙配置命令
热门推荐
weixin_43465752的博客
09-17 1万+
华为USG防火墙配置命令
华为防火墙ftp_常用的FTP两种模式,主动模式和被动模式,一分钟了解下
weixin_29504987的博客
12-27 2045
FTP支持两种模式,一种方式叫做Standard (也就是 PORT方式,主动方式),一种是 Passive(也就是PASV,被动方式)。一、FTP服务器工作两种模式1、主动模式2、被动模式针对FTP服务器FTP多通道(控制通道和数据通道)一、被动模式1、客户端随机端口N访问FTP的21端口,发起控制通道的连接,即21端口为FTP控制通道监听的端口。2、服务器将自身的IP和2个随机数P1,P2告...
华为防火墙ftp_FTP被动模式访问问题
weixin_39704727的博客
12-21 1783
FTP的pasv和port方式:FTP与其他客户服务器应用程序的不同就是它在主机之间使用两条连接。一条连接用于数据传送,而另一条则用于控制信息(命令和响应)传送,将命令与数据传送分开使得FTP的效率更高。在整个交互的FTP会话中,控制连接始终是处于连接状态,数据连接则在每一次文件传送时先打开然后关闭,若传送多个文件,则数据连接打开和关闭多次(每次数据连接打开的端口不同)。以下是使用port和pas...
华为AR-FTP-主动模式Port-Mapping
tttccabc的博客
02-25 2867
【AR路由器配置端口映射(port-mapping)】 配置端口映射 端口映射支持基于基本ACL的协议端口映射。设备支持的端口映射支持的应用层协议包括FTP、DNS、HTTP、SIP、PPTP和RTSP。 背景信息 应用层协议通常使用知名端口号进行通信。端口映射允许用户对不同的应用层协议定义一组新的端口号,使服务器更少地受到针对某种服务的恶意攻击。端口映射只有和ASPF、NAT等针对业务敏...
usg6000透明模式
05-01
USG6000透明模式是指在网络安全防护设备中使用一种特殊的方式,将其置于网络中间,既能起到网络安全防护的作用,又能保证网络的正常运行。通常情况下,网络中有多个不同的子网,每个子网都拥有自己的IP地址范围和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值