WSA支持哪些类型的FTP代理?

下载选项

  • PDF     (381.7 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2017 年 2 月 10 日
文档 ID:117984

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍网络安全设备(WSA)支持的三种类型的FTP代理,并提供访问日志的示例。

WSA支持哪些类型的FTP代理?

目前,Cisco WSA支持三种方法的FTP代理:

  • FTP over HTTP
  • FTP over HTTP隧道
  • 本地FTP

这些方法使用不同的技术进行通信。 

FTP over HTTP

此方法通常用于Internet Explorer、Firefox和Opera等Web浏览器。  它是一种独特技术,其中“客户端 — > WSA”通信完全在HTTP中完成,“WSA -> Internet”使用FTP进行通信。  WSA收到来自FTP服务器的响应后,WSA会确定所请求的对象是目录还是文件。  如果被访问的对象是目录,则WSA会组成以HTML编写的目录列表,然后将其转发到客户端。  如果请求的对象是文件,则WSA会下载该文件并将其流式处理到客户端。

以下是您在FTP over HTTP访问日志中看到的内容示例。

1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,->

FTP over HTTP隧道

此方法要求您允许网络安全管理器(Web Security Manager)>访问策略(Access Policies)>协议和用户代理(Protocols and User Agents)> HTTP CONNECT端口(HTTP CONNECT Ports)下的大多数端口。通常,FTP服务器应打开49152 - 65535之间的端口,但在很多情况下,它们使用端口1024 - 65535。当FTP客户端建立数据信道时发出PASV命令时,会使用这些端口。

如果一切顺利,您将在访问日志中看到两个条目:

1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-,-,-> -

这些日志显示控制信道(第一日志线路)和数据信道(第二日志线路)都已成功建立。

Filezilla是支持此类事务的应用程序的一个示例。要在Filezilla上启用此功能,请选择Edit > Settings > Proxy Setting,并将代理类型设置为HTTP 1.1。如果需要,请输入其他必要的详细信息。

在这两种方式中,客户端 — WSA只需要打开代理端口,而WSA - Internet需要打开所有出站端口。

本地FTP

在此方法中,FTP客户端连接到端口21或端口8021上的WSA,具体取决于代理是分别以透明模式还是显式模式实施。FTP客户端和WSA之间的通信完全基于FTP。对于本地FTP,可以在FTP代理日志中查看连接详细信息。但是,实际文件传输和目录列表仍然可以在访问日志中查看。

下面是一些在本地FTP访问日志中看到的内容示例。

1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-> -

修订历史记录

版本 发布日期 备注
1.0
16-Jul-2014
初始版本
TAC Authored

由思科工程师提供

  • 尾崎敬
    思科TAC工程师
  • 西达特·拉杰帕塔克
    思科TAC工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品