画图的标记最好详细点,别让人去猜。
比如你要说net访问web,web在linux服务器里搭建
比如nat是3725做,ftp也在linux服务器里搭建
你这种场景有两个雷点
一是ftp在被动模式下,数据端口是协商出来的,而不是用20号端口
二是web访问只需要单向,而你的 “显式加密” 又是否只需要单向?
你需要先解决雷点一,即你的实际数据是不是没被防火墙识别并放行
防火墙在这种场景下需要识别应用层载荷信息,也就是识别FTP的控制平面交互报文
从而自动放行控制平面协商出的数据端口
这个功能在华为叫ftp alg,你需要在你的墙上找到对应功能。
雷点二是按需解决的,因为我不清楚你说的 “显示加密” 是不是FTPS的显示加密
就好像我说服务器可能有硬件加密,那你知道我说的硬件加密是什么吗?
硬件加密在一些场合下需要双向访问,这一点你要检查你的nat配置是否具备双向访问。
比如你要说net访问web,web在linux服务器里搭建
比如nat是3725做,ftp也在linux服务器里搭建
你这种场景有两个雷点
一是ftp在被动模式下,数据端口是协商出来的,而不是用20号端口
二是web访问只需要单向,而你的 “显式加密” 又是否只需要单向?
你需要先解决雷点一,即你的实际数据是不是没被防火墙识别并放行
防火墙在这种场景下需要识别应用层载荷信息,也就是识别FTP的控制平面交互报文
从而自动放行控制平面协商出的数据端口
这个功能在华为叫ftp alg,你需要在你的墙上找到对应功能。
雷点二是按需解决的,因为我不清楚你说的 “显示加密” 是不是FTPS的显示加密
就好像我说服务器可能有硬件加密,那你知道我说的硬件加密是什么吗?
硬件加密在一些场合下需要双向访问,这一点你要检查你的nat配置是否具备双向访问。
