ftp与防火墙

最新推荐文章于 2023-12-27 21:45:16 发布
最新推荐文章于 2023-12-27 21:45:16 发布
阅读量5.1k 收藏 15
点赞数 2
分类专栏: 数通 文章标签: 运维 ftp 数字通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41003371/article/details/123090041
版权

今天无聊研究了下防火墙对ftp的控制,这里使用了华为防火墙。

众所周知,ftp有20、21端口,20用来建立数据连接,21用来建立控制连接

ftp有两种模式:主动模式PORT、被动模式PASV。这个主动、被动都是对于server来说的

1、主动模式:client向server发起控制连接,目标端口21

client使用控制连接把自已用于数据连接的端口告诉server,让server主动发起数据连接(你来连我)

这个模式下20、21端口都使用了

环境中,连接client的防火墙FW1端口处于trust区域,连接server的端口处于untrust

由于不同ZONE需要设置安全策略才能获取通信资格,所以配置了client-server的安全策略,允许ftp,此时client-server建立控制连接通过这个策略是正常的(因为目标端口21,匹配ftp通过)

但当client告诉server自己数据连接使用的端口后,此时是靠server主动向client发起数据连接的,而此时server-client的数据连接是另外一条截然不同的数据流了,防火墙完全无法根据前面的控制连接预判这种数据连接的数据情况。好在可以根据client中port命令的信息深度去解析能得到这个数据连接数据情况。

华为防火墙默认情况开启了firewall detect ftp,即ASPF,通过控制连接后,防火墙会生成server-map,来匹配从server-client的数据连接的数据。

2、被动模式PASV:

client向server发起控制连接,目标端口21

client使用控制连接告诉server采用的是PASV模式(我来连你吧),server主动发送自己ip与数据连接使用的端口

这个过程只用21端口。

按照上面的理论,防火墙当然也能预测server-client的数据包

在防火墙层面,这次是client主动跟server建立数据连接,那么就可以不打开firewall detect ftp了?

对于client-server的数据连接,源、目端口都不是ftp的端口,可以认为是普通的TCP通信,所以当关闭ASPF后,在安全策略上,添加了允许TCP,此时也可以建立连接,但不涉及到server-map的事

 

今天晚点吃饭
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ENSP 防火墙USG6000V NAT 设置(全场景)
sgslwms的博客
06-22 1万+
防火墙作为出口网关做源NAT的情况
FTP两种模式在USG6000上的表现
qq_47529104的博客
10-23 590
1、主动模式 首先如果是域内的FTP的访问,无论是主动的还是被动的都是可以正常访问的,同时不会匹配任何的安全策略。 如果是域间的FTP的访问,那么它的访问就需要使用安全策略进行控制,任何的区域都要。一般情况下,如果我们的安全策略仅仅放行了客户端到服务器端的流量,那么FTP主动模式一定是会出现问题的。因为主动模式是客户端向服务器建立控制的通道,然后服务器向客户端建立数据的通道,这时因为仅仅建立了客户端到服务器的安全策略,于是服务器到客户端的没有相应的匹配规则,那么就会被默认的安全策略挡住。如果防火墙上开启
ftp服务器的端口20和21的具体作用,FTP协议中21端口和20端口的详解
weixin_40000301的博客
07-29 6103
FTP(FileTransfer Protocol)文件传输协议,是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。在开发网站的时候,通常利用FTP协议把网页或程序传到Web服务器上。FTP的任务是从一台计算机将文件传送到另一台计算机,不受操作系...
防火墙ftp 模式
craftsman2020的博客
08-08 1621
基础   FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。  主动FTP  主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port&n
搭建FTP服务
最新发布
2301_81825749的博客
12-27 2663
公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。
ftp防火墙怎么样设置.docx
12-15
ftp防火墙怎么样设置.docx
ftp防火墙设置
04-06
在配置 FTP 防火墙设置时,需要配置一个特定的 FTP 站点的外部 IPv4 地址,以便 FTP 服务器可以与外部客户端进行连接。步骤如下: 1. 转到 IIS 7 管理,单击树中的站点节点。 2. 右键单击树中的站点节点,单击...
FTP类,支持防火墙设置.rar_FTP防火墙支持_防火墙
09-21
FTP类,支持防火墙设置
windows防火墙支持FTP服务的设置方法
09-30
2003 server用于提供web和ftp服务,通过互联网用flashfxp实现远程上传网页。如果关闭防火墙ftp上传下载正常,但启用windows防火墙后就不行,即使把web、ftp等服务列为例外也不行。
server2012r2用IIS搭建FTP后开放防火墙规则.rar
07-07
server2012r2用iis搭建FTP无法访问,需要在防火墙里配置FTP放行规则
FTP中主动模式(port)与被动模式(PASV) (转载)
code09的专栏
03-19 1216
基础 FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。 主动FTP 主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户
ftp穿透防火墙测试环境搭建
shenqiuchen007的博客
01-10 565
ftp穿透防火墙测试环境搭建 工具准备: 1、虚拟机,推荐使用vmware最新版本 2、操作系统-centos 3、ftp服务端软件-直接在centos上yum安装vsftp 4、抓包分析工具-wireshark 在centos中使用vsftp搭建了一个ftp服务端,首先使用默认配置,启动ftp服务 同时先关闭服务器上的防火墙 打开wireshark抓包工具,设置抓包过滤规则为只抓服务器上的数据包 vmware虚拟机的网络配置使用nat模式,有可能会碰到无法远程虚拟机,或者虚拟机上的网卡没有分配到ip地址的
windows server创建ftp的时候,如果内部能访问,外部不能访问,需要把ftp的端口加进去
tiger_Angle
04-23 1677
去找到入站规则添加上端口或者ip 如果使用的是老版本的server服务器 请使用ie浏览器打开ftp地址,高版本的浏览器不支持
win10搭建ftp服务器关闭防火墙
这个人很蓝
09-08 1833
https://jingyan.baidu.com/article/c35dbcb099987c8916fcbcee.html
ASPF
sherlockmj的博客
03-05 690
安全策略动态放行 firewall detect ftp(启用动态放行功能,开启aspf功能) ASPF application specific packet filter功能 1、识别应用层数据 2、根据应用层数据,产生server-map表 3、后续报文、匹配serve-map表,直接转发 tips:server-map表的优先级比安全策略表优先级高 Display firewall session table Display firewall server-map ASPF对多通道协议的支持 STU
HCNA安全-防火墙之NAT技术
weixin_34051201的博客
03-12 703
HCNA安全-防火墙之NAT技术为何需要NAT?NAT技术主要应用是实现大量的私网地址对少量公网地址的转换,保障通信在基础上节约IP地址资源私网地址不能再公网中路由,否则将导致通信混乱知识延伸ipv4的地址分类:为了便于对IP地址进行管理, 根据IPv4地址的第一个字节,IPv4地址可以分为以下五类。分类IP地址范围公网IP范围私网IP范围特殊地址A0.0.0.0 – 127...
华为防火墙ftp_常用的FTP两种模式,主动模式和被动模式,一分钟了解下
weixin_29504987的博客
12-27 1986
FTP支持两种模式,一种方式叫做Standard (也就是 PORT方式,主动方式),一种是 Passive(也就是PASV,被动方式)。一、FTP服务器工作两种模式1、主动模式2、被动模式针对FTP服务器:FTP多通道(控制通道和数据通道)一、被动模式1、客户端随机端口N访问FTP的21端口,发起控制通道的连接,即21端口为FTP控制通道监听的端口。2、服务器将自身的IP和2个随机数P1,P2告...
服务器修改ftp 21端口带来的一系列问题及思考!
weixin_34205826的博客
06-04 573
单位以前防火墙的设置是华三的代理商给做好的,之后一段时间对于dmz区服务器起ftp应用,也没有多考虑,只是加了条策略permit destination *** destination-port ftp 搞定,如果不是因为现在增加了一块dmz区域,直接加上同样的一条策略permit destination *** destination-port ftp并没有起到作用...
实例透析FTP
zly22169846的专栏
11-06 1144
  公司新买了台服务器,只用来提供FTP和SQL Server服务,为保证安全,只开放21和1433端口。但FTP不能访问,于是我就花了点时间研究了一下防火墙的日志和在网上找了些相关的资料,有了以下的总结。  由于前段时间公司新买了台服务器,只用来提供FTP和SQL Server服务(有固定公网IP并且对外服务),于是我就想用防火墙封住除开FTP和SQL Server之外的所有端口(也就是只开
ftp服务器防火墙配置
05-28
要在FTP服务器上配置防火墙,需要遵循以下步骤: 1. 确定FTP使用的端口号。默认情况下,FTP服务器使用端口号为21和20。如果您使用的是不同的端口号,请确保在下面的步骤中进行相应的更改。 2. 打开服务器上的防火墙设置。您可以使用操作系统提供的防火墙或第三方防火墙软件。 3. 创建一个入站规则以允许FTP服务端口的流量。对于FTP服务器,您需要允许端口21的TCP流量和端口20的TCP流量。 4. 如果您使用了被动模式,您还需要允许一定的高端端口(通常在1024到65535之间)的TCP流量。这些端口是FTP服务器在被动模式下使用的。 5. 您还可以考虑配置FTP服务器以使用SSL / TLS加密,以提高安全性。在这种情况下,您需要允许端口990的TCP流量。 6. 完成后,保存并启用防火墙规则。 通过以上步骤,您就可以为FTP服务器配置防火墙,以保护您的服务器和数据安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值