Azure Güvenlik Duvarı FTP desteği

FTP'yi desteklemek için güvenlik duvarının aşağıdaki önemli yönleri dikkate alması gerekir:

  • FTP modu – Etkin veya Pasif
  • İstemci ve sunucu konumu - İnternet veya intranet
  • Akış yönü - gelen veya giden

Azure Güvenlik Duvarı hem Etkin hem de Pasif FTP senaryolarını destekler. FTP modu hakkında daha fazla bilgi için bkz . Etkin FTP ve Pasif FTP, Kesin Açıklama.

Varsayılan olarak, Azure Güvenlik Duvarı Pasif FTP'yi etkinleştirir ve FTP PORT komutunu kullanan FTP geri dönen saldırılarına karşı koruma sağlamak için Etkin FTP desteğini devre dışı bırakır.

Ancak Azure Güvenlik Duvarı'nı Azure PowerShell, Azure CLI veya Azure ARM şablonu kullanarak dağıtırken Etkin FTP'yi etkinleştirebilirsiniz. Azure Güvenlik Duvarı aynı anda hem Etkin hem de Pasif FTP'i destekleyebilir.

ActiveFTP , şu özellikler için etkinleştirebileceğiniz bir Azure Güvenlik Duvarı özelliğidir:

  • Tüm Azure Güvenlik Duvarı SKU'ları
  • Güvenli merkez ve sanal ağ güvenlik duvarları
  • İlke ve klasik kuralları kullanan güvenlik duvarları

Desteklenen senaryolar

Aşağıdaki tabloda çeşitli FTP senaryolarını desteklemek için gereken yapılandırma gösterilmektedir:

İpucu

Bağlantıyı desteklemek için istemci tarafında güvenlik duvarı kurallarını da yapılandırmanız gerekebileceğini unutmayın.

Not

  • Varsayılan olarak, Azure Güvenlik Duvarı Pasif FTP'yi etkinleştirir ve Etkin FTP'nin ek yapılandırmaya ihtiyacı vardır. Yönergeler için sonraki bölüme bakın.

  • Çoğu FTP sunucusu, güvenlik nedeniyle farklı kaynak IP adreslerinden veri ve denetim kanallarını kabul etmez. Bu nedenle, Azure Güvenlik Duvarı aracılığıyla FTP oturumlarının tek bir istemci IP'siyle bağlanması gerekir. Bu gereksinim, Azure Güvenlik Duvarı Özel IP'siyle hiçbir zaman SNAT E-W FTP trafiği yapmamanız gerektiği anlamına gelir. Bunun yerine, FTP akışları için istemci IP'sini kullanın. İnternet FTP trafiği için Azure Güvenlik Duvarı'nı FTP bağlantısı için tek bir genel IP ile sağlayın. SNAT tükenmesini önlemek için NAT Ağ Geçidi'ni kullanın.

Güvenlik duvarı senaryosu Etkin FTP modu Pasif FTP modu
VNet-VNet Yapılandırılacak ağ kuralları:
- Kaynak sanal ağdan hedef IP bağlantı noktası 21'e izin ver
- Kaynak IP bağlantı noktası 20'den hedef sanal ağa izin ver
Yapılandırılacak ağ kuralları:
- Kaynak sanal ağdan hedef IP bağlantı noktası 21'e izin ver
- Kaynak sanal ağdan hedef IP <Veri Bağlantı Noktaları Aralığına izin ver>
Giden sanal ağ - İnternet

(Sanal ağda FTP istemcisi, İnternet'te sunucu)
Desteklenmiyor 1 Yapılandırılacak ağ kuralları
- Kaynak sanal ağdan hedef IP bağlantı noktası 21'e izin ver
- Kaynak sanal ağdan hedef IP Veri Portları Aralığına izin ver<>
Gelen DNAT

(İnternet'te FTP istemcisi, sanal ağda FTP sunucusu)
Yapılandırılacak DNAT kuralı:
- İnternet kaynağından sanal ağdaki IP 21 numaralı bağlantı noktasına DNAT

Yapılandırılan ağ kuralı:
- Etkin FTP bağlantı noktası aralıklarında FTP sunucusu IP'sinden İnternet istemcisi IP'sine giden trafiğe izin verin.
Desteklenmiyor 2

1 FTP istemcisinin İnternet'te bir FTP sunucusuna ulaşması gerektiğinde etkin FTP çalışmaz. Etkin FTP, FTP istemcisinden, FTP sunucusuna veri kanalı için hangi IP adresinin ve bağlantı noktasının kullanılacağını bildiren bir PORT komutu kullanır. PORT komutu istemcinin özel IP adresini kullanır ve bu adres değiştirilemez. Azure Güvenlik Duvarı üzerinden geçen istemci tarafı trafiği, internet tabanlı iletişimler için NAT'lanır, bu yüzden PORT komutu FTP sunucusu tarafından geçersiz kabul edilir. Bu, istemci tarafı NAT ile kullanıldığında Etkin FTP'nin genel bir sınırlamasıdır.

2 Veri yolu trafiği (Azure Güvenlik Duvarı aracılığıyla İnternet istemcisinden) farklı bir IP adresi (yük dengeleyici nedeniyle) kullanabildiğinden İnternet üzerinden pasif FTP desteklenmez. Güvenlik nedeniyle, FTP sunucusu ayarlarını farklı kaynak IP adreslerinden gelen denetim ve veri düzlemi trafiğini kabul etmek üzere değiştirmenizi önermeyiz.

Azure PowerShell kullanarak dağıtma

Azure PowerShell kullanarak dağıtmak için parametresini AllowActiveFTP kullanın. Daha fazla bilgi için bkz . Etkin FTP'ye İzin Ver ile Güvenlik Duvarı Oluşturma.

Azure PowerShell kullanarak mevcut Azure Güvenlik Duvarı güncelleştirme

Mevcut bir Azure Güvenlik Duvarı'nı Azure PowerShell kullanarak güncelleştirmek için parametresini AllowActiveFTP olarak Trueayarlayın.

$rgName = "resourceGroupName"
$afwName = "afwName"
$afw = Get-AzFirewall `
    -Name $afwName `
    -ResourceGroupName $rgName
$afw.AllowActiveFTP = $true
$afw | Set-AzFirewall

Azure CLI'yi kullanarak dağıtma

Azure CLI kullanarak dağıtmak için parametresini --allow-active-ftp kullanın. Daha fazla bilgi için bkz az network firewall create.

Azure Resource Manager şablonu dağıtma

ARM şablonu kullanarak dağıtmak için şu AdditionalProperties alanı kullanın:

"additionalProperties": {
            "Network.FTP.AllowActiveFTP": "True"
        },

Daha fazla bilgi için bkz . Microsoft.Network azureFirewalls.

Sonraki adımlar

  • FTP senaryoları hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı ile FTP trafik senaryolarını doğrulama.
  • Azure Güvenlik Duvarı dağıtmayı öğrenmek için bkz. Azure PowerShell kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.