iss ftp防火墻如何設置
iss ftp防火墻如何設置
iss ftp防火墻要怎么樣去設置呢?跟著小編去看看吧!下面由學習啦小編給你做出詳細的iss ftp防火墻設置介紹!希望對你有幫助!
iss ftp防火墻設置一:
通過打開到 TCP 端口號 21 的“命令通道”連接,標準模式 FTP 客戶端會啟動到服務器的會話。客戶端通過將 PORT 命令發送到服務器請求文件傳輸。
然后,服務器會嘗試啟動返回到 TCP 端口號 20 上客戶端的“數據通道”連接。客戶端上運行的典型防火墻將來自服務器的此數據通道連接請求視為未經請求,并會丟棄數據包,從而導致文件傳輸失敗。
Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火墻 支持有狀態 FTP ,該 FTP 允許將端口 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是,如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信,則防火墻不再能夠檢查來自服務器的入站連接請求,并且這些請求會被阻止。 為了避免此問題, FTP 還支持“被動”操作模式,客戶端在該模式下啟動數據通道連接。
客戶端未使用 PORT 命令,而是在命令通道上發送 PASV 命令。服務器使用 TCP 端口號進行響應,客戶端應連接到該端口號來建立數據通道。默認情況下,服務器使用極短范圍( 1025 到 5000 )內的可用端口。
為了更好保護服務器的安全,您可以限制 FTP 服務使用的端口范圍,然后創建一個防火墻規則:僅在那些允許的端口號上進行 FTP 通信。 本主題將討論執行以下操作的方法:
1. 配置 FTP 服務以便僅將有限數量的端口用于被動模式 FTP
2. 配置入站防火墻規則以便僅在允許的端口上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務,請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。
有關詳細信息,請參閱 IIS 文檔。 配置 FTP 服務以便僅將有限數量的端口用于被動模式 FTP
1. 在 IIS 7.0 管理器中的“連接”窗格中,單擊服務器的頂部節點。
2. 在細節窗格中,雙擊“FTP 防火墻支持”。 3. 輸入您希望 FTP 服務使用的端口號的范圍。例如,41000-41099 允許服務器同時支持 100 個被動模式數據連接。
4. 輸入防火墻的外部 IPv4 地址,數據連接通過該地址到達。
5. 在“操作”窗格中,單擊“應用”保存您的設置。 還必須在 FTP 服務器上創建防火墻規則,以在前一過程中配置的端口上允許入站連接。盡管您可以創建按編號指定端口的規則,但是,創建打開 FTP 服務所偵聽的任何端口的規則更為容易。通過按前一過程中的步驟操作,您可限制 FTP 偵聽的端口。 配置入站防火墻規則以便僅允許到 FTP 所偵聽端口的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、“所有程序”和“附件”,右鍵單擊“命令提示符”,然后單擊“以管理員身份運行”。
運行下列命令: 復制代碼 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3. 最后,禁用有狀態 FTP 篩選,以使防火墻不會阻止任何 FTP 通信。 復制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable
iss ftp防火墻設置二:
ftp 分2種模式,主動和被動
主動模式FTP server用到 tcp 21 控制, 20 數據, FTP CLIENT 用到 N 連接 21, 這個時候是ftp server 主動用20端口連接 客戶端的n+1端口 , N > 1024 。
被動模式FTP server用到tcp 21 控制,x > 1024,隨機端口, FTP CLIENT 用到 N 連接 21, 這個時候是ftp客戶端主動使用N +1 連接ftp服務器的x端口 , N > 1024 。
現在用到的基本都是被動模式,因為客戶端做了NAT,FTP服務器不可能主動發起連接到客戶端。
要是開放端口,服務器端要開放 21, 入, 1024以上的所有TCP端口,入。
iss ftp防火墻設置三:
先說IIS6的FTP主程序吧。不太清楚你說的主程序的意思。我對你所說的問題的理解是,在開始-程序中怎么有沒有IIS6的FTP設置和管理工具是吧?
IIS的FTP的管理就是在IIS管理器中進行的,如圖1紅框處。如果你發現你的IIS管理器中沒有這一項是因為,IIS6在默認安裝時并不安裝FTP組件,需要手工添加,你需要在控制面板--添加刪除程序--添加刪除windows組件中添加上。如圖2。
再說主動模式和被動模式。
主動模式的連接過程是這樣的,首先客戶隨機端口連接服務器21端口,然后服務器通過20端口連接客戶機剛剛那個隨機端口傳數據。整個過程中服務器只要開放TCP 20和21就可以
被動模式的連接過程是這樣的:首先客戶隨機端口連接服務器21端口,然后服務器通過21端口告訴客戶機自己打開哪個端口傳數據(這個端口是個1025--5000的端口)最后客戶機連接服務器的所告知的端口。這個過程中服務器除了要開放21端口外,還要開放1025--5000的所有端口才行,如果這樣開放就不是防火墻了。
這就是為什么你開了防火墻的20 21,客戶端要設置為主動模式才能訪問的原因。
看了“ iss ftp防火墻如何設置”文章的還看了: