iss ftp防火墻如何設(shè)置
iss ftp防火墻如何設(shè)置
iss ftp防火墻要怎么樣去設(shè)置呢?跟著小編去看看吧!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的iss ftp防火墻設(shè)置介紹!希望對(duì)你有幫助!
iss ftp防火墻設(shè)置一:
通過(guò)打開到 TCP 端口號(hào) 21 的“命令通道”連接,標(biāo)準(zhǔn)模式 FTP 客戶端會(huì)啟動(dòng)到服務(wù)器的會(huì)話??蛻舳送ㄟ^(guò)將 PORT 命令發(fā)送到服務(wù)器請(qǐng)求文件傳輸。
然后,服務(wù)器會(huì)嘗試啟動(dòng)返回到 TCP 端口號(hào) 20 上客戶端的“數(shù)據(jù)通道”連接??蛻舳松线\(yùn)行的典型防火墻將來(lái)自服務(wù)器的此數(shù)據(jù)通道連接請(qǐng)求視為未經(jīng)請(qǐng)求,并會(huì)丟棄數(shù)據(jù)包,從而導(dǎo)致文件傳輸失敗。
Windows Vista 和 Windows Server 2008 中的 高級(jí)安全 Windows 防火墻 支持有狀態(tài) FTP ,該 FTP 允許將端口 20 上的入站連接請(qǐng)求與來(lái)自客戶端的先前出站 PORT 命令相匹配。但是,如果您通過(guò) SSL 使用 FTP 來(lái)加密和保護(hù) FTP 通信,則防火墻不再能夠檢查來(lái)自服務(wù)器的入站連接請(qǐng)求,并且這些請(qǐng)求會(huì)被阻止。 為了避免此問(wèn)題, FTP 還支持“被動(dòng)”操作模式,客戶端在該模式下啟動(dòng)數(shù)據(jù)通道連接。
客戶端未使用 PORT 命令,而是在命令通道上發(fā)送 PASV 命令。服務(wù)器使用 TCP 端口號(hào)進(jìn)行響應(yīng),客戶端應(yīng)連接到該端口號(hào)來(lái)建立數(shù)據(jù)通道。默認(rèn)情況下,服務(wù)器使用極短范圍( 1025 到 5000 )內(nèi)的可用端口。
為了更好保護(hù)服務(wù)器的安全,您可以限制 FTP 服務(wù)使用的端口范圍,然后創(chuàng)建一個(gè)防火墻規(guī)則:僅在那些允許的端口號(hào)上進(jìn)行 FTP 通信。 本主題將討論執(zhí)行以下操作的方法:
1. 配置 FTP 服務(wù)以便僅將有限數(shù)量的端口用于被動(dòng)模式 FTP
2. 配置入站防火墻規(guī)則以便僅在允許的端口上進(jìn)行入站 FTP 連接 以下過(guò)程顯示在 Internet 信息服務(wù) (IIS) 7.0 版上配置 FTP 服務(wù)的步驟。如果您使用其他 FTP 服務(wù),請(qǐng)查閱產(chǎn)品文檔以找到相應(yīng)的步驟。配置對(duì) SSL 的支持不在本主題的討論范圍之內(nèi)。
有關(guān)詳細(xì)信息,請(qǐng)參閱 IIS 文檔。 配置 FTP 服務(wù)以便僅將有限數(shù)量的端口用于被動(dòng)模式 FTP
1. 在 IIS 7.0 管理器中的“連接”窗格中,單擊服務(wù)器的頂部節(jié)點(diǎn)。
2. 在細(xì)節(jié)窗格中,雙擊“FTP 防火墻支持”。 3. 輸入您希望 FTP 服務(wù)使用的端口號(hào)的范圍。例如,41000-41099 允許服務(wù)器同時(shí)支持 100 個(gè)被動(dòng)模式數(shù)據(jù)連接。
4. 輸入防火墻的外部 IPv4 地址,數(shù)據(jù)連接通過(guò)該地址到達(dá)。
5. 在“操作”窗格中,單擊“應(yīng)用”保存您的設(shè)置。 還必須在 FTP 服務(wù)器上創(chuàng)建防火墻規(guī)則,以在前一過(guò)程中配置的端口上允許入站連接。盡管您可以創(chuàng)建按編號(hào)指定端口的規(guī)則,但是,創(chuàng)建打開 FTP 服務(wù)所偵聽的任何端口的規(guī)則更為容易。通過(guò)按前一過(guò)程中的步驟操作,您可限制 FTP 偵聽的端口。 配置入站防火墻規(guī)則以便僅允許到 FTP 所偵聽端口的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、“所有程序”和“附件”,右鍵單擊“命令提示符”,然后單擊“以管理員身份運(yùn)行”。
運(yùn)行下列命令: 復(fù)制代碼 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3. 最后,禁用有狀態(tài) FTP 篩選,以使防火墻不會(huì)阻止任何 FTP 通信。 復(fù)制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable
iss ftp防火墻設(shè)置二:
ftp 分2種模式,主動(dòng)和被動(dòng)
主動(dòng)模式FTP server用到 tcp 21 控制, 20 數(shù)據(jù), FTP CLIENT 用到 N 連接 21, 這個(gè)時(shí)候是ftp server 主動(dòng)用20端口連接 客戶端的n+1端口 , N > 1024 。
被動(dòng)模式FTP server用到tcp 21 控制,x > 1024,隨機(jī)端口, FTP CLIENT 用到 N 連接 21, 這個(gè)時(shí)候是ftp客戶端主動(dòng)使用N +1 連接ftp服務(wù)器的x端口 , N > 1024 。
現(xiàn)在用到的基本都是被動(dòng)模式,因?yàn)榭蛻舳俗隽薔AT,F(xiàn)TP服務(wù)器不可能主動(dòng)發(fā)起連接到客戶端。
要是開放端口,服務(wù)器端要開放 21, 入, 1024以上的所有TCP端口,入。
iss ftp防火墻設(shè)置三:
先說(shuō)IIS6的FTP主程序吧。不太清楚你說(shuō)的主程序的意思。我對(duì)你所說(shuō)的問(wèn)題的理解是,在開始-程序中怎么有沒(méi)有IIS6的FTP設(shè)置和管理工具是吧?
IIS的FTP的管理就是在IIS管理器中進(jìn)行的,如圖1紅框處。如果你發(fā)現(xiàn)你的IIS管理器中沒(méi)有這一項(xiàng)是因?yàn)?,IIS6在默認(rèn)安裝時(shí)并不安裝FTP組件,需要手工添加,你需要在控制面板--添加刪除程序--添加刪除windows組件中添加上。如圖2。
再說(shuō)主動(dòng)模式和被動(dòng)模式。
主動(dòng)模式的連接過(guò)程是這樣的,首先客戶隨機(jī)端口連接服務(wù)器21端口,然后服務(wù)器通過(guò)20端口連接客戶機(jī)剛剛那個(gè)隨機(jī)端口傳數(shù)據(jù)。整個(gè)過(guò)程中服務(wù)器只要開放TCP 20和21就可以
被動(dòng)模式的連接過(guò)程是這樣的:首先客戶隨機(jī)端口連接服務(wù)器21端口,然后服務(wù)器通過(guò)21端口告訴客戶機(jī)自己打開哪個(gè)端口傳數(shù)據(jù)(這個(gè)端口是個(gè)1025--5000的端口)最后客戶機(jī)連接服務(wù)器的所告知的端口。這個(gè)過(guò)程中服務(wù)器除了要開放21端口外,還要開放1025--5000的所有端口才行,如果這樣開放就不是防火墻了。
這就是為什么你開了防火墻的20 21,客戶端要設(shè)置為主動(dòng)模式才能訪問(wèn)的原因。
看了“ iss ftp防火墻如何設(shè)置”文章的還看了: