どんな種類の FTP プロキシが WSA でサポートされますか

ダウンロード オプション

  • PDF     (305.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2017 年 2 月 10 日
Document ID:117984

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Web セキュリティ アプライアンス(WSA)でサポートされる 3 種類の FTP プロキシと、アクセス ログの例について説明します。

どんな種類の FTP プロキシが WSA でサポートされますか

現在、Cisco WSAは次の3つのFTPプロキシ方式をサポートしています。

  • FTP over HTTP
  • FTP over HTTP トンネリング
  • ネイティブ FTP

これらの方法では、通信に異なる手法が使用されます。 

FTP over HTTP

この方法は、Internet Explorer、Firefox、OperaなどのWebブラウザで一般的に使用されます。  これは、「クライアント – > WSA」の通信が純粋にHTTPで行われ、「WSA ->インターネット」では通信にFTPを使用する独自の手法です。  WSA が FTP サーバから応答を受信すると、WSA は、要求されたオブジェクトがディレクトリまたはファイルのどちらであるかを判断します。  アクセスされるオブジェクトがディレクトリである場合、WSAはHTMLで記述されたディレクトリリストを作成し、それをクライアントに転送します。  要求されたオブジェクトがファイルの場合、WSAはそのファイルをダウンロードし、クライアントにストリーミングします。

FTP over HTTPのアクセスログに表示される情報の例を次に示します。

1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,->

FTP over HTTP トンネリング

この方法では、Web Security Manager > Access Policies > Protocols and User Agents > HTTP CONNECT Portsで、大部分のポートを許可する必要があります。通常、FTPサーバは49152 ~ 65535の間でポートを開きますが、多くの場合、ポート1024 ~ 65535を使用します。これらのポートは、FTPクライアントがデータチャネルを確立する際にPASVコマンドを発行するときに使用されます。

問題がなければ、アクセスログに次の2つのエントリが表示されます。

1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -

これらのログは、制御チャネル(最初のログ行)とデータチャネル(2番目のログ行)の両方が正常に確立されたことを示しています。

Filezilla は、この種類のトランザクションをサポートするアプリケーションの一例です。Filezillaでこの機能を有効にするには、Edit > Settings > Proxy Settingの順に選択し、プロキシタイプをHTTP 1.1に設定します。必要に応じて、その他の必要な詳細情報を入力します。

この2つの方法のどちらでも、クライアントとWSA間ではプロキシポートだけが開いている必要があり、WSAとインターネット間ではすべての発信ポートが開いている必要があります。

ネイティブ FTP

この方式では、プロキシがトランスペアレントモードで実装されているかどうかによって、FTPクライアントはポート21またはポート8021でWSAに接続されます。FTPクライアントとWSA間の通信は、純粋にFTPに基づいています。ネイティブFTPの場合、接続の詳細はFTPプロキシログで確認できます。ただし、実際のファイル転送とディレクトリ リストは、引き続きアクセス ログで確認できます。

ネイティブFTPのアクセスログに表示される情報の例をいくつか示します。

1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -

更新履歴

改定 発行日 コメント
1.0
16-Jul-2014
初版
TAC Authored

シスコ エンジニア提供

  • 尾崎啓
    Cisco TACエンジニア
  • シダートラジャパヤク
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています