Microsoft Forefront TMG — публикация FTP и FTP-сервера

Опубликовано: 9 Апреля, 2023

Введение

В этой статье я покажу вам, как разрешить трафик FTP-сервера через сервер TMG для исходящих соединений с помощью правил брандмауэра и для входящих соединений с помощью правил публикации сервера TMG. Мы также рассмотрим некоторые особенности FTP в Forefront TMG.

Давайте начнем

Примечание:
Имейте в виду, что информация в этой статье основана на версии-кандидате Microsoft Forefront TMG и может быть изменена.

Несколько месяцев назад Microsoft выпустила RC 1 (Release Candidate) Microsoft Forefront TMG (Threat Management Gateway), который имеет множество новых интересных функций.

Одной из новых функций Forefront TMG является возможность пропускать трафик FTP-сервера через брандмауэр в обоих направлениях. Это делается в виде правил доступа брандмауэра для исходящего доступа к FTP и правил публикации сервера для входящего доступа к FTP через опубликованный FTP-сервер. Этот сервер расположен в вашей внутренней сети или сети периметра, также известной как DMZ (если вы не используете общедоступные IP-адреса для FTP-сервера в DMZ).

Во-первых, я покажу вам шаги, которые вам нужно будет выполнить, чтобы создать правило брандмауэра, которое разрешит FTP-доступ для исходящих соединений через TMG.

Правило доступа к FTP

Создайте новое правило доступа, которое разрешает протокол FTP для ваших клиентов. Если вы хотите разрешить своим клиентам доступ по FTP, они должны быть клиентами Secure NAT или TMG, также известными как клиенты брандмауэра в предыдущих версиях Forefront TMG.

Пожалуйста, обрати внимание:
Если вы используете клиент веб-прокси, вы должны помнить, что через этот тип клиента возможен только доступ по FTP только для чтения, и вы не можете использовать классический FTP-клиент для доступа по FTP, возможен только доступ по FTP через веб-браузер с некоторыми ограничениями.

На следующем рисунке показано правило доступа к FTP.

Известная ловушка, начиная с ISA Server 2004, заключается в том, что по умолчанию, после создания правила доступа к FTP, это правило разрешает доступ только для чтения FTP в целях безопасности, чтобы предотвратить загрузку конфиденциальных данных пользователями за пределы организации без разрешение. Если вы хотите включить загрузку по FTP, вам нужно щелкнуть правой кнопкой мыши правило доступа к FTP, а затем нажать «Настроить FTP».

Все, что вам нужно сделать, это снять флаг только для чтения, подождать, пока будет установлено новое FTP-соединение, и пользователи получат все необходимые разрешения для выполнения FTP-загрузок.

Рисунок 3: Разрешить доступ для записи через TMG

Публикация FTP-сервера

Если вы хотите разрешить входящие FTP-подключения к своим внутренним FTP-серверам или к FTP-серверам, расположенным в DMZ, вам необходимо создать правила публикации серверов, если сетевое отношение между внешней и внутренней/DMZ-сетью является NAT. Если вы используете сетевые отношения маршрутизации, можно использовать правила брандмауэра, чтобы разрешить доступ к FTP.

Чтобы получить доступ к FTP-серверу во внутренней сети, создайте правило публикации FTP-сервера.

Просто запустите мастер создания новых правил публикации сервера и следуйте инструкциям.

В качестве протокола необходимо выбрать определение протокола FTP-сервера, которое разрешает входящий FTP-доступ.

Рисунок 4: Публикация протокола FTP-сервера

Определение стандартного протокола FTP-сервера использует связанный стандартный протокол, который может использоваться для проверки NIS, если доступна подпись NIS.

Рисунок 5: Свойства протокола FTP-сервера

Стандартное определение протокола FTP-сервера разрешает FTP-порт 21 TCP для входящего доступа, а определение протокола связано с фильтром доступа к FTP, который отвечает за обработку порта протокола FTP (данные FTP и порт управления FTP).

Рисунок 6: Порты FTP и привязка фильтра доступа к FTP

Активный FTP

Одно из изменений в Microsoft Forefront TMG заключается в том, что брандмауэр больше не разрешает активные FTP-подключения по умолчанию из соображений безопасности. Вы должны вручную разрешить использование активных FTP-соединений. Включить эту функцию можно в свойствах фильтра FTP-доступа. Перейдите к системному узлу в консоли управления TMG, выберите вкладку «Фильтры приложений», выберите фильтр «Доступ к FTP» и на панели задач нажмите «Настроить выбранный фильтр» (рис. 7).

В свойствах фильтра FTP-доступа выберите вкладку «Свойства FTP» и установите флажок «Разрешить активный доступ к FTP» и сохраните конфигурацию в хранилище TMG.

Рисунок 8: Разрешить активный FTP через TMG

FTP-оповещения

Forefront TMG поставляется с множеством предопределенных настроек предупреждений для нескольких компонентов и событий. Одной из них является функция оповещения для предупреждения об инициализации FTP-фильтра. Это оповещение информирует администратора о том, что фильтру FTP не удалось проанализировать разрешенные команды FTP.

Рисунок 9: Настройте параметры оповещения FTP

Действия по предупреждению почти такие же, как и в ISA Server 2006, поэтому для опытных администраторов ISA нет ничего нового.

Вывод

В этой статье я показал вам несколько способов разрешить FTP-доступ через сервер TMG. Есть несколько подводных камней для успешной реализации FTP. Одна из ловушек заключается в том, что с момента появления ISA Server 2004 разрешение доступа на запись по FTP через брандмауэр и другая ловушка впервые появились в Forefront TMG. Forefront TMG по умолчанию не разрешает FTP-подключения в активном режиме, поэтому вам придется активировать эту функцию вручную, если вам действительно нужна такая специальная конфигурация.

Кибер-безопасность