简介
本文档介绍网络安全设备(WSA)支持的三种类型的FTP代理,并提供访问日志的示例。
WSA支持哪些类型的FTP代理?
目前,Cisco WSA支持三种方法的FTP代理:
- FTP over HTTP
- FTP over HTTP隧道
- 本地FTP
这些方法使用不同的技术进行通信。
FTP over HTTP
此方法通常用于Internet Explorer、Firefox和Opera等Web浏览器。 它是一种独特技术,其中“客户端 — > WSA”通信完全在HTTP中完成,“WSA -> Internet”使用FTP进行通信。 WSA收到来自FTP服务器的响应后,WSA会确定所请求的对象是目录还是文件。 如果被访问的对象是目录,则WSA会组成以HTML编写的目录列表,然后将其转发到客户端。 如果请求的对象是文件,则WSA会下载该文件并将其流式处理到客户端。
以下是您在FTP over HTTP访问日志中看到的内容示例。
1219138948.126 18058 192.168.10.100 TCP_MISS/200 1993 GET ftp://ftp.example.com/ - DIRECT/ftp.example.com text/html DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,->
FTP over HTTP隧道
此方法要求您允许网络安全管理器(Web Security Manager)>访问策略(Access Policies)>协议和用户代理(Protocols and User Agents)> HTTP CONNECT端口(HTTP CONNECT Ports)下的大多数端口。通常,FTP服务器应打开49152 - 65535之间的端口,但在很多情况下,它们使用端口1024 - 65535。当FTP客户端建立数据信道时发出PASV命令时,会使用这些端口。
如果一切顺利,您将在访问日志中看到两个条目:
1219137634.898 10707 192.168.10.100 TCP_MISS/0 160 CONNECT ftp.example.com:21/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1219137698.512 287 192.168.10.100 TCP_MISS/0 240 CONNECT 192.168.10.10:57918/ - DIRECT/192.168.10.10 text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-,-,-> -
这些日志显示控制信道(第一日志线路)和数据信道(第二日志线路)都已成功建立。
Filezilla是支持此类事务的应用程序的一个示例。要在Filezilla上启用此功能,请选择Edit > Settings > Proxy Setting,并将代理类型设置为HTTP 1.1。如果需要,请输入其他必要的详细信息。
在这两种方式中,客户端 — WSA只需要打开代理端口,而WSA - Internet需要打开所有出站端口。
本地FTP
在此方法中,FTP客户端连接到端口21或端口8021上的WSA,具体取决于代理是分别以透明模式还是显式模式实施。FTP客户端和WSA之间的通信完全基于FTP。对于本地FTP,可以在FTP代理日志中查看连接详细信息。但是,实际文件传输和目录列表仍然可以在访问日志中查看。
下面是一些在本地FTP访问日志中看到的内容示例。
1340084525.556 2808 192.168.10.100 TCP_MISS/226 2790 RETR ftp://ftp.example.com/examplefile.txt - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,-,0,-,-,-,-> -
1340084512.590 1013 192.168.10.100 TCP_MISS/230 27 FTP_CONNECT tunnel://ftp.example.com/ - DIRECT/ftp.example.com - DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-,-> -
1340084514.016 1426 192.168.10.100 TCP_MISS/226 413 MLSD ftp://ftp.example.com/ - DIRECT/ftp.example.com text/plain DEFAULT_CASE-FTPACCESS <nc,ns,0,-,-,-,-,0,-,-,-,-> -