À Propos du Proxy FTP

Le protocole FTP (File Transfer Protocol, protocole de transfert de fichiers) permet d'envoyer des fichiers d'un ordinateur vers un autre via un réseau TCP/IP. Le client FTP est en principe un ordinateur. Le serveur FTP peut être une ressource stockant les fichiers sur le même réseau ou sur un autre réseau.

Avec une stratégie de proxy FTP, vous pouvez :

Définir la longueur maximale du nom d'utilisateur, la longueur du mot de passe, la longueur du nom de fichier et la longueur de la ligne de commande autorisées dans le proxy pour vous aider à protéger votre réseau contre les attaques de dépassement de mémoire tampon.
Contrôler le type de fichiers pouvant être transférés et téléchargés via le proxy FTP.

Le proxy-FTP ne prend pas en charge les connexions FTP over SSL, TLS ou SFTP.

Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy FTP utilise un port autre que le port 20, le proxy TCP/UDP lui relaie le trafic. Pour obtenir des informations sur le proxy TCP/UDP, consultez À Propos du Proxy TCP-UDP.

Pour des instructions détaillées sur la manière d'ajouter le proxy FTP à la configuration de votre Firebox, consultez Ajouter une Stratégie de Proxy à Votre Configuration.

Quelle Action de Proxy Utiliser

Lorsque vous configurez une stratégie de proxy, vous devez sélectionner une action de proxy adaptée à la stratégie. Pour une stratégie de proxy qui autorise les connexions issues des clients internes vers Internet, utilisez l'action de proxy Client. Pour une stratégie de proxy qui autorise les connexions à vos serveurs internes à partir d'Internet, utilisez l'action de proxy Serveur.

Les actions de proxy prédéfinies dont le nom se termine par Standard comprennent les paramètres standard recommandés reflétant les dernières tendances du trafic réseau d'Internet.

Dans Fireware v11.12 et les versions ultérieures, les assistants Web Setup Wizard et WSM Quick Setup Wizard ajoutent automatiquement la stratégie de proxy FTP qui utilise l'action de proxy Client-FTP-par-Défaut. L'action de proxy Client-FTP-par-Défaut s'appuie sur l'action proxy FTP-Client.Standard et active les services d'abonnement dont la licence figure sur la clé de fonctionnalité lors de l'exécution de l'assistant de configuration. Si vous ajoutez une nouvelle stratégie de proxy FTP, l'action de proxy Client-FTP-par-Défaut convient parfois mieux que l'action de proxy FTP-Client.Standard. Pour de plus amples informations concernant l'action de Client-FTP-par-Défaut, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.

Mode FTP Actif et Passif

Lors du transfert de données, le client FTP peut se trouver dans l'un des deux modes suivants : actif ou passif. En mode actif, le serveur démarre la connexion avec le client sur le port source 20. En mode passif, le client utilise un port précédemment négocié pour se connecter au serveur. Le proxy FTP surveille et analyse les connexions FTP entre les utilisateurs et les serveurs FTP auxquels ils se connectent.

Si vous hébergez un serveur FTP derrière votre périphérique Firebox qui prend en charge les connexions en mode passif (PASV), assurez-vous que l'adresse IP de réponse PASV corresponde à l'adresse IP de l'interface du serveur. Certaines configurations de serveur FTP répondent avec l'adresse IP de la passerelle externe pour le réseau. Cela n'est pas nécessaire car le proxy FTP de votre Firebox traduit les réponses PASV vers l'adresse IP externe et ajoute des règles pour les ports de données supplémentaires spécifiés dans la réponse PASV.

Ce problème s'applique également aux filtres de paquets FTP avec SNAT.

Configurer le Proxy FTP

Ces sections décrivent les onglets de configuration du Proxy FTP dans Fireware Web UI.

Onglet Paramètres

Dans l'onglet Paramètres, vous pouvez définir les informations de base d'une stratégie de proxy, par exemple si elle autorise ou refuse le trafic, créer les règles d'accès d'une stratégie, ou configurer les quotas de bande passante et de durée, la NAT statique et l'équilibrage de charge côté serveur. L'onglet Paramètres affiche également le port et le protocole de la stratégie ainsi qu'une description facultative de la stratégie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la notification, le blocage automatique et les préférences de délai d'expiration.

Les connexions sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Consultez Définir des Règles d'Accès pour une Stratégie.
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Consultez Configurer la Traduction d'Adresses Réseau Statique (SNAT) et Configurer l'Équilibrage de Charge Côté Serveur.
Pour spécifier les paramètres de journalisation pour cette stratégie, configurez les paramètres dans la section Journalisation.

Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.
Si, dans la liste déroulante Les connexions sont, vous choisissez l'état Refusé ou Refusé (envoi réinitialisé), les sites tentant de recourir au protocole FTP seront bloqués.

Pour plus d'informations, consultez Bloquer Temporairement les Sites avec des Paramètres de Stratégie.
Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, consultez Définir un Délai d'Inactivité Personnalisé.
Pour activer les quotas de temps et de bande passante, consultez À propos des Quotas.

Onglet SD-WAN

Dans l'onglet SD-WAN, vous pouvez choisir d'appliquer une action SD-WAN à la stratégie. Vous pouvez également ajouter une nouvelle action SD-WAN. Pour plus d'informations sur le routage SD-WAN, consultez À propos du SD-WAN.

SD-WAN remplace le routage basé sur stratégie dans Fireware v12.3 et les versions ultérieures.

Onglet Application Control

Si Application Control est activé sur votre Firebox, vous pouvez définir l'action que ce proxy utilise pour cette application.

Sélectionnez l'onglet Application Control.
Dans la liste déroulante Action Application Control, sélectionnez une action d'Application Control à utiliser pour cette stratégie ou créez une nouvelle action.
(Facultatif) Modifier les paramètres d'Application Control pour l'action sélectionnée.
Cliquez sur Enregistrer.

Pour plus d'informations, consultez Activer Application Control dans une Stratégie.

Onglet Geolocation

Si Geolocation est activé sur votre Firebox, dans l'onglet Geolocation, vous pouvez sélectionner l'action Geolocation de ce proxy. Vous pouvez également ajouter une nouvelle action Geolocation. Pour plus d'informations sur Geolocation, consultez Configurer Geolocation.

Pour appliquer une action Geolocation dans une stratégie :

Sélectionnez l'onglet Geolocation.
Dans la liste déroulante Action de Contrôle Geolocation, sélectionnez une action Geolocation.
Pour créer une nouvelle action Geolocation, vous pouvez également cliquer sur Ajouter.
Cliquez sur Enregistrer.

L'onglet Geolocation est disponible dans Fireware 12.3 et les versions ultérieures.

Onglet Gestion du Trafic

Dans l'onglet Gestion du Trafic, vous pouvez sélectionnez l'action de Gestion de Trafic pour la stratégie. Vous pouvez également créer une nouvelle action de Gestion du Trafic. Pour plus d'informations sur les Actions de Gestion du Trafic, consultez Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures et Ajouter une Action de Gestion de Trafic à une Stratégie.

Pour appliquer une action de Gestion de Trafic à une stratégie :

Sélectionnez l'onglet Gestion du trafic.
Dans la liste déroulante Action de Gestion de Trafic, sélectionnez une action de Gestion du Trafic.

Ou, pour créer une nouvelle action de Gestion de Trafic, sélectionnez Créer Nouveau et configurez les paramètres tel que décrit dans la rubrique Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures.
Cliquez sur Enregistrer.

Onglet Action de Proxy

Vous pouvez choisir une action de proxy prédéfinie ou configurer une action de proxy définie par l'utilisateur pour ce proxy. Pour plus d'informations sur la façon de configurer les actions de proxy, consultez À propos des Actions de Proxy.

Pour configurer l'action de proxy :

Sélectionnez l'onglet Action de Proxy.
Dans la liste déroulante Action de Proxy, sélectionnez l'action de proxy à utiliser pour cette stratégie.

Pour plus d'informations sur les actions de proxy, consultez À propos des Actions de Proxy.
Cliquez sur Enregistrer.

Pour le proxy FTP, vous pouvez configurer ces catégories de paramètres pour une action de proxy :

Onglet Planification

Dans l'onglet Planification, vous pouvez définir un planning d'application pour la stratégie. Vous pouvez sélectionnez un planning existant ou en créer un nouveau.

Sélectionnez l'onglet Planification.
Dans la liste déroulante Planifier une action, sélectionnez un planning.

Ou, pour créer un nouveau planning, sélectionnez Créer un Nouveau et configurez les paramètres tel que décrit dans les rubriques Créer des Plannings pour les Actions Firebox et Définir un Calendrier d'Application.
Cliquez sur Enregistrer.

Onglet Avancé

L'onglet Avancé comprend des paramètres pour les options NAT, QoS, multi-WAN et ICMP.

Pour modifier ou ajouter un commentaire à la configuration de cette stratégie de proxy, saisissez le commentaire dans la zone de texte Commentaire.

Pour plus d'informations sur les options de cet onglet, voir :

Ces sections décrivent les onglets de configuration du proxy FTP dans Policy Manager.

Onglet Stratégie

Pour définir les règles d'accès et d'autres options, sélectionnez l'onglet Stratégie.

Les connexions du proxy FTP sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Consultez Définir des Règles d'Accès pour une Stratégie.
Router le trafic sortant via > SD-WAN — Consultez la section À propos du SD-WAN. Astuce !
Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Consultez Configurer la Traduction d'Adresses Réseau Statique (SNAT) et Configurer l'Équilibrage de Charge Côté Serveur.
Activer Application Control — Activez Application Control et sélectionnez l'action Application Control à utiliser pour cette stratégie. Pour plus d'informations, consultez.Activer Application Control dans une Stratégie.
Activer Geolocation — Activez Geolocation et sélectionnez l'action Geolocation à utiliser pour cette stratégie. Pour plus d'informations, consultez Configurer Geolocation.
Activer IPS — Activez IPS pour cette stratégie. Pour plus d'informations, consultez Activer ou désactiver IPS pour une Stratégie.
Action de proxy— Sélectionnez l'action de proxy à utiliser pour cette stratégie. Vous pouvez également modifier les ensembles de règles pour les actions de proxy.
Pour activer les quotas de temps et de bande passante, consultez À propos des Quotas.

Onglet Propriétés

Vous pouvez configurer les options suivantes dans l'onglet Propriétés :

Pour modifier ou ajouter un commentaire à la configuration de cette stratégie, saisissez le commentaire dans la zone de texte Commentaire.
Pour définir les paramètres de journalisation pour la stratégie, cliquez sur Journalisation.

Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.
Si, dans la liste déroulante Les connexions du proxy FTP sont (dans l'onglet Stratégie), vous choisissez l'état Refusé ou Refusé (envoi réinitialisé), les sites tentant de recourir au protocole FTP seront bloqués.
Pour plus d'informations, consultez Bloquer Temporairement les Sites avec des Paramètres de Stratégie.
Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, consultez Définir un Délai d'Inactivité Personnalisé.

Onglet Avancé

Vous pouvez aussi configurer les options suivantes dans votre définition de proxy :

Définir un Calendrier d'Application
Ajouter une Action de Gestion de Trafic à une Stratégie
Définir la Gestion des Erreurs ICMP
Appliquer des Règles NAT (Les règles 1-to-1 NAT et NAT dynamique sont activées par défaut dans toutes les stratégies).
Définir des Limites de Vitesse de Connexion
Activer le Marquage QoS et la Priorité pour une Stratégie
Définir la Durée de Connexion Persistante pour une Stratégie

Configurer l'action de proxy

Pour le proxy FTP, vous pouvez configurer ces catégories de paramètres pour une action de proxy :

Voir Également

À propos des Stratégies de Proxy et des ALG

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.