如何为FTP和TFTP开放安全策略

于 2025-01-13 13:40:13 发布
阅读量530 收藏 17
点赞数 18
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ducanwang/article/details/145114137
版权

FTP

FTP是多通道协议,客户端首先向服务端的21号端口发起连接请求,建立控制通道,然后客户端和服务端通过协商来确定数据通道的端口。根据FTP工作模式的不同,其协商过程也不同。

  • 主动模式:客户端随机选择一个端口,发起PORT命令,通知服务端自己使用该端口来接收数据。服务端从20号端口向该端口发起新的连接。
  • 被动模式:客户端发起PASV命令,服务端随机选择一个端口,通知客户端向该端口发起数据请求。

不管是哪种工作模式,数据通道使用的端口都是随机的。你无法为数据通道配置精确的安全策略。这个时候,你需要在安全域间启用ASPF功能来解决这个问题。

firewall interzone trust untrust
 detect ftp
 quit

当然,ASPF只是解决数据通道的问题,你仍然需要为控制通道配置安全策略。

表7-2 安全策略示例-FTP

序号

名称

源安全区域

目的安全区域

源地址/地区

目的地址/地区

服务

动作

101

Allow inbound traffic

trust

local

10.1.1.10/24

10.1.1.1/24

ftp (TCP: 21)

permit

102

Allow outbound traffic

local

untrust

10.1.2.1/24

10.1.2.10/24

ftp (TCP: 21)

permit

103

Allow transmit traffic

trust

untrust

10.1.1.10/24

10.1.2.10/24

ftp (TCP: 21)

permit

以FTP服务器(10.1.2.10)工作于主动模式为例,客户端(10.1.1.10)和服务器之间会建立两个会话。ftp表示控制通道会话,客户端主动访问服务器;ftp-data表示数据通道会话,服务器主动访问客户端。

<sysname> display firewall session-table
Current Total Sessions : 2
  ftp  VPN:public --> public 10.1.1.10:64752+->10.1.2.10:21   //ftp表示此会话为ftp控制通道,+->表示该会话进入ASPF流程
  ftp-data  VPN:public --> public 10.1.2.10:20-->10.1.1.10:31050   //ftp-data表示此会话为FTP数据通道
<sysname> display firewall server-map
Type: ASPF, 10.1.2.10 -> 10.1.1.10:31050, Zone: ---
   Protocol: tcp(Appro: ftp-data), Left-Time: 00:00:15   //ftp-data表示防火墙通过ASPF流程识别此数据流为FTP数据流
   VPN: public -> public

TFTP

TFTP是简单文件传输协议,其与FTP的主要不同之处在于:

  • TFTP基于UDP传输,使用69号端口建立控制通道。因此,需要在安全策略中指定服务为tftp (UDP 69)。
  • TFTP跟FTP一样动态协商数据通道端口,但不是ASPF默认支持的协议,需要自定义配置。
acl 3000
 rule permit udp destination-port eq 69
 quit
firewall interzone trust untrust
 detect user-defined 3000 outbound
 quit

其中,detect user-defined 3000 outbound命令中,outbound表示客户端从高优先级的安全区域访问位于低优先级的安全区域的服务端,反之则为inbound。

Windows搭建FTP站点详细流程——及其FTP站点与Windows共享文件夹区别
CoffeMilk的博客
04-05 247
关于FTP站点与Windows共享文件夹区别;还有WindowsServer详细搭建FTP站点的保姆级教程
华为防火墙技术漫谈(第二章)——安全策略
m0_53331217的博客
01-27 754
华为防火墙技术漫谈(第二章)——安全策略 文章目录华为防火墙技术漫谈(第二章)——安全策略一、笔记1、ospf邻接关系建立过程2、OSPF网络类型3、OSPF网络类型与报文类型4、安全策略配置遵循“先精细,后粗犷”的原则5、华为防火墙安全策略发展三阶段:基于ACL的包过滤阶段(acl、rule)、融合UTM的安全策略阶段(Service-set、policy)、一体化安全策略阶段(security-policy)6、融合UTM的安全策略由条件、动作UTM策略组成,条件中出现了服务集(Service-set
windows 开启防火墙策略允许ftp端口通过
weixin_34257076的博客
05-03 2278
windows 删除占用端口的pid 转载于:https://blog.51cto.com/harles/1405825
关于ftp的被动模式与IPTABLES策略
weixin_33895475的博客
12-11 88
关于ftp的被动模式与IPTABLES策略 FTP的被动模式: PC--->21端口OK,pasv端口--->PC 在vsftpd.conf里需要定义的内容: pasv_enable=YES pasv_min_port=9000 pasv_max_port=10000 setproctitle_enable=YES #为每个连接单独开一个进程 ...
FTP 服务
weixin_33834910的博客
11-14 138
File Transfer Protocol (文件传输协议)简称FTP就是专门用来传输文件的协议;与大多数Internet服务一样,FTP也是一个客户机服务器系统。这样就可以通过客户机程序向从远程主机上传或者下载文件。工作模式在主动模式下:FTP服务器的控制端口是21,数据端口是20,所以在做静态映射的时候只需要开放21端口即可,他会用20端口客户端主动的发起连接。在被...
网络基础知识介绍: FTP协议
xiaoweids的博客
06-16 1764
转自:微点阅读 https://www.weidianyuedu.comFTP协议允许TCP/IP网络上的两台计算机之间进行文件传输。而FTP服务是基于FTP协议的文件传输服务。工作时,一台计算机上运行FTP客户端应用程序,另一台计算机上需要运行FTP服务器端程序。只有拥有了FTP服务,客户端才能进行文件传输。下面介绍FTP服务的构成文件传输模式。1FTP服务构成文件传输,指的是客户端FTP服务器端之间的文件传输,如文件上传下载。要实现文件传输还需要满足两个条件,如下:1)服务器端必须开启一个TC
FTP两种工作模式介绍
qq100440110的专栏
04-04 3万+
http://blog.chinaunix.net/uid-372384-id-2413918.html http://my.oschina.net/binny/blog/17469 1.主动FTP模式 最初的FTP规范中使用的就是传统的主动模式的FTP。在这种模式下,客户端从一个临时端口(大于1024的端口号)连接到FTP服务器的命令控制端口(端口21),当客户端准备好传输数据时,
FTP的两种模式
u013738122的博客
01-06 8679
原文地址 最近做一个项目用到FTP其它系统进行文件传输,结果在FTP网络连接的问题上花了很多时间,由于太久没搞多FTP,忘记了FTP不单单开放21端口,客户端采用不同连接模式对网络有不同。在此重温一下FTP的主动模式被动模式的相关知识。 在使用FTP时,如果客户端机器FTP服务器双方之间的所有端口都是开放的,那连接不存在问题。如果客户端与服务器之间有防火墙,如果没配置好防火策略采用合适的连...
tftp客户端
02-03
TFTP(Trivial File Transfer Protocol)简单文件传输协议是一种轻量级的文件传输协议,主要用于在设备之间快速传输小文件,比如在配置网络设备时更新...然而,其安全性问题不容忽视,应谨慎使用并配合其他安全策略
Cisco_TFTP_Server.rar
09-18
- **安全考量**: 尽管TFTP协议本身不支持身份验证,但在生产环境中,通常会结合其他安全措施,如防火墙策略、访问控制列表(ACLs)或使用加密的替代方案(如SFTP或HTTPS)来提高安全性。 - **故障排查**: 当TFTP传输...
FTP环境搭建及使用实例–linux系统(使用shell脚本或者使用配置文件)
杰儿__er 的博客
09-22 1858
linux上使用,需要 安装ftp包:yum install -y ftp客户端访问的前提是,ftp服务端需要配置完毕,配置完毕以后 客户端可以直接访问的。 注:ftp服务端只需要把vsftpd服务启动,客户端就可以访问了哦。ftp配置方法见最下面“ftp服务端配置–linux”链接:https://pan.baidu.com/s/1yDal6NTDcPOpNmWA8IebOA?pwd=jar4 提取码:jar4链接:https://pan.baidu.com/s/1EW4ZEwBcT34p2rOYzvE
服务器安全狗开启安全策略FTP上传很卡解决方法
炉火纯青
07-12 1万+
最近我发现,在开启服务器安全狗安全策略后(默认关闭所有端口,只开放规则中的端口),进行FTP上传时很卡,一个几K的文件老是卡住。后来我发现,规则中除了开放21号端口外,还需要开放20、22号这两个端口。设置好后,问题顺利解决!
ftp-主动模式(PORT)被动模式(PASV)
热门推荐
program哲学
06-03 9万+
简介FTP协议要用到两个TCP连接, 一个是命令连接,用来在FTP客户端与服务器之间传递命令; 另一个是数据连接,用来上传或下载数据。 无论是主动模式还是被动模式,其要进行文件传输都必须依次建立两个连接,分别为命令连接与数据连接。而主动模式与被动模式的差异主要体现在数据连结通道上命令连接当FTP客户端需要登陆到FTP服务器上的时候,服务器与客户端需要进行一系列的身份验证过程,这个过程就叫做命令
FTP网络服务作用及步骤
keisena的博客
11-02 1215
FTP服务 FTP服务:用于文件的上传下载,属于tcp协议,端口号是20,21。20是数据层面,用于文件的上传下载,21是控制层面,用于账户密码权限的验证。 FTP配置文件:vi /etc/vs/ftpd/vsftpd.conf anonymous_enable=YES #允许匿名账户登录 anon_upload_enable=YES #允许匿名账户上传 anon_mkdir_write_enable=YES #允许匿名账户新建目录或文件 anon_other_write_enable=YES
关于ftp你知道这几点就够了
weixin_40421085的博客
11-06 447
1.什么是ftpftp:文件传输协议,使主机之间可以共享文件。ftp使用TCP生成一个虚拟连接用于控制信息,然后再生成一个单独的TCP连接用于数据传输。控制连接使用类似TELNET协议在主机间交换命令消息。文件传输协议是TCP/IP网络上两台计算机传送文件的协议FTP是在在TCP/IP网络上使用最早的协议之一,它属于网络协议组的应用层,FTP客户机可以给服务器发出命令来下载文件,上传文件,创
FTP协议安全分析
liaowenxiong的博客
04-11 6816
文章目录前 言第一章 FTP协议一、协议简介二、数据表示(一)文件类型(二)格式控制(三)结构(四)传输方式三、FTP命令四、FTP应答五、连接管理第二章 安全隐患一、FTP服务器软件漏洞二、明文口令三、FTP旗标四、通过FTP服务器进行端口扫描五、数据劫持第三章 安全策略一、使用较比安全的系统FTP服务软件二、使用密文传输用户名口令三、更改服务软件的旗标四、加强协议安全性后 记 前 言 FTP(File Transfer Protocol,文件传输协议)是互联网上常用的协议之一,人们用FTP实现互连网
FTP被动模式连接及超时问题解决
weixin_30237281的博客
05-20 8397
问题: 1FTPClient.listFiles()或者FTPClient.retrieveFile()方法时,就停止在那里,什么反应都没有,出现假死状态。 2、连接FTP服务器,长时间进行数据操作时,超时自动断开。 分析: 1、因为ftp server可能每次开启不同的端口来传输数据,但是在linux上,由于安全限制,可能某些端口没有开启,所以就出现阻塞。 2、ftp的...
FTP服务器访问方法
zz460833359的博客
07-30 9万+
ftp://127.0.0.1”或“ftp://192.168.0.2” 1、DOS下的登录格式。如“ftp ftp.bbc.com”。 2、浏览器中的登录格式。如“ftp://ftp.bbc.com”。 3、FTP客户端应用软件的设置。比如在CuteFTP中   如果使用IE直接登陆FTP,则直接用IE浏览器访问ftp://主机名@IP地址”,然后在弹出的窗口输入
搭建TFTP服务器的简易步骤与简介
4. 配置防火墙SELinux策略,确保TFTP服务的端口(默认为69)是开放的,并且安全策略允许数据传输。 5. 测试TFTP服务器。可以使用tftp客户端工具或编写简单的脚本来验证文件的上传下载是否正常工作。 文件名称...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数字化信息化智能化解决方案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值