021-防火墙放行FTP等多通道协议

已于 2024-11-14 22:50:20 修改
阅读量518 收藏
点赞数
分类专栏: 数通设备实用命令 文章标签: github git
于 2023-07-01 18:43:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/python10101/article/details/131493389
版权
在业务场景中,分支A需访问分支B的FTP服务器,通过防火墙FW1的服务器映射和端口转换。然而,在主被动模式下FTP访问均失败,数据传输端口建立出现问题。解决方案涉及配置ACL规则和端口映射,允许特定源IP的FTP访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防火墙放行FTP等多通道协议

业务场景

在这里插入图片描述

分支IP地址段业务业务地址
分支A10.175.245.0/24FTP客户端10.175.245.59/24
分支B10.0.30.0/24FTP服务端10.0.30.171/24

业务说明

1、现分支A用户需要访问分支B内部ftp服务器,分支B FTP服务器地址为:10.0.30.171,监听端口为2121
2、两分支之间通过防火墙实现访问控制,防火墙FW1上通过服务器映射将分支B FTP服务器地址映射为10.175.245.252,映射后端口为22121

#完成服务器映射
#访问控制策略放行
#访问查看
主被动模式下,均无法正常访问

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
抓包查看,数据传输端口建立存在问题
在这里插入图片描述

解决方法

防火墙配置

acl 2001
rule permit source 10.0.30.171 0
quit
port-mapping ftp port 2121 acl 2001

在这里插入图片描述

FTP 协议那些事 - 弱网络传输、防火墙与代理
一介码农
06-06 944
主动模式与被动模式和 HTTP 不同的是,FTP 采用两条链路通信,一条链路只做控制,一条链路只做数据传输。控制链路传输控制命令,数据链路传输文件内容或命令的输出结果,控制链路 server 监听 well-known 端口(默认 21),数据链路端口使用视传输模式而定。 被动模式(默认) 所谓被动模式,是指 server 端的数据连接是被动打开,即 server 监听某端口,client 连接该端
安全防御(一)--- 防火墙基础
weixin_58299245的博客
09-11 1414
防火墙基础
ftp通过防火墙放行
linuxvfast的博客
05-20 3700
2019独角兽企业重金招聘Python工程师标准>>> ...
防火墙中配置FTP
ljf0305520025的专栏
05-12 539
[color=Green][size=12]要求:外网充许访问内网中的FTP服务。考虑:将内网地址NAT为外网可以访问的地址; FTP服务一般使用TCP21端口进行主机链接; FTP分为PASV与PORT两种方式,即被动模式与主动模式。在PASV下,当客户端与FTP服务器发生数据传输过程中,采用高于1024的动态端口与服务器链接,而PORT方式中,只与服务器以TCP20端口进行通信。这两种方式由客
Win7上防火墙开放FTP服务以及ping解决方案(zz)
weixin_33849942的博客
01-29 328
1、windows 防火墙开放ftp服务The following 4 steps will allow both non-secure and SSL FTP traffic through firewall.运行cmd,之后:1.如果你的FTP是RC0之后的版本的话,直接跳到第3步骤;如果你的是RC0版本的话,需要在cmd里输入以下命令行然后按回车执行命令:sc sidtype ftpsvc ...
多通道协议-FTP详解
weixin_57370131的博客
08-23 2527
本文介绍了多通道协议FTP协议的理论基础,用eNSP模拟器设计了FTP协议的相关实验,并抓包分析整个过程。最后,总结了FTP协议-主动模式、FTP协议-被动模式的相同点和不同点。
CENTOS7 防火墙放行ftp
Arthashit的博客
08-13 1643
默认防火墙状态: [root@localhost ~]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state ...
安全防御------防火墙
m0_63292411的博客
07-23 1673
本章主要讲解了防火墙的相关知识,包括基本概念,技术类型,安全区域,状态检测等。还包含FTP协议的有关概念以及ASPF技术。
什么是防火墙,状态防火墙的工作原理,防火墙如何处理双通道协议防火墙如何处理NAT
qq_57440077的博客
07-25 464
它是一种位于之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
华为NP课程笔记22-防火墙
阿元的笔记
06-02 2063
一、防火墙 1、“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。 用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击...
FTP的主动被动和相关的防火墙设置
03-17
NULL 博文链接:https://jony-hwong.iteye.com/blog/464420
天融信防火墙配置实例.pdf
11-06
天融信防火墙配置实例.pdf
天融信防火墙配置实例
06-19
教你如何配置通过防火墙访问内网中的web服务器及ftp服务
计算机基础(2)— windows 防火墙FTP服务器、HTTP服务器的影响
杨丹的博客
07-06 4465
window 防火墙FTP服务器、HTTP服务器的影响 01. win7关闭防火墙功能 单击左下角的【开始】按钮 —>【控制面板】—>【系统和安全】—>【Windows 防火墙】—>【打开或关闭Windows防火墙】 小记:可通过下图路径设置允许通过防火墙的程序或功能 02. window 防火墙FTP服务器的影响 FTP(File...
防火墙ftp 模式
craftsman2020的博客
08-08 1851
基础   FTP是仅基于TCP的服务,不支持UDP。 与众不同的是FTP使用2个端口,一个数据端口和一个命令端口(也可叫做控制端口)。通常来说这两个端口是21-命令端口和20-数据端口。但当我们发现根据(FTP工作)方式的不同数据端口并不总是20时,混乱产生了。  主动FTP  主动方式的FTP是这样的:客户端从一个任意的非特权端口N(N>;1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始监听端口N+1,并发送FTP命令“port&n
FTP,FTPS,FTPS与防火墙
weixin_34270865的博客
08-01 144
2019独角兽企业重金招聘Python工程师标准>>> ...
防火墙——多通道协议与Server-map表项
m0_49864110的博客
06-01 4657
ASPF全称为针对应用层的包过滤(基于状态的报文过滤),FW通过检测协商报文应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建的一条精细的“安全策略”,解决了多通道协议使用随机端口无法过滤的问题。ALG全称为应用层网关,用于在NAT场景下检测协商报文应用层携带的地址和端口信息,自动生成Server-map表,并自动转换应用层报文载荷中的IP地址和端口信息。
防火墙多通道协议技术
YT的博客
01-09 3255
ASPF概述 ASPF( Application Specific Packet Filter) 是一种高级通信过滤,它检查应用层协议信息并且监控应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。ASPF是针对应用层的包过滤。 ASPF对多通道协议的支持 在多通道协议中,如FTP,控制通道和数据通道是分开的。数据通道...
FTP协议
MLuFee的博客
04-10 5650
FTP(文件传输协议)是一种多通道协议,意为FTP协议有多个端口与外界进行通信,工作模式有“FTP服务器和FTP客户端”。默认使用TCP端口的20和21端口,20端口用于数据传输,21端口用于控制连接。 主要作用是为了用户上传和下载文件 工作方式 1.控制连接 客户端与FTP服务器建立文件上传下载连接时,它首先向服务器的TCP 21端口发起一个建立连接的请求,FTP服务器接收来自客户端的请求,完成连接的建立 2.数据连接 客户端与ftp服务器建立连接之后,就可以进行数据传输了,传输文件的过程教书
防火墙的ASPF
最新发布
04-09
### 防火墙 ASPF 的工作原理 防火墙的 AS PF(Application Specific Packet Filter)是一种高级的功能,用于识别并处理应用层协议的流量。它能够解析特定的应用层协议数据包,并根据其内容动态调整防火墙的行为。例如,在 FTP 协议中,ASPF 可以识别控制连接和数据连接之间的关系,并自动创建必要的 Server-map 表项来允许合法的数据流通过。 #### 工作过程 当启用 ASPF 后,防火墙会对进入的数据包进行深度检测,特别是对于那些具有复杂通信机制的协议(如 FTP)。如果检测到某个数据包属于这些协议,则会触发一系列操作: 1. **生成 Server-map 表** 对于某些协议(如 FTP),一旦防火墙检测到该协议的相关数据包,便会依据此数据包的信息生成一个临时的 Server-map 表条目。这个表条目的优先级高于常规的安全策略以及会话表[^1]。 2. **匹配与放行** 利用上述生成的 Server-map 表,防火墙可以暂时允许不符合现有安全策略的流量通过。这使得像 FTP 这样的多通道协议能够在不违反整体网络安全原则的前提下顺利运行[^5]。 3. **状态更新** 当首次数据交换完成后,防火墙基于实际通信情况进一步完善内部维护的状态信息——即会话表。此后,所有关联的数据包都将直接依赖已存在的会话记录完成快速转发,而无需再次参照初始阶段所使用的 Server-map 条件[^3]。 --- ### 配置方法 以下是关于如何在华为防火墙上配置 ASPF 功能的一个基本指南: #### 安全策略设置 首先定义好基础的安全规则,确保至少能初步满足业务需求下的网络互通条件。例如下面的例子展示了怎样让来自非信任区(untrust)向受信区(trust)内的主机发送 FTP 请求成为可能: ```bash security-policy rule name FTP source-zone untrust destination-zone trust service ftp action permit ``` 这段脚本的作用在于开放从外部区域至内部服务器间的标准 FTP 控制链路访问权限[^2]。 #### 开启 ASPF 并验证效果 接着需要激活针对具体服务类型的深层检验能力,同时确认整个流程是否按预期生效: - 使用 `aspf enable` 或者更精确的服务指向型指令启动相应模块; - 执行诸如 `display firewall server-map` 命令观察实时产生的映射列表变化状况,以此判断当前环境里是否存在因新近活动引发的新建项目;最后还可以借助调试工具捕获完整的交互细节以便全面掌握实际情况进展[^4]。 --- ### 示例代码展示 以下是一个简单的命令序列演示了如何在一个典型场景下部署 ASPF 技术支持 FTP 数据传输的过程: ```bash # 设置接口 IP 地址及所属 Zone interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 zone untrust interface GigabitEthernet0/0/2 ip address 192.168.2.1 255.255.255.0 zone trust # 创建安全策略 security-policy rule name Allow_FTP source-zone untrust destination-zone trust service ftp action permit # 启用 ASPF 检测 firewall aspf enable firewall packet-filter ftp enable # 查看 Server-map 表 display firewall server-map ``` 以上步骤涵盖了从物理层面准备到逻辑管控实施再到最终成果核查的整体环节[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

深度学习0407

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值