はじめに
このドキュメントでは、Web セキュリティ アプライアンス(WSA)でサポートされる 3 種類の FTP プロキシと、アクセス ログの例について説明します。
どんな種類の FTP プロキシが WSA でサポートされますか
現在、Cisco WSAは次の3つのFTPプロキシ方式をサポートしています。
- FTP over HTTP
- FTP over HTTP トンネリング
- ネイティブ FTP
これらの方法では、通信に異なる手法が使用されます。
FTP over HTTP
この方法は、Internet Explorer、Firefox、OperaなどのWebブラウザで一般的に使用されます。 これは、「クライアント – > WSA」の通信が純粋にHTTPで行われ、「WSA ->インターネット」では通信にFTPを使用する独自の手法です。 WSA が FTP サーバから応答を受信すると、WSA は、要求されたオブジェクトがディレクトリまたはファイルのどちらであるかを判断します。 アクセスされるオブジェクトがディレクトリである場合、WSAはHTMLで記述されたディレクトリリストを作成し、それをクライアントに転送します。 要求されたオブジェクトがファイルの場合、WSAはそのファイルをダウンロードし、クライアントにストリーミングします。
FTP over HTTPのアクセスログに表示される情報の例を次に示します。
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,->
FTP over HTTP トンネリング
この方法では、Web Security Manager > Access Policies > Protocols and User Agents > HTTP CONNECT Portsで、大部分のポートを許可する必要があります。通常、FTPサーバは49152 ~ 65535の間でポートを開きますが、多くの場合、ポート1024 ~ 65535を使用します。これらのポートは、FTPクライアントがデータチャネルを確立する際にPASVコマンドを発行するときに使用されます。
問題がなければ、アクセスログに次の2つのエントリが表示されます。
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
これらのログは、制御チャネル(最初のログ行)とデータチャネル(2番目のログ行)の両方が正常に確立されたことを示しています。
Filezilla は、この種類のトランザクションをサポートするアプリケーションの一例です。Filezillaでこの機能を有効にするには、Edit > Settings > Proxy Settingの順に選択し、プロキシタイプをHTTP 1.1に設定します。必要に応じて、その他の必要な詳細情報を入力します。
この2つの方法のどちらでも、クライアントとWSA間ではプロキシポートだけが開いている必要があり、WSAとインターネット間ではすべての発信ポートが開いている必要があります。
ネイティブ FTP
この方式では、プロキシがトランスペアレントモードで実装されているかどうかによって、FTPクライアントはポート21またはポート8021でWSAに接続されます。FTPクライアントとWSA間の通信は、純粋にFTPに基づいています。ネイティブFTPの場合、接続の詳細はFTPプロキシログで確認できます。ただし、実際のファイル転送とディレクトリ リストは、引き続きアクセス ログで確認できます。
ネイティブFTPのアクセスログに表示される情報の例をいくつか示します。
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -