山石防火墙中. 如何支持非标准端口的ftp服务.

最新推荐文章于 2023-04-07 16:45:44 发布
最新推荐文章于 2023-04-07 16:45:44 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 干体力活 迷糊地
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanzc1/article/details/108459627
版权

非标准接口ftp服务. dnat + snat 访问测试.
想到这么个问题. 就测试一下…

网络结构.

来的ftp连接 dport 2021 dnat 到ftp服务器地址和服务端口.
出防火墙时在接口进行snat
规则设置any-any permit

===========
第一种设置. 基本是默认的.
默认应该是 有 alg ftp , alg auto的.
ftp 主动和被动模式 都连接失败

这种怎么都不行.

不识别应用. 非标准接口的ftp怎么都不好用.

============
第二种设置.

添加这样的设置. 其中 application FTP 在web介面好像加不上.
应该就是这个选择项把它与ftp服务关联起来的.

app-signature
signature id 1
application FTP
src-zone “Any”
src-addr “Any”
dst-addr “Any”
protocol tcp dst-port 2021 2021 src-port 0 65535
exit
exit

测试. 有了app-signature设置. 只要开启 alg ftp 就可以正常使用. 与alg auto无关.

app-signature + alg ftp 好用.

===========
第三种设置.

不使用 app-signature
在安全域中使用"应用识别". 同时开启 alg ftp, alg auto 也可以正常访问.
(我这里使用的安全域是相同的,只用了一个物理接口测试.)

安全域启"应用识别" + alg ftp + alg auto

===============
目前的理解
非标准端口ftp. alg ftp 来做工作才能保证后面的数据传输连接正常工作.

但之前要把session确定是 ftp连接.
app-signature是手动设置,这个流就是ftp.
开流量识别同时打开 alg auto. 是让设备深度去查每个流.找到ftp连接.

================
两种设置的比较.
手动指定app-signature 性能开销低. 但必须手动标出所有可能的连接. 在应用情况确定的网络中比较合适 .

开启应用识别的方法. 性能开销高. 但适合注意无法手动标清楚的网络环境.
应用识别 功能 数据包最多检测 20 个. 开启时会有性能方的开销.

============
理解比较有限. 先这样记录下来.

塞子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
山石防火墙mtu值设置_西部数码使用指南:共享IP FTP被动模式(PASV)手工设置方法(适用共享IP弹性云)...
weixin_42561910的博客
12-27 402
版权归西部数码所有,原文链接:https://www.west.cn/faq/list.asp?unid=903方法:被动模式端口主要是支持FTP服务器使用被动模式,若您购买了我司的弹性云主机共享IP服务器,则对于预装了集成环境的云主机,默认情况下系统自动设置好了FTP的被动模式端口,如果被动模式端口没有正常设置,则会造成FTP不能正常使用。 如果系统自动设置失败,或者您是安装的是纯净版,则您...
防火墙 Hillstone Networks SA-5050
eccserver的专栏
01-23 949
防火墙 Hillstone Networks SA-5050Hillstone SA-5050 产品信息: 性能指标及最大容量设备吞吐量: 4GbpsAV吞吐率:750Mbps最大并发连接数:200万/400万每秒新建连接数:100,000IPSec VPN吞吐率 (3DES+SHA-1):4GbpsIPSec通道数:10,000SSL用户数(标准/最大):64/4000最大策略数:40,00
应用层协议识别之FTP非标准端口
Delphinidae
07-22 6134
FTP协议识别,流量还原
hillstone防火墙保存配置并导出
MrZhangTS的博客
04-07 981
hillstone防火墙保存配置并导出
非标准端口模式下,ftp在被动和主动模式下通信过程比较
weixin_34038652的博客
05-25 128
非标准端口情况下,卸载了nf_conntrack_ftp.ko和nf_nat_ftp.ko模块后,非标准段的被动请求方式,依然可以正常工作,是因为此链接是tcp链接,它的控制和数据端口也还是不相同。这点和标准端口21的被动模式有些区别的,切忌!]【控制和数据端口确定过程,通过规定的控制端口ftp服务器指定的端口非标准端口)进行连接,然后在此处tcp连接过程,发送ftp...
防火墙技术之---ALG技术
weixin_34072857的博客
08-30 2764
NAT网络地址转换是以救世主的身份出现缓解IPv4地址枯竭,实践证明NAT的很多的优点使其迅速被广泛应用,但是在实际操作也出现了一些问题。NAT关注五元组信息,进行转换的五元组也仅限于IP报头之,但是一些应用层协议像FTP,H323等多通道协议及流媒体RTSP,MMS,还有DNS,SMTP,和一些IM和P2P,一般情况下在应用载荷信息之也会包括一些地...
山石网科防火墙.ova
06-16
山石网科防火墙虚拟机导入后直接使用
山石防火墙配置.docx
03-14
山石防火墙配置.docx
完美版资料山石防火墙配置.doc
09-29
教育精品资料
山石防火墙重置密码.docx
11-27
通过boot os重置山石防火墙密码而不影响配置文件,此操作安全可靠亲身实践,希望能帮到有需要的人。
山石网科防火墙配置手册
08-09
山石网科防火墙配置手册
山石防火墙目的NAT配置举例.docx
08-31
山石防火墙目的NAT配置举例
ftp穿透防火墙测试环境搭建
shenqiuchen007的博客
01-10 564
ftp穿透防火墙测试环境搭建 工具准备: 1、虚拟机,推荐使用vmware最新版本 2、操作系统-centos 3、ftp服务端软件-直接在centos上yum安装vsftp 4、抓包分析工具-wireshark 在centos使用vsftp搭建了一个ftp服务端,首先使用默认配置,启动ftp服务 同时先关闭服务器上的防火墙 打开wireshark抓包工具,设置抓包过滤规则为只抓服务器上的数据包 vmware虚拟机的网络配置使用nat模式,有可能会碰到无法远程虚拟机,或者虚拟机上的网卡没有分配到ip地址的
ALG:应用层网关(防火墙
热门推荐
feng_125的专栏
11-23 1万+
ALG:应用层网关(防火墙) 简称“ALG”(也叫应用层防火墙或应用层代理防火墙),在windows其进程名是alg.exe,应用层网关通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络(如Internet)上的服务时,该应用被引导至防火墙的代理服务器。代理服务器可以毫无破绽地伪装成Internet上的真实服务器。它可以对请求进行评估,并根据一套单个网络服务的规则决定允许或
FTP、TFTP 实现 NAT ALG 访问
XFH1207的博客
12-11 1141
1. 环境 操作系统: CentOS 6.10 安装 ftp 服务: rpm -ivh vsftpd-2.2.2-24.el6.x86_64.rpm 安装 tftp 服务: rpm -ivh xinetd-2.3.14-40.el6.x86_64.rpm rpm -ivh tftp-server-0.49-8.el6.x86_64.rpm 2. FTP NAT ALG 应用 ftp 服务配置 1. 配置为被动模式,指定监听端口范围 2. 默认ftp目录加权限:chown -R ftp:ftp /var/
FTP文件传输服务
m0_50818626的博客
03-27 2629
客户端通过任意端口N(N>1024)向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路。客户端希望与FTP服务器建立上传下载的数据传输时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接受来自客户端的请求,完成连接的建立过程,这样的连接就称为FTP控制连接FTP服务/ftp协议,采用的是TCP的20、21号端口,20号端口用于数据传输,21号端口用于FTP连接、指令控制。FTP控制连接建立之后,即可开始传输文件,传输文件的连接称为FTP数据连接
华为防火墙ASPF详解及配置实例
永远是少年
07-26 7113
今天继续给大家介绍防火墙。本文主要介绍防火墙的ASPF原理,并使用华为eNSP模拟器,实际搭建了应用场景展示ASPF的x相关配置。 一、ASPF详解 ASPF,即Application Specific Packet Filter,应用层的包过滤,及给予状态的报文过滤。ASPF能够检测试图通过设备的应用层号会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,使得某些特殊应用的报文能够正常转发。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议在通信过程自动协商一些随机端口,在严
Powershell转换防火墙策略
weixin_34220623的博客
03-13 281
需求 昨天在群里 有人提供了一些防火墙的策略文本,询问如何能够在PowerShell里面转换为对象。 文本样例如下所示 rule id 39 action permit src-zone "Any" dst-zone "Any" src-addr "Any" dst-addr "Any" service "Any" exit rule id 46 action perm...
centos7 rc.local运行 docker 不能正常reboot的处理.
塞子 迷糊地....
11-30 5485
今天发现. 在 centos 7.4下布的一个docker ce-17.09.0 里的应有有问题. 远程用 ssh连接后reboot物理机时不能正常完成关机过程. 系统使用 /etc/rc.local启动 docker相关服务及container. 启动,服务过程都是正常的. debian 8 , debian 9 上用 rc-local服务启动的 docker container也存在同样的问题. 出了问题就得分析一下,找出解办法.
山石防火墙查看端口流量
最新发布
12-28
以下是两种山石防火墙查看端口流量的例子: 1. 查看端口带宽流量: ```shell showstatistics-set predef_user_bw current sort-by up ``` 2. 查看端口会话流量: ```shell showstatistics-set predef_user_session current sort-by up ``` 这两个命令可以帮助您查看山石防火墙上各个端口的流量情况,其"predef_user_bw"用于查看带宽流量,"predef_user_session"用于查看会话流量。通过使用"sort-by up"参数,可以按照流量从高到低的顺序进行排序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值