関連トピック
FTP プロキシについて
FTP (File Transfer Protocol) は、あるコンピュータから別のコンピュータに TCP/IP ネットワーク経由でファイルを送信する際に使用されます。通常、FTP クライアントはコンピュータです。FTP サーバーは、同じネットワーク上または異なるネットワーク上でファイルを保持するリソースとなることができます。
FTP プロキシ ポリシーを使用すると、次の操作を行うことができます。
- ネットワークをバッファ オーバーフロー攻撃から保護するには、プロキシにおいて許可されるユーザー名、パスワード、ファイル名、およびコマンド行の各最大長を設定できます。
- FTP プロキシによりダウンロードとアップロードが許可されるファイルの種類を制御できます。
TCP/UDP プロキシは、標準以外のポートにおけるプロトコルで使用できます。FTP でポート 20 以外のポートを使用する場合、TCP/UDP プロキシがトラフィックを FTP プロキシに中継します。TCP/UDP プロキシの詳細については、次を参照してください:TCP/UDP プロキシについて。
Firebox 構成に FTP プロキシを追加する方法の詳細については、次を参照してください:構成にプロキシ ポリシーを追加する。
どのプロキシ アクションを使用するか
プロキシ ポリシーを構成する際、ポリシーに適したプロキシ アクションを選択する必要があります。内部クライアントからインターネットへの接続を許可するプロキシ ポリシーの場合、クライアント プロキシ アクションを使用します。内部サーバーからインターネットへの接続を許可するポリシーの場合、サーバー プロキシ アクションを使用します。
プロキシ アクション名に Standard という用語が付加されている事前定義済みプロキシ アクションには、最新のインターネット ネットワーク トラフィックの傾向を反映した推奨標準設定が含まれています。
Fireware v11.12 以上では、Web Setup Wizard および WSM Quick Setup Wizard により Default-FTP-Client プロキシ アクションを使用するFTP-proxy ポリシーが自動的に追加されます。Default-FTP-Client プロキシ アクションは、FTP-Client.Standard プロキシ アクションに基づいており、セットアップ ウィザードを実行したときに機能キーでライセンス付与されたサブスクリプション サービスを有効化します。新しい FTP プロキシ ポリシーを追加する場合、Default-FTP-Client プロキシ アクションのほうが FTP-Client.Standard プロキシ アクションより優れた選択肢かもしれません。Default-FTP-Client プロキシ アクションの詳細については、以下を参照してください。Setup Wizard の既定のポリシーと設定。
FTP アクティブおよびパッシブ モード
FTP クライアントでは、データ転送のための 2 つのモード (アクティブまたはパッシブ) のいずれかを使用できます。アクティブ モードでは、サーバーはクライアントへの接続をソース ポート 20 で開始します。パッシブ モードでは、クライアントは以前ネゴシエートしたポートを使用してサーバーに接続します。FTP プロキシは、ユーザーと接続先 FTP サーバーの間のこれらの FTP 接続を監視およびスキャンします。
パッシブ モード(PASV)接続をサポートしている Firebox デバイスの背後にある FTP サーバーをホストする場合は、PASV 応答 IP アドレスが、サーバーのインターフェイス IP アドレスと一致していることを確認してください。一部の FTP サーバー構成は、ネットワークの外部ゲートウェイ IP アドレスで応答します。Firebox の FTP プロキシは PASV 応答を外部 IP アドレスに変換し、PASV 応答で指定された追加データ ポートにルールを追加します。したがって、これは不要です。
この問題は、SNAT による FTP パケット フィルタにも適用されます。
FTP-プロキシを構成する
設定 タブ
設定 タブで、トラフィックを許可するか拒否するかの判断、ポリシーのアクセス ルールの作成、またはポリシーベースのルーティング、帯域幅と時間クォータ、静的 NAT、サーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます。設定 タブには、ポリシーのプロトコルおよびポリシーのオプションの説明も表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。
- 接続 — 接続が 許可、拒否、または 拒否 (リセット送信) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。VPN ポリシーのアクセス ルールを設定する。
- ポリシーベースのルーティングの使用 — 次を参照してください:ポリシー ベースのルーティングを構成する
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。VPN 静的 NAT を構成する および サーバー負荷分散を構成する。
- ポリシーのログ記録設定を定義するには、ログ記録 セクションで構成します。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - 接続 ドロップダウン リストを 拒否 または 拒否 (リセット送信) に設定すると、FTP を使用しようとするサイトをブロックすることができます。
詳細については、次を参照してください:ポリシー設定で一時的にサイトをブロックする - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください:カスタムのアイドル タイムアウトを設定する。
- 帯域幅と時間クォータを有効化する方法については、次を参照してください:クォータについて。
Application Control タブ
Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。
- Application Control タブを選択します。
- Application Control Action ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
- (オプション) 選択したアクションの Application Control 設定を編集します。
- 保存 をクリックします。
詳細については、ポリシーで Application Control を有効にする を参照してください。
トラフィック管理 タブ
トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、以下を参照してください。v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する。
ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:
- トラフィック管理タブを選択します。
- トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。
または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します。v11.8.x 以降でトラフィック管理アクションを定義する。 - 保存 をクリックします。
プロキシ アクション タブ
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください:プロキシ アクションについて。
プロキシ アクションを構成するには、以下の手順を実行します:
- プロキシ アクション タブを選択します。
- プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。
プロキシ アクションの詳細については、次を参照してください:プロキシ アクションについて。 - 保存 をクリックします。
FTP プロキシについては、プロキシ アクションに対して以下の設定カテゴリを構成できます。
- FTP プロキシ:全般設定
- FTP プロキシ:コマンド
- FTP プロキシ:コンテンツ
- ETP プロキシ:AntiVirus
- FTP プロキシ:データ損失防止
- FTP プロキシ:プロキシおよび AV アラーム
- FTP プロキシ:APT Blocker
スケジューリング タブ
スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。
- スケジューリング タブを選択します。
- アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
または、次のトピックで説明されているように、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する。 - 保存 をクリックします。
詳細 タブ
詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。
このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。
このタブのオプションの詳細については、次を参照してください:
ポリシー タブ
アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。
- FTP プロキシ接続 — 接続が 許可、拒否、または 拒否 (リセット送信) されるかどうかを指定し、送信元 および 送信先 リストの表示対象を定義します (プロキシ定義の ポリシー タブ)。VPN ポリシーのアクセス ルールを設定する。
- ポリシーベースのルーティングの使用 — 次を参照してください:ポリシー ベースのルーティングを構成する
- 静的 NAT を構成する、またはサーバー負荷分散を構成することもできます。VPN 静的 NAT を構成する および サーバー負荷分散を構成する。
- プロキシ アクション— このポリシーに使用するプロキシ アクションを選択します。プロキシ アクションのルールセットも編集できます。
- 帯域幅と時間クォータを有効化する方法については、次を参照してください:クォータについて。
プロパティ タブ
プロパティ タブで、次のオプションを設定します。
- このポリシー構成のコメントを編集または追加するには、コメントをコメント テキスト ボックスに入力します。
- ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。
詳細については、次を参照してください:ログ記録と通知の基本設定を行う。 - FTP プロキシ接続 ドロップダウン リスト(ポリシー タブ)を 拒否 または 拒否 (リセット送信) に設定すると、FTP を使用しようとするサイトをブロックすることができます。
詳細については、次を参照してください:ポリシー設定で一時的にサイトをブロックする - Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください:カスタムのアイドル タイムアウトを設定する。
詳細 タブ
プロキシ定義で、これらのオプションを使用できます。
- 運用スケジュールを設定する
- ポリシーにトラフィック管理アクションを追加する
- ICMP エラー処理の設定
- NAT ルールを適用する (既定では、すべてのポリシーで 1 - 1 NAT と動的 NAT の両方が有効化されています。)
- 接続速度の制限を設定する
- ポリシーで QoS マーキングと優先順位付けを有効にする
- ポリシーの固定接続期間を設定する
プロキシ アクションを構成する
このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください:プロキシ アクションについて。
FTP プロキシについては、プロキシ アクションに対して以下の設定カテゴリを構成できます。