Нужна консультация?

Нужна консультация?
Позвоните нам

+7 (495) 161-97-84

Узнайте больше о Solar WebProxy

FTP-трафик часто замечают слишком поздно — когда файл уже ушел на внешний сервер. Это может быть архив, выгрузка, конфигурация или документ с чувствительными данными. Для ИБ важен не сам факт использования протокола, а прозрачность передачи: кто, куда, что и в каком направлении передает. Разбираем, чем опасен FTP-трафик и как SWG помогает контролировать его в поддерживаемых прокси-сценариях.

Почему FTP-трафик до сих пор важен для бизнеса

Бизнес продолжает использовать FTP там, где нужен простой обмен файлами: загрузить каталог на внешний сервер, получить выгрузку от подрядчика, передать изображения, обновления, архивы, технические файлы или наборы данных для интеграций. Через этот канал передают прайс-листы, отчеты, архивы, технические файлы, дампы, изображения, обновления и наборы данных для интеграций.

Проблема не в том, что FTP-протокол существует. Проблема начинается, когда FTP-трафик выпадает из политики, по которой контролируется остальной интернет-трафик. В такой ситуации организация видит веб-сайты и облачные сервисы, но хуже понимает, что происходит с файловыми передачами через отдельные клиенты.

Для ИБ это похоже на матч на высокой скорости: если один фланг оставлен без защитника, соперник найдет пространство. Поэтому контроль FTP-соединений нужен не как редкая настройка «на всякий случай», а как часть внутренней мускулатуры компании — вместе с SWG, DLP, антивирусом, песочницей и SIEM.

что такое ftp-трафик

Что такое FTP-трафик и где его используют

FTP, или File Transfer Protocol, — прикладной протокол для обмена файлами между клиентом и сервером. Клиент подключается к серверу, проходит авторизацию и выполняет файловые операции: скачивает или загружает файл, просматривает каталог, переименовывает или удаляет объект.

В корпоративной среде FTP-трафик часто идет не из браузера, а из отдельных клиентов: WinSCP, FileZilla и аналогичных инструментов. Ими пользуются администраторы, разработчики, контент-команды и сервисы интеграции, когда нужно быстро передать файлы на внешний ресурс.

Важно не смешивать FTP, FTPS и SFTP. FTP в классическом виде не шифрует учетные данные и содержимое передачи. FTPS добавляет к FTP защиту с помощью TLS. SFTP — это другой протокол, работающий поверх SSH. Но даже если используется защищенный вариант передачи, шифрование не заменяет контроль: ИБ-команде все равно важно понимать маршрут, пользователя, сервер, направление передачи, тип файла и результат политики.

Поэтому вопрос звучит не только как «использовать FTP или более защищенный протокол». Для корпоративной безопасности важнее другое: проходит ли файловый обмен через управляемый маршрут и применяются ли к нему правила ИБ.

Основные риски FTP-трафика для компании

  1. Вывод данных на внешний сервер. FTP может стать каналом передачи конфиденциальных документов, персональных данных, финансовых отчетов, исходного кода, логов, резервных копий, конфигурационных файлов и архивов.
    Не всегда это злой умысел. Сотрудник может отправить файл подрядчику «быстрее, чем через согласованный канал», администратор — выгрузить конфигурацию для диагностики, разработчик — передать набор данных во внешнюю среду. Но для бизнеса результат один: файл ушел за пределы контролируемого контура, а у ИБ может не быть полной картины события.
  2. Загрузка вредоносных файлов. Через FTP можно скачать архив, исполняемый файл, скрипт, макросный документ, подмененный дистрибутив или другой объект, который затем попадет во внутреннюю инфраструктуру.
    Особенно рискованны архивы: внутри может быть вложенный архив, исполняемый файл, скрипт, LNK-файл, документ с макросом или объект, который не виден при поверхностной проверке. Если такой файл не проходит через политики безопасности и внешние средства анализа, инцидент может начаться раньше, чем команда ИБ увидит событие.
  3. Обход привычных веб-политик. Многие компании детально контролируют доступ к браузеру, SaaS, облака и веб-приложения, но хуже управляют отдельными клиентами для передачи файлов. Если FTP-клиент работает напрямую, а не через корпоративный прокси-сценарий, правила веб-фильтрации могут не применяться. В результате часть файлового обмена оказывается за пределами привычных отчетов и расследований: веб-активность видна, а FTP-операции — нет.
  4. Недостаток данных для расследования. При инциденте ИБ-команде нужны не только факты соединений. Важно восстановить цепочку: кто подключался к серверу, какие операции выполнял, был ли это download или upload, какие файлы передавались, какое правило сработало и чем завершилась проверка. Если таких данных нет, расследование превращается в ручной сбор логов из разных систем. Это увеличивает время реакции и усложняет доказательную базу для внутреннего разбора, аудита или коммуникации с бизнесом.
контроль FTP-трафика

Почему FTP сложнее контролировать, чем обычный веб-трафик

FTP трафик не равен HTTP(S), поэтому его нельзя автоматически считать покрытым обычной веб-фильтрацией. Для веб-сайта достаточно контролировать URL, категорию ресурса, пользователя, тип запроса и результат политики. Для FTP важны дополнительные признаки: направление передачи, FTP-команда, сервер, порт, тип файла, размер, наличие архива или запароленного объекта.

Отдельная сложность — архитектура подключения. Если FTP идет напрямую в интернет, SWG может просто не оказаться на маршруте. Поэтому контроль начинается не с блокировки, а с правильного маршрута: трафик должен проходить через поддерживаемый прокси-сценарий, а прямые обходные подключения нужно ограничивать сетевыми политиками, маршрутизацией, NGFW и настройками рабочих станций.

Здесь важно не подменять классы решений. NGFW помогает ограничивать сетевой доступ, зоны, порты и прямые соединения. SWG нужен для применения политик к веб- и прокси-трафику, включая файловые сценарии. DLP, антивирус или песочница могут использоваться для более глубокого анализа содержимого. SIEM помогает связать события в общую картину расследования.

Файловый канал без слепых зон

Неконтролируемая передача файлов создает для бизнеса уязвимый маршрут, который может оставаться незаметным для ИБ-команды. Контроль FTP через SWG помогает вернуть прозрачность: видеть направление передачи, применять политики, проверять файлы и снижать риск до того, как он приведет к инциденту.

Екатерина Черкасова

PMM Solar webProxy

Как SWG помогает контролировать FTP-трафик

SWG становится точкой применения политики там, где FTP-трафик проходит через поддерживаемый прокси-сценарий. Это позволяет не просто разрешить или запретить соединение, а управлять файловыми операциями более детально.

В практическом сценарии ИБ-команда может контролировать:

  • Кто инициирует соединение.
  • К какому FTP-серверу идет обращение.
  • Выполняется загрузка файла на сервер или скачивание на рабочую станцию.
  • Какой тип файла передается.
  • Соответствует ли файл условиям политики.
  • Нужно ли передать объект на внешнюю проверку.
  • Какое действие применить — разрешить, заблокировать, зафиксировать событие, уведомить администратора.

Так FTP перестает быть отдельным «техническим исключением» и становится частью общей политики контроля файлового обмена.

SWG (Secure Web Gateway) — шлюз веб-безопасности. Он применяет политики доступа, анализирует трафик, помогает контролировать загрузку и выгрузку файлов, передает объекты на проверку и фиксирует события. Для FTP-трафика это особенно важно: канал перестает быть отдельной серой зоной и становится частью общей схемы защиты трафика.

Контроль начинается с маршрута

Контроль FTP через SWG работает там, где трафик проходит через поддерживаемый прокси-сценарий. Если клиент идет в обход корпоративного маршрута, риск нужно закрывать сетевыми политиками, агентом, NGFW, маршрутизацией и запретом прямых выходов.

Екатерина Черкасова

PMM Solar webProxy

Как Solar webProxy контролирует FTP-трафик

Solar webProxySolar webProxy — SWG-система для централизованного контроля интернет-доступа, фильтрации веб-трафика и защиты пользователей от веб-угроз. помогает централизованно управлять доступом пользователей к сайтам и веб-приложениям, контролировать их действия в сети и снижать риски, связанные с веб-угрозами. В продукте поддерживается анализ трафика HTTP, HTTPS, FTP over HTTP и SOCKS5, применение политик безопасности, DPI на уровне L7, авторизация пользователей и протоколирование действий.

В обновлении Solar webProxy 4.4 добавлена фильтрация FTP трафика, проходящего через HTTP- и SOCKS5-прокси. Это означает, что загрузки и выгрузки могут обрабатываться политиками, близкими к политикам веб-трафика: разрешить, запретить, отправить на проверку, зафиксировать событие.

Для эксплуатации это практичный рывок вперед. FTP-трафик от WinSCP, FileZilla и похожих клиентов становится видимым: можно понять, кто передает файлы, на какие серверы, в каком направлении и с каким результатом политики. Идея «Безопасность за нами» здесь выражается не лозунгом, а управляемым процессом.

Возьмите FTP-трафик под контроль. Скачайте презентацию Solar webProxy 4.4 и посмотрите, как контроль FTP через прокси встраивается в общую политику веб-безопасности.

Контроль архивов и запароленных объектов в Solar webProxy 4.5

Отдельный риск в FTP-канале — архивы. Они могут использоваться и для легитимной передачи файлов, и для обхода политик: внутрь архива можно поместить исполняемый файл, скрипт, документ с чувствительными данными или вложенный архив.

В Solar webProxy 4.5 усилена работа с архивами. Система может фильтровать архивы, блокировать объекты, защищенные паролем, а также распаковывать архивы и проверять вложенные объекты по условиям политики в HTTP(S)- и FTP-сценариях.

Это помогает закрыть распространенный сценарий обхода: когда запрещенный файл не передается напрямую, а помещается внутрь архива. В таком случае политика может применяться не только к самому архиву, но и к его содержимому: типам файлов, размеру, ключевым словам и другим условиям.

Также важна обработка проблемных архивов. Для поврежденных, запароленных или зашифрованных архивов, превышения таймаута распаковки или общего размера файлов в архиве можно задать действие политики: разрешить или заблокировать. Это позволяет заранее определить поведение системы в спорных ситуациях, а не разбирать их вручную после инцидента.

Проверка файлов и интеграция с внешними системами анализа

Контроль FTP-трафика не должен ограничиваться решением «разрешить или заблокировать соединение». Для ИБ важнее понимать, какие файлы передаются, в каком направлении и нужно ли отправить их на дополнительную проверку. Особенно это актуально для архивов, документов, исполняемых файлов, скриптов и других объектов, которые могут содержать чувствительные данные или вредоносный код.

В этом сценарии Solar webProxy может выступать точкой передачи файлов во внешние средства защиты. Через ICAPICAP — протокол интеграции прокси с внешними системами анализа контента, например DLP, антивирусом или песочницей. объекты направляются на проверку в DLP-систему, антивирус или песочницу, а результат обработки затем учитывается в рамках политики безопасности. Такой подход позволяет встроить FTP в общий контур контроля файлов, не создавая отдельный изолированный процесс для каждого канала.

Это важное архитектурное разделение: SWG не обязан заменять все инструменты контентного анализа. Его роль — встроить передачу файлов в управляемый процесс и связать прокси-контур с внешними средствами защиты.

В таком сценарии SWG выполняет несколько задач:

  • Видит передачу файла в поддерживаемом прокси-сценарии.
  • Применяет к операции заданную политику безопасности.
  • При необходимости передает объект на проверку в DLP, антивирус или песочницу.
  • Получает результат обработки от внешней системы.
  • Выполняет действие по политике: разрешает, блокирует или фиксирует событие.
  • Сохраняет данные для последующего анализа и расследования.

Так защита FTP-протокола становится частью единой системы управления рисками, а не набором разрозненных ручных проверок.

ftp-трафик через веб-прокси

Журналирование и расследование инцидентов

Для ИБ-команды ценность контроля FTP не ограничивается блокировкой. Важнее другое: восстановить картину, если событие уже произошло. Кто подключался к серверу, какие файлы передавал, в каком направлении, какое правило сработало, был ли объект отправлен на проверку и чем закончилась обработка.

Блокировка сама по себе не дает полной картины. Без журналирования администратор не видит, какое правило, исключение или ресурс стали причиной срабатывания, а аналитик не может быстро связать подозрительный сервер с пользователем, подразделением и конкретной операцией.

Журналы Solar webProxy помогают разбирать такие ситуации системно и без догадок. Администратор или аналитик может опираться на факты: посмотреть, какое правило сработало, какой пользователь выполнял действие, какой ресурс использовался и почему операция была разрешена или заблокирована. Это упрощает расследование, настройку исключений и корректировку политик без хаотичных изменений.

Преимущества Solar webProxy для разных ролей

Для разных ролей контроль FTP дает практическую ценность:

Для CISO:

  • Закрывает риск, который часто выглядит второстепенным, но связан с самым чувствительным активом — данными.
  • Управляемый FTP-трафик снижает вероятность утечек и помогает контролировать занос файлов во внутреннюю инфраструктуру.
  • Журналы и события дают доказательную базу для расследований, аудита и внутренних проверок.

Для CIO и ИТ-директора:

  • FTP не превращается в отдельный «остров» управления.
  • Контроль встраивается в существующую прокси-инфраструктуру и работает рядом с политиками HTTP(S), SOCKS5 и веб-доступа.
  • Снижается количество точечных решений, ручных настроек и сложностей при эксплуатации распределенной сети.

Для администратора:

  • Правила настраиваются централизованно, без ручного контроля каждого сценария.
  • Политики проще проверять, отлаживать и корректировать.
  • Понятные журналы помогают быстрее разбирать причины блокировок и действий пользователей.
  • Когда защита FTP-протокола описана в правилах, а не держится на устных договоренностях, команда быстрее реагирует и меньше ошибается в моменты нагрузки.

FTP не должен быть слепой зоной

В 2026 году зрелый подход к ИБ — не надеяться, что старые файловые каналы «как-нибудь не используют», а включать их в общую политику безопасности. FTP-протокол нужно рассматривать вместе с прокси, SWG, DLP, антивирусом, песочницей, NGFW и SIEM — как часть единого контура защиты, где каждый канал передачи данных остается видимым и управляемым.

Solar webProxy помогает контролировать FTP-трафик при работе через HTTP- и SOCKS5-прокси: применять политики, управлять загрузкой и выгрузкой файлов, передавать объекты на проверку и сохранять события для расследования. Так файловый обмен остается рабочим инструментом, а не неконтролируемым маршрутом для утечек или заноса вредоносных файлов.

Федеральная энергетическая компания — импортонезависимая защита КИИ

Задача: заменить зарубежное SWG-решение Forcepoint, сохранить непрерывный доступ пользователей к интернету и обеспечить защиту от веб-угроз в инфраструктуре предприятия энергетики с учетом требований к критической информационной инфраструктуре.

Решение: на предприятии внедрен Solar webProxy — российское SWG-решение для централизованного контроля интернет-доступа, прокси-сценариев и защиты пользователей от веб-угроз. Система поддерживает аутентификацию, прозрачный режим работы и помогает выстроить управляемый контур защиты без зависимости от зарубежного ПО.

Результат: под защитой оказалось более 14 000 пользователей; устранена зависимость от зарубежного программного обеспечения; обеспечены непрерывный доступ сотрудников к интернет-ресурсам, защита сетевого периметра в режиме реального времени и соответствие требованиям к защите критической информационной инфраструктуры.

Этот пример показывает практическую ценность SWG-подхода: бизнес сохраняет нужные цифровые процессы, а ИБ получает управляемый контур контроля. В сценариях с FTP-трафиком такая же логика помогает убрать «слепые зоны» при передаче файлов через прокси и встроить файловый обмен в общую систему защиты.

Усильте контроль файловых каналов

Усильте контроль файловых каналов

Оцените, как Solar webProxy 4.4 помогает управлять FTP-трафиком через прокси, проверять файлы и повышать прозрачность пользовательских действий.

Часто задаваемые вопросы

Чем опасен FTP-трафик для бизнеса с точки зрения ИБ?

Через него могут уходить конфиденциальные файлы, архивы, выгрузки и конфигурации, а внутрь — попадать вредоносные объекты. Главный риск — отсутствие видимости, кто, куда, когда и что передал.

Почему FTP-трафик важно контролировать через прокси?

Прокси дает управляемую точку контроля: можно применить политики, запретить рискованные серверы, проверить файлы, записать событие и использовать лог в аудите или расследовании.

Может ли SWG заменить NGFW или DLP при контроле FTP?

Нет. SWG не заменяет NGFW и DLP, а дополняет их. NGFW помогает ограничивать сетевые маршруты и прямые соединения, SWG применяет политики к трафику в поддерживаемом прокси-сценарии, а DLP и другие средства анализа могут использоваться для проверки содержимого файлов.

Как Solar webProxy фильтрует FTP-трафик через прокси?

Solar webProxy 4.4 обрабатывает трафик, который идет через HTTP- и SOCKS5-прокси, применяет к нему правила доступа, фиксирует операции и поддерживает передачу файлов на проверку.

Можно ли проверять архивы, передаваемые через FTP?

Да, в Solar webProxy 4.5 поддерживается фильтрация архивов, блокировка объектов, защищенных паролем, а также распаковка архивов и проверка вложенных объектов по условиям политики в HTTP(S)- и FTP-сценариях.

Как FTP-контроль помогает расследовать инциденты?

Логи показывают пользователя, ресурс, направление передачи, действие, файл и результат политики. Это помогает восстановить цепочку событий и быстрее понять причину нарушения или блокировки.

Чем FTP отличается от SFTP и FTPS с точки зрения контроля?

FTPS добавляет TLS к FTP, а SFTP работает поверх SSH. Но шифрование не заменяет контроль: ИБ все равно нужна видимость маршрута, операций, файлов, пользователей, исключений и решений политики.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Архивы как канал доставки угроз в веб-трафике: аналитика, кейсы и выводы

Архивы как канал доставки угроз в веб-трафике: аналитика, кейсы и выводы

Узнать больше
Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть

Приказ ФСТЭК России № 117: какие требования к веб-каналу важно учесть

Узнать больше
Как компании минимизируют утечки через ИИ-инструменты: кейсы Solar webProxy

Как компании минимизируют утечки через ИИ-инструменты: кейсы Solar webProxy

Узнать больше
Фильтрация и контроль ИИ‑сервисов: как снизить риски без тотальных запретов

Фильтрация и контроль ИИ‑сервисов: как снизить риски без тотальных запретов

Узнать больше
Большая база URL в категоризаторе: плюсы, минусы и оптимальный баланс для безопасности бизнеса

Большая база URL в категоризаторе: плюсы, минусы и оптимальный баланс для безопасности бизнеса

Узнать больше
Прокси-сервер: контроль трафика, безопасность и соответствие требованиям

Прокси-сервер: контроль трафика, безопасность и соответствие требованиям

Узнать больше
Каналы передачи данных: как защититься от утечки

Каналы передачи данных: как защититься от утечки

Узнать больше
Интернет-трафик: что это, как контролировать, анализировать и защищать

Интернет-трафик: что это, как контролировать, анализировать и защищать

Узнать больше
Контроль действий пользователей в интернете: баланс между безопасностью и комфортом

Контроль действий пользователей в интернете: баланс между безопасностью и комфортом

Узнать больше