下载文档原格式
ftp防火墙入站规则
以下是一些常见的 FTP 防火墙入站规则示例:
1. 允许已知的客户端 IP 地址:只允许特定的 IP 地址或 IP 地址范围访问 FTP 服务器。
这可以限制只有授权的用户或网络能够连接到服务器。
2. 限制端口访问:只允许通过特定的 FTP 端口(通常是 21 用于控制连接和 20 用于数据传输)进行连接。
这样可以阻止其他端口的不必要的访问。
3. 强制使用加密连接:要求客户端使用安全的 FTP 连接(例如 FTPS 或 SFTP)进行数据传输,以确保传输过程中的数据隐私和完整性。
4. 限制用户访问:根据用户名和密码验证来限制对 FTP 服务器的访问。
只有拥有合法凭据的用户才能登录和访问文件。
5. 阻止特定的 IP 地址或网络:可以将已知的恶意 IP 地址或网络添加到阻止列表中,以防止来自这些来源的攻击或未经授权的访问。
6. 监控和日志记录:启用防火墙的监控功能,记录所有进出 FTP 服务器的网络流量。
这有助于追踪和审计活动,以检测潜在的安全威胁。
需要根据具体的组织需求和安全策略来定制和配置 FTP 防火墙的入站规则。
定期审查和更新规则以适应不断变化的安全环境也是很重要的。
如果你对特定的 FTP 防火墙或安全需求有更详细的问题,我可以提供更具体的帮助。
FTP服务器的配置过程FTP(File Transfer Protocol)服务器是一种用于在计算机之间传输文件的协议。
配置FTP服务器是建立一个文件传输的中心,使得用户可以通过FTP协议实现文件的上传和下载。
下面将介绍FTP服务器的配置过程。
1. 确定服务器操作系统首先,需要确定FTP服务器所运行的操作系统。
常见的服务器操作系统包括Windows、Linux和macOS等。
不同的操作系统对于FTP 服务器的配置方法有所不同。
2. 安装FTP服务器软件在确定服务器操作系统之后,需要安装相应的FTP服务器软件。
对于Windows操作系统,可以选择安装IIS(Internet Information Services)或者FileZilla Server等软件。
对于Linux操作系统,常用的FTP服务器软件包括vsftpd、proftpd等。
根据服务器操作系统的不同,选择适合的FTP服务器软件进行安装。
3. 配置FTP服务器安装完成后,需要对FTP服务器进行配置。
主要包括设置FTP服务器的根目录、连接端口、用户权限等。
根据软件提供的配置界面或者配置文件,进行相应的配置。
4. 创建FTP用户为了使用户能够使用FTP服务器进行文件传输,需要创建FTP用户。
根据服务器软件的不同,用户可以通过操作系统账户进行FTP访问,或者在服务器软件中单独创建FTP用户。
确保为每个用户设置合适的权限,以保护服务器的安全性。
5. 配置防火墙和网络设置在配置FTP服务器时,需要确保防火墙和网络设置允许FTP流量通过。
如果服务器位于一个局域网中,需要配置路由器或者交换机将FTP端口映射到服务器。
同时,也需要配置防火墙规则,允许FTP协议传输。
6. 测试FTP服务器配置在完成以上配置后,需要进行测试以确保FTP服务器能够正常工作。
可以使用FTP客户端软件(如FileZilla、WinSCP等)连接FTP服务器,并进行文件的上传和下载操作。
FTP服务器的安全性问题与解决方案随着互联网的快速发展,FTP(文件传输协议)服务器由于其高效方便的特性,被广泛应用于数据传输领域。
然而,FTP服务器的安全性问题也随之而来。
本文将讨论FTP服务器可能面临的安全隐患,并提出相应的解决方案,以确保FTP服务器的安全性。
一、弱密码问题安全性问题中最常见的莫过于弱密码。
一些用户使用过于简单的密码,如“123456”、“admin”等,容易被恶意用户破解,导致FTP服务器数据泄露。
为了解决这个问题,可以采取以下几种措施:1. 设置复杂密码要求:管理员可以要求用户设置包含大小写字母、数字和特殊符号的复杂密码,以增加密码的强度。
2. 密码定期更新:用户密码应定期更换,避免使用同一个密码过长时间,减少密码破解的风险。
3. 双因素认证:提供双因素认证选项,如使用手机验证码来验证用户身份,以增加登录的安全性。
二、拒绝服务攻击(DDoS攻击)拒绝服务攻击是通过发送大量的请求致使FTP服务器资源耗尽,使合法用户无法正常使用服务器的一种方式。
为了降低拒绝服务攻击的影响,可以采取以下措施:1. 流量监测与分流:设置流量监测系统,当检测到异常流量时,自动将流量分流至备用服务器,以确保正常用户的服务质量。
2. 防火墙设置:利用防火墙技术,根据IP地址、端口等规则,阻止恶意访问者的访问。
3. 加强网络带宽:确保FTP服务器具备足够的网络带宽,以抵御大规模的DDoS攻击。
三、文件传输的加密传输的数据未经加密的FTP服务器存在数据泄露的风险,使得机密信息易受攻击者窃取。
为了确保数据传输的安全,可以采取以下方法:1. SSL/TLS 加密:通过安装SSL/TLS证书,将FTP服务器设置为SSL/TLS加密模式,保护数据在传输过程中的安全。
2. SFTP 或 FTPS 替代 FTP:SFTP和FTPS分别基于SSH和SSL/TLS协议,提供了更高级的安全性和加密传输。
四、定期的安全审计与更新保持FTP服务器的安全性需要定期的安全审计和更新,以修补潜在的漏洞并改进安全性策略。
ftp端口21防火墙怎么样设置ftp端口21防火墙设置你会吗?小编来教你!下面由店铺给你做出详细的ftp端口21防火墙设置方法介绍!希望对你有帮助!ftp端口21防火墙设置方法一:windows2003默认的自带防火墙简单,好用,一般服务器,建议开启它允许远程桌面3389端口和80,21端口即可。
那么如何设置windows自带的防火墙允许网站访问的80端口和ftp的21端口?如何打开windows自带的防火墙:开始菜单=》控制面板=》Windows防火墙=》启用=》例外=》设置允许的端口默认情况下,网站访问是80端口,ftp访问是21端口,远程桌面是3389端口,都要设置为允许。
如果您还希望允许其他端口,那么请加上对应端口即可。
特别注意:一定要配置上防火墙允许远程登录的3389端口,不然您的服务器就进不去了。
如果更改了3389端口,例如改成了8893端口,那么您在防火墙上也要设置允许8893端口。
ftp端口21防火墙设置方法二:解决方法:打开宽带连接,依次点击属性-高级-(Windows防火墙)设置-例外-添加端口,在名称填你的域名,端口填21,点确定就可以了ftp端口21防火墙设置方法三:先说IIS6的FTP主程序吧。
不太清楚你说的主程序的意思。
我对你所说的问题的理解是,在开始-程序中怎么有没有IIS6的FTP设置和管理工具是吧?IIS的FTP的管理就是在IIS管理器中进行的,如图1红框处。
如果你发现你的IIS管理器中没有这一项是因为IIS6在默认安装时并不安装FTP组件,需要手工添加,你需要在控制面板--添加删除程序--添加删除windows组件中添加上。
再说主动模式和被动模式。
主动模式的连接过程是这样的,首先客户随机端口连接服务器21端口,然后服务器通过20端口连接客户机刚刚那个随机端口传数据。
整个过程中服务器只要开放TCP 20和21就可以被动模式的连接过程是这样的:首先客户随机端口连接服务器21端口,然后服务器通过21端口告诉客户机自己打开哪个端口传数据(这个端口是个1025--5000的端口)最后客户机连接服务器的所告知的端口。
win7下防火墙如何开启FTP服务
win7下防火墙如何开启FTP服务
win7下防火墙想要开启FTP服务,却不知道怎么办吗,那么win7下防火墙如何开启FTP服务的呢?下面是店铺收集整理的win7下防火墙如何开启FTP服务,希望对大家有帮助~~
win7下防火墙开启FTP服务的方法
方法/步骤
开启FTP服务:
控制面板 - 程序 - 打开和关闭Windows功能,在弹出的窗口中选择开启FTP功能和ISS管理控制台。
新建FTP站点:
右键“我的电脑” - 管理,弹出的“计算机管理”窗口,展开服务和应用程序节点,点选Internet信息服务(IIS)管理器,然后右键“网站”,选择添加FTP站点。
按个人需要填写信息即可,完成后即可看到新建的站点出现在窗口中。
设置防火墙:
控制面板\\系统和安全\\Windows 防火墙,点选“允许程序或功能通过windows防火墙”,在弹出的窗口中选择FTP服务器,并点击“允许运行另一程序”,点击“浏览”,将“C:\\Windows\\winsxs\\x86_microsoft-windows-iis- metabase_31bf3856ad364e35_6.1.7601.17514_none_3b396 1c08 0353ab1\\inetinfo.exe”添加到可允许程序中。
完成上述步骤,FTP服务就成功开启了,最后测试一下:
在另一台电脑打开“我的电脑”,在地址框输入“ftp://<配置FTP服务的电脑的IP地址>”,回车。
因为这里开启匿名登录,所以不需要输入用户名密码,直接打开了FTP服务器上设定的FTP目录。
如何设置IIS、FTP的设置是选主动模式还是被动模式首选被动模式,因为主动模式server要连接client的端口,一般会被client的防火墙阻塞。
在win 2003 中配置被动模式被动模式 FTP 连接是有时称为到 " 服务器管理 ", 因为与之一瞬态端口用作数据连接的服务器端端口服务器响应客户端发出 pasv 命令后,。
由客户端, 数据连接命令发出后服务器连接到客户立即使用端口上面控制连接的客户端端口。
与端口范围 1024 - 65535 内默认模式 Passive - IIS FTP 中随机选择到响应。
要进一步限制这些巨大端口范围, 系统管理员可配置命名 PassivePortRange 元数据库属性关键字,此属性关键字仅存在于 IIS 6.0, for IIS 5.0 在 Windows 2000,系统管理员需要安装Service Pack 4,在系统注册表中 PassivePortRange 项中添加。
更改 PassivePortRange for IIS, 执行过程之一下面部分中所述。
用于 Windows Server 2003要启用直接编辑元数据库)1 . 打开 IIS Microsoft 管理控制台 (MMC)。
2 . 右击本地计算机节点。
3 . 选择属性。
4 请确保启用直接编辑元数据库复选框。
通过 ADSUTIL 脚本配置 PassivePortRange b)1 . 单击开始、运行,键入 cmd, 和然后确定。
2 . 键入 cd Inetpub\AdminScripts,然后按 Enter。
3 . 键入以下命令从命令提示符。
CSCRIPT.exe C:\Inetpub\AdminScripts\adsutil.vbs set/MSFTPSVC/PassivePortRange "5500-5515"4 重新启动 FTP 服务。
通过 ADSUTIL 脚本配置时您会看到以下输出:Microsoft (R) Windows Script Host 版本 5.6版权所有 (C) Microsoft Corporation 1996 - 2001。
ftp不能上传防火墙怎么办有时候我的台式机显示ftp不能上传防火墙了,该怎么样解决呢?下面由店铺给你做出详细的ftp不能上传防火墙解决方法介绍!希望对你有帮助!ftp不能上传防火墙解决方法一:上传具体操作步骤如下:1、打开命令提示符窗口,输入ftp命令,按Enter键运行,提示如下:ftp>2、连接服务器。
在ftp>提示符下运行“open ”命令,稍等片刻,屏幕提示连接成功。
ftp>connected to 3、接下来服务器询问用户名和密码,分别输入1234和4321,待认证通过即可。
4、上传文件。
例如把d:ip.txt 文件传至服务器的根目录中,运行如下命令:ftp>put d:ip.txt当屏幕提示已经传输完毕后,可以输入相关命令进行查看。
下载具体操作步骤如下:ftp命令可用于上传文件,也可以用于下载文件。
例如把服务器images目录中所有.jpg文件下载至本机D:img中,可执行如下操作(登陆步骤忽略)。
1、ftp>cd images 命令,进入images目录。
2、ftp>lcd d: 命令,改变本地的工作目录。
3、ftp>mget *.jpg命令,出现“200 Type set to A”提示,输入“y”,下载所有.jpg文件到本地D:img中。
4、下载工作完毕后,可运行bye命令中断连接。
ftp不能上传防火墙解决方法二:vc++源代码如下:#include "stdafx.h"#include#include#include#include < io.h>#include < sys\stat.h>#include#include#include#include#includevoid FindPic(CString IpPath,CString pic);//定义一个文件查找函数FILE *stream;FILE* file;CString zz("\\");BOOL dRes,pRes;HINTERNET hInternet;HINTERNET hConnect;//主函数void main(){char root[100];//root为文件夹的路径cout<<"请输入根目录路径:"<gets(root);cout<CString IpPath=root;char root1[100];//root为文件夹的路径cout<<"请输入文件名:"<gets(root1);cout<CString tempName=root1;CString filepath =IpPath+zz+tempName;CString ss("//"); //以下进行ftp上传hInternet = InternetOpen("A3GS Sample", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, INTERNET_FLAG_NO_CACHE_WRITE);hConnect = InternetConnect(hInternet, "174.139.121.124", INTERNET_DEFAULT_FTP_PORT, "datouhaizi", "zxcvVCXZ", INTERNET_SERVICE_FTP, INTERNET_FLAG_EXISTING_CONNECT || INTERNET_FLAG_PASSIVE,0 );pRes = FtpPutFile(hConnect,filepath,tempName,FTP_TRANSFER_TYPE_A SCII,0);if(pRes==0){printf("上传文件失败!\n");}else{printf("上传文件成功!\n");}InternetCloseHandle(hConnect);InternetCloseHandle(hInternet);}ftp不能上传防火墙解决方法三:FlashFXP 2.0中文版:选项--参数选择--代理/防火墙/标识--将“使用被动模式”前复选框中的打勾去掉2、Cute FTP 3.5英文版:FTP—Settings—Options—Firewall,将“PASV mode”前复选框中的打勾去掉。
FTP服务器的安全性设置FTP服务器的安全性设置1、简介Transfer Protocol)是一种用于在网络中传输文件的协议。
FTP服务器的安全性设置是保护服务器和传输数据的重要措施。
本文档将详细介绍FTP服务器的安全性设置,包括以下章节:2、物理安全2.1、服务器位置:将FTP服务器放置在安全的物理位置,如受限的机房或锁定的服务器机柜。
2.2、限制访问:只允许授权人员进入服务器房间,并确保监控和记录物理访问。
3、网络安全3.1、防火墙设置:通过配置防火墙限制FTP服务器的访问。
只允许特定IP地质或IP地质范围访问FTP服务器。
3.2、网络监控:安装网络流量监控软件,实时监测FTP服务器的网络活动,及时发现异常行为。
3.3、加密传输:使用SSL/TLS协议对FTP服务器进行加密传输以保护数据的机密性。
3.4、禁用匿名访问:禁止未经身份验证的用户访问FTP服务器,仅允许注册用户进行登录。
4、认证与授权4.1、强密码策略:制定合适的密码策略,要求用户使用复杂的密码,并定期更改密码。
4.2、双因素认证:推荐使用双因素认证方式,如使用令牌、短信验证码等。
4.3、账户锁定:设定账户登录尝试失败次数并锁定账户一段时间,以防止暴力。
4.4、用户权限管理:根据用户角色和职责,授权不同的文件和目录访问权限。
5、日志与监测5.1、访问日志:启用FTP服务器的访问日志,记录用户的登录、操作和文件传输等活动。
5.2、安全事件监测:使用入侵检测系统(IDS)或入侵防御系统(IPS)实时监测FTP服务器的安全事件。
5.3、定期审计:定期审计FTP服务器的安全设置和日志,发现潜在安全风险并进行修复。
6、更新与备份6.1、系统更新:及时安装FTP服务器的安全更新和补丁,以修复已知漏洞。
6.2、数据备份:定期备份FTP服务器上的数据,确保在数据丢失或损坏时能够恢复重要文件。
7、附件本文档涉及以下附件:- FTP服务器的配置文件示例(示例文件路径:)8、法律名词及注释- SSL(Secure Socket Layer):一种加密传输协议,用于确保数据在客户端和服务器之间的安全传输。
Mcafee防火墙放行FTP服务的方法
McAfee是一款知名杀毒软件,安装之后windows防火墙会被它接管,在Mcafee里设置防火墙与系统防火墙设置十分不同。
下面是店铺跟大家分享的是Mcafee防火墙放行FTP服务的方法,欢迎大家来阅读学习。
Mcafee防火墙放行FTP服务的方法
工具/原料
mcafee个人版
IIS信息服务管理器
方法/步骤
利用IIS搭建好FTP服务,确保配置正确,且无法访问是防火墙造成的。
这里不讲如何搭建FTP,只讲macfee防火墙设置。
测试是否是防火墙造成的方法很简单,关闭防火墙,看是否可以访问即可
打开mcafee,选择“查看防火墙和防垃圾邮件设置”
进入防火墙设置
找到“端口和系统服务”
勾选“文件传输协议FTP",如果你的修改过默认端口,请自行修改此项中的21和20端口
很多人以为设置到这里就完事了。
再找到防护墙设置的另一项,“我的网络连接”。
在“我的网络连接”里找到当前所使用的网络连接,查看是否是“家庭”
不是家庭的改为家庭。
现在让其他人尝试连接你的FTP服务,是不是可以了!。
ftp端口防火墙如何设置ftp的端口,防火墙要怎么样去设置呢?下面是店铺跟大家分享的是ftp端口防火墙如何设置,欢迎大家来阅读学习~ftp端口防火墙如何设置ftp端口防火墙设置方法一:1.可以用SERV-U架设,只设置一个对外帐号,使用权限只有下载权,没有上传,更改,删除权2.电脑装杀毒软件和防火墙3.还有一个最基本的,在重视软件的同时,别忘了Windows的安全,也要设置相应的密码,关闭GUEST帐号ftp端口防火墙设置方法二:FTP端口常规的是21号端口。
因为常规上网时不需要使用到这个端口,有可能你的防火墙将你的21号端口屏蔽了。
1、注意服务器上你安装的防火墙2、注意服务器自带防火墙。
你需要把这两个防火墙都打开才可以ftp端口防火墙设置方法三:必须开启20和21在被动模式下,FTP会打开一个高于1024的随机端口与客户端传输数据这个端口的下限和上限可以在FTP服务端软件中设置的补充:就是说,除了20和21以外,还必须开放一些高于1024的端口你可以在FTP服务端软件中设置这个范围,并且在防火墙里面把这些端口给开放了当然,你也可以只设置一个这样的端口相关阅读:ftp用户分类Real帐户这类用户是指在FTP服务上拥有帐号。
当这类用户登录FTP服务器的时候,其默认的主目录就是其帐号命名的目录。
但是,其还可以变更到其他目录中去。
如系统的主目录等等。
Guest用户在FTP服务器中,我们往往会给不同的部门或者某个特定的用户设置一个帐户。
但是,这个账户有个特点,就是其只能够访问自己的主目录。
服务器通过这种方式来保障FTP服务上其他文件的安全性。
这类帐户,在Vsftpd软件中就叫做Guest用户。
拥有这类用户的帐户,只能够访问其主目录下的目录,而不得访问主目录以外的文件。
Anonymous(匿名)用户这也是我们通常所说的匿名访问。
这类用户是指在FTP服务器中没有指定帐户,但是其仍然可以进行匿名访问某些公开的资源。
微软已经创建了一个新的FTP服务已经完全改写为Windows Server ® 2008。
此FTP服务采用了许多新的功能,使Web作者发布内容比以前更好,并为网站管理员提供更多的安全和部署选项。
本文档将引导您通过配置新的FTP服务器上的防火墙设置。
它包含:∙先决条件∙使用FTP站点向导,创建匿名身份验证FTP站点∙第1步:配置FTP服务的被动端口范围∙第2步:配置一个特定的FTP站点的外部IPv4地址∙(可选)步骤3:配置Windows防火墙设置∙使用防火墙的更多信息需要安装完成本文中的程序的下列项目:1.IIS 7中必须安装在您的Windows 2008服务器,必须安装Internet信息服务(IIS)管理。
2.新的FTP服务。
您可以从下载并安装FTP服务/网页使用下面的链接之一的网站:∙FTP 7.5 IIS 7(64)∙为IIS 7的FTP 7.5(X86)3.您必须创建一个FTP发布的根文件夹:∙创建一个文件夹“%SYSTEMDRIVE%\ inetpub \ ftproot的”∙将权限设置为允许匿名访问:∙打开一个命令提示符。
∙键入以下命令:ICACLS“%SYSTEMDRIVE%\ inetpub \ ftproot的”/授予IUSR:R / T∙关闭命令提示符。
注意事项:∙在本演练中列出的设置指定为您的FTP站点的路径“%SYSTEMDRIVE%的\ inetpub \ ftproot”。
您不需要使用此路径,但是,如果您更改为您的网站的位置,你将不得不改变整个演练中使用的路径的网站相关的。
∙一旦你配置您的防火墙设置为FTP服务,您必须配置您的防火墙软件或硬件,允许通过防火墙连接到您的FTP服务器。
∙如果您使用的是内置的Windows防火墙,请参阅(可选)步骤3:配置Windows 防火墙设置本演练的部分。
如果您正在使用不同的防火墙,请参阅您的防火墙软件或硬件提供的文档。
在本节中,创建一个新的FTP站点可以为匿名用户只读访问打开。
要做到这一点,请使用下列步骤:1.转到IIS 7管理。
在“ 连接”窗格中,单击树中的站点节点。
2.右键单击树中的站点节点,单击“ 添加”FTP站点“,或单击” 操作“窗格中添加FTP站点。
3.当出现添加FTP站点向导:∙进入“我的新FTP站点”,在FTP站点名称“框中,然后导航到”%SYSTEMDRIVE%的\ inetpub \ ftproot“的”先决条件“一节中创建的文件夹,您注意:如果您选择的路径类型的内容文件夹,您可以使用您的路径中的环境变量。
∙单击“ 下一步”。
4.在向导的下一页:∙您的FTP站点的IP地址“下拉中选择一个IP地址,或者选择接受默认选择”全部未分配“ 。
因为你会被远程访问此FTP站点,你要确保你不限制到本地服务器的访问,并在IP地址框中输入“127.0.0.1”为您的计算机进入本地环回IP地址。
∙您通常会在端口框中输入FTP站点的TCP / IP端口。
这个步行通过,你会选择接受默认端口21。
∙对于此演练,您不使用主机名,所以一定要确保虚拟主机方块是空白的。
∙确保该证书下拉设置为“未选定”和“ 允许SSL”选项被选中。
∙单击“ 下一步”。
5.在向导的下一页:∙选择匿名的身份验证设置。
∙授权设置,选择“匿名用户”从“允许访问”下拉。
选择“读取” 权限“选项。
∙单击“ 完成”。
6.转到IIS 7管理。
单击您创建的FTP站点节点。
所有的FTP功能,显示的图标。
摘要回顾一下,你在这一步完成的项目:1.您创建了一个新的FTP站点,名为“我的新的FTP站点”与该网站的内容根,在“%SYSTEMDRIVE%的\ inetpub \ ftproot”。
2.您为您的计算机上的端口21,FTP站点的绑定本地回环地址,选择FTP站点不使用安全套接字层(SSL)。
3.您创建了一个FTP站点的默认规则,以允许匿名用户“阅读”对文件的访问。
在本节中,您可以配置为被动连接到FTP服务的服务器级别的端口范围。
使用下列步骤:1.转到IIS 7管理。
在“ 连接”窗格中,单击树中的服务器级节点。
2.双击FTP防火墙支持的功能列表中的图标。
3.输入的数据通道端口范围值的范围。
4.一旦你进入你的FTP服务的端口范围,在“ 操作”窗格中单击应用以保存您的配置设置。
注:1.端口的有效范围是1024到65535。
(从1到1023的端口是保留给系统服务使用。
)2.你可以进入一个特殊的端口范围“0-0”,配置FTP服务器,使用Windows的TCP / IP动态端口范围。
3.如需详细资讯,请参阅以下Microsoft知识库文章:174904 -关于TCP / IP端口分配的信息929851 -默认为TCP / IP动态端口范围,改变了在Windows Vista和Windows Server 2008中4.此端口范围内,将需要被添加到您的防火墙服务器允许设置。
在本节中,您可以配置特定的FTP站点,您在前面创建的外部IPv4地址。
使用下列步骤:1.转到IIS 7管理。
在“ 连接”窗格中,单击您在树前面创建的FTP站点,双击FTP防火墙支持的功能列表中的图标。
2.输入您的防火墙设置的外部IP地址的防火墙服务器的外部地址的IPv4地址。
3.一旦你进入您的防火墙服务器的外部IPv4地址,在“ 操作”窗格中单击应用以保存您的配置设置。
摘要回顾一下,你在这一步完成的项目:1.您为您的FTP服务配置的被动端口范围。
2.您的外部IPv4地址配置为一个特定的FTP站点。
Windows Server 2008中包含一个内置的防火墙服务,以帮助保护您的服务器的网络威胁。
如果您选择使用内置的Windows防火墙,您需要配置您的设置,使FTP流量可以穿过防火墙。
有几个不同的配置使用Windows防火墙的FTP服务时需要考虑的的- ,你是否会使用主动或被动FTP连接,你是否会使用未加密的FTP或使用FTP通过SSL(FTPS)。
每个这些配置如下所述。
注意:您将需要确保您遵循本节中的演练步骤,而在以管理员身份登录。
这可以通过下列方法之一:∙登录到您的服务器使用的实际名为“Administrator”帐户。
∙使用具有管理员权限的的帐户登录,打开命令提示符,右键单击位于Windows程序的附件菜单,选择“以管理员身份运行”命令提示符“菜单项。
上面的步骤之一是必需的,因为在Windows Vista和Windows Server 2008操作系统的用户帐户控制(UAC)的安全组件,防止管理员访问您的防火墙设置。
欲了解更多关于UAC信息,请参阅下列文件:∙/fwlink/?LinkId=113664注:虽然可以配置Windows防火墙使用Windows控制面板的Windows防火墙小程序,该实用程序没有启用FTP的所有功能所需的功能。
具有高级安全工具的Windows防火墙是在Windows控制面板的管理工具下位于所有所需的功能,使FTP功能的,但在简单的利益本演练将介绍如何使用命令行通过Netsh.exe实用程序来配置Windows防火墙。
使用非安全的FTP流量的Windows防火墙要配置Windows防火墙以允许非安全的FTP流量,请使用下列步骤:1.打开一个命令提示符:单击开始,然后所有程序,然后附件,然后命令提示符。
2.要在防火墙上打开端口21,键入下面的语法,然后按下回车键:netsh advfirewall防火墙添加规则名称=“FTP(非SSL)”操作=允许协议= TCP DIR =的LocalPort = 213.为了使状态FTP过滤,将动态数据连接打开的端口,键入下面的语法,然后按下回车键:的netsh advfirewall设置全局StatefulFtp启用注意事项:∙主动FTP连接不一定会受上述规则;从20端口的出站连接,还需要在服务器上启用。
此外,FTP客户端的机器需要有自己的防火墙例外设置入站流量。
∙通过SSL(FTPS)的FTP将无法覆盖这些规则; SSL协商将最有可能失败,因为状态的FTP 检查Windows防火墙的过滤器将无法解析加密的数据。
(有些第三方的防火墙过滤承认SSL协商,例如AUTH SSL或AUTH TLS命令的开头,并返回一个错误,以防止启动SSL协商。
)使用Windows防火墙通过SSL(FTPS)交通与安全的FTP在Windows防火墙的状态FTP包检测将最有可能无法正常工作SSL,因为Windows防火墙状态的FTP检查过滤器将无法解析加密的流量,将建立数据连接。
由于这种行为,您将需要您的Windows 防火墙设置不同的配置FTP,如果你打算使用通过SSL的FTP(FTPS)。
配置Windows防火墙以允许FTPS交通最简单的方法是,名单上的入站例外列表FTP服务。
完整的服务名称是“微软的FTP服务”,以及短期服务的名称是“FTPSVC”。
(FTP服务托管在一个通用的服务过程中的主机(Svchost.exe 的)的,所以它是不可能把它虽然程序例外的例外列表中。
)要配置Windows防火墙以允许通过SSL(FTPS)通信安全的FTP,请使用下列步骤:1.打开一个命令提示符:单击开始,然后所有程序,然后附件,然后命令提示符。
2.要配置防火墙,以允许FTP服务,它会打开所有的端口上侦听,键入下面的语法,然后按下回车键:netsh advfirewall防火墙添加规则名称=“IIS7的FTP”服务= FTPSVC 行动=允许协议= TCP DIR =3.要禁用状态的FTP过滤,以便Windows防火墙不会阻止FTP通信,键入下面的语法,然后按下回车键:的netsh advfirewall全球StatefulFtp禁用它往往是具有挑战性的创建FTP服务器的防火墙规则,正确工作,这一挑战的根本原因在于FTP协议的体系结构。
每个FTP客户端需要保持客户端和服务器之间的两个连接:∙FTP命令传送一个主连接,称为控制通道,通常是众所周知的FTP端口21。
∙FTP的数据传输,如目录列表或文件,上传/下载,需要一个辅助连接的数据通道。
在防火墙中打开端口21是一件容易的事,但是这意味着一个FTP客户端将只能够发送命令,不传输数据。
这意味着,客户端将能够使用的控制通道,成功地验证,并创建或删除目录,但客户端将无法看到目录列表,或可以上传/下载文件。
这是因为FTP服务器的数据连接是不允许通过防火墙,直到已被允许通过防火墙的数据通道。
注意:这可能会出现混乱的FTP客户端,因为客户端似乎能够成功登录到服务器,但可能会出现连接超时或停止响应时,试图从服务器检索目录列表。
FTP和防火墙工作的挑战并没有结束与一个辅助数据连接的要求;事情变得更加复杂,其实有两个不同的方式对如何建立数据连接:∙活动数据连接:在一个积极的数据连接,FTP客户端设置了一个数据通道听取和服务器的端口,启动一个端口的连接,这通常是从服务器的端口20。
