非标准接口ftp服务. dnat + snat 访问测试.
想到这么个问题. 就测试一下…
网络结构.
来的ftp连接 dport 2021 dnat 到ftp服务器地址和服务端口.
出防火墙时在接口进行snat
规则设置any-any permit
===========
第一种设置. 基本是默认的.
默认应该是 有 alg ftp , alg auto的.
ftp 主动和被动模式 都连接失败
这种怎么都不行.
不识别应用. 非标准接口的ftp怎么都不好用.
============
第二种设置.
添加这样的设置. 其中 application FTP 在web介面好像加不上.
应该就是这个选择项把它与ftp服务关联起来的.
app-signature
signature id 1
application FTP
src-zone “Any”
src-addr “Any”
dst-addr “Any”
protocol tcp dst-port 2021 2021 src-port 0 65535
exit
exit
测试. 有了app-signature设置. 只要开启 alg ftp 就可以正常使用. 与alg auto无关.
app-signature + alg ftp 好用.
===========
第三种设置.
不使用 app-signature
在安全域中使用"应用识别". 同时开启 alg ftp, alg auto 也可以正常访问.
(我这里使用的安全域是相同的,只用了一个物理接口测试.)
安全域启"应用识别" + alg ftp + alg auto
===============
目前的理解
非标准端口ftp. alg ftp 来做工作才能保证后面的数据传输连接正常工作.
但之前要把session确定是 ftp连接.
app-signature是手动设置,这个流就是ftp.
开流量识别同时打开 alg auto. 是让设备深度去查每个流.找到ftp连接.
================
两种设置的比较.
手动指定app-signature 性能开销低. 但必须手动标出所有可能的连接. 在应用情况确定的网络中比较合适 .
开启应用识别的方法. 性能开销高. 但适合注意无法手动标清楚的网络环境.
应用识别 功能 数据包最多检测 20 个. 开启时会有性能方的开销.
============
理解比较有限. 先这样记录下来.