我有两个应用程序
a) App-1 - 它是一个 FTP 客户端(ftp 客户端功能内置于应用程序代码中)。它部署在 Host-1 上。
b) App-2 - FTP 服务器(FTP 服务器功能内置于应用程序代码中)。它部署在 Host-2 上
这两个应用程序都是 COTS 产品,位于内部网络中并相互通信。此外,这两个应用程序都有其他业务逻辑,并执行大量分析和计算。由于这两个应用程序都使用自己的代码,而不是使用 OS 提供的 FTP 客户端和服务器(包),所以我很为难。
我们最近进行了一次安全审计,并被要求不要使用 FTP。问题是我们无法访问应用程序代码,我们希望这些应用程序使用 SSL/TLS(安全通信通道)。我想知道是否有任何解决方案可以解决这个问题。
我想到的一些解决方案是:1. 在 Host-1 和 Host-2 上使用基于 stunnel 的 SSL/TLS 隧道,但这里信令和数据通道成为问题。2. Host-1 到 Host-2 的 IPSEC 隧道。
有人能帮助我如何设置其中任何一个以使其正常运行吗?我也愿意接受其他解决方案(除了更改应用程序或其代码)。
谢谢 Garry
答案1
无法像使用 stunnel 或 SSH 转发那样将 SSL/TLS 限制到选定端口,因为 FTP 的设计使用动态端口进行数据传输。这样每个站点上都会有一些本地代理,可以在 FTP 和 FTPS 之间进行转换(不知道是否有这样的产品)或两个系统之间的 VPN/IPSec。