站点导航
软件频道首页 / Web应用 / IIS的FTP安全设置
由于FTP是最古老的Internet协议,它的功能是将一个文件从一个系统发到另一个系统。FTP是完成这个功能的最快的传输协议。时至今日,虽然现在的站点流行使用Web在服务器之间传送文件,但是,并不是所有的站点的服务器都使用了Web,另外,许多Web命令也没有命令行下的FTP命令好用。FTP已经存在30年了,广为世人所熟悉。现在很多专门的下载站点都是通过FTP实现高速下载的。FTP最大的优点是TCP/IP的应用,通过TCP传输,工作在OSI模型的第七层、TCP模型的第四层。
Internet发展虽然十分迅速,但是匿名FTP站点仍然是Internet的重要组成部分,大量的匿名FTP站点对所有用户公开文件访问权,目的是发布它们的软件和信息。鉴于FTP在Internet中仍占据重要的地位,故IIS集成了FTP服务器。在IIS上架构的FTP站点,用户可以用IUSRR_SERVERNAME账户试图连接该服务器,在命令行下用户名是anonymous,密码可以使用任何内容,在Internet Explorer中不用输入任何信息就能匿名登录FTP站点。
用户可以通过该Windows 2000 Server系统的合法用户账户登录FTP。由于FTP和Telnet一样都是通过明文形式传送的,如果恶意用户使用嗅探器Sniffer程序就可以获取用户名和口令,故IIS的FTP也要采取安全措施。FTP协议默认使用的端口是21,可以将其改成其他的端口,如图1所示。
图1 更改FTP服务器的默认端口
可以将在"默认FTP站点属性"对话框中的"FTP站点"选项卡里的"标识"框里的TCP端口21改成其他的数值。由于21是FTP默认使用的端口号,恶意用户可以用扫描器探测到该服务器开放了FTP。必须注意,改端口的时候不要使用已经占用的端口,否则会引发冲突,最简单的办法是使用Windows 2000的命令行方式下的"netstat -a"命令查看已经使用了哪些端口。在使用了非标准的FTP端口后,用户要访问该FTP站点就必须指定端口号,否则无法访问。在如图2所示界面的"连接"框中,可以指定连接设置和连接超时,这对于FTP服务器的安全是至关重要的。如果将它们设置为无限制的话,恶意用户无数次连接该服务器的21端口,而且还使用不同的IP地址,时间长了就会导致服务器的CPU和内存资源使用率达到100%,然后服务器被迫宕机,这就是拒绝服务攻击。即便是开放FTP,最好也不要使用"无限"这个设置选项,由于存在线程问题,会导致下载的不公平。
尽量不要允许IIS的FTP匿名访问,在FTP站点的属性中的"安全账号"选项卡里,取消选择"允许匿名连接"复选框,如图2所示。
图2 取消允许匿名连接
接下来在"操作员"框里分配FTP站点的操作员账户。FTP站点操作员是一组特殊的用户,他们在各自的 FTP 站点具有有限的权限。操作员可以管理只影响自己站点的属性,不能访问涉及 IIS、Windows 服务器计算机宿主IIS或网络的属性。操作员级的账户具有以下权力:
设置访问权限。
允许日志记录和配置日志记录。
限制该站点的最大连接数。
允许或禁止匿名访问。
允许建立欢迎信息和退出信息。
配置IP级别的系统安全。
选择目录列表风格。
但是,操作员和管理员的权限并不完全一样,操作员不能进行以下操作:
配置一个新匿名账户。
建立虚拟目录。
查看、断开用户连接。
更改FTP服务器的IP地址、TCP端口。
分配操作员特权。
更改主目录。
一般情况下,FTP管理员最好是网管的一个账户。要妥善保管好这个账户,密码一定要有足够的复杂度,否则,被恶意用户使用专门破解的工具得到密码就有很大的安全风险了。FTP实际上是一个"共享"的文件夹,默认的文件夹是:盘符:inetpubftproot,可以在"FTP站点"选项卡中的"FTP站点目录"框中更改,如图3所示。
图3 设置FTP站点目录
可以将本地路径指定为本地计算机上的目录。前面的章节已经提过,服务器的文件系统必须是NTFS系统,这样才能尽量避免安全风险。也可以指定网络上的其他目录,如图4所示。
图4指定网络上的其他目录为FTP站点目录
如果是网上邻居的路径,就会弹出"网络目录安全身份验证凭据"窗口,切记不要输入管理员的账户和密码,以免被Sniffer之类的嗅探器得到账户密码。也可以在FTP站点中新建一个虚拟目录,这样会更安全一些,操作如图5所示。
图5为FTP站点指派虚拟目录
如果只允许下载,就在如图6所示的界面中选择"读取"复选框,如果允许上传就选择"写入"复选框。针对IP的安全设置是在"目录安全性"选项卡里设置的,如图6所示。
图6 设置FTP站点的访问限制
根据实际情况加以设置即可。注意,如果使用DNS查找,会使FTP站点的访问速度变得很缓慢。实际上,IIS自带的FTP服务功能不够强大和灵活,一般都是考虑第三方FTP服务器软件,如Serv-U FTP Server Daemon for MS Windows等。
Internet发展虽然十分迅速,但是匿名FTP站点仍然是Internet的重要组成部分,大量的匿名FTP站点对所有用户公开文件访问权,目的是发布它们的软件和信息。鉴于FTP在Internet中仍占据重要的地位,故IIS集成了FTP服务器。在IIS上架构的FTP站点,用户可以用IUSRR_SERVERNAME账户试图连接该服务器,在命令行下用户名是anonymous,密码可以使用任何内容,在Internet Explorer中不用输入任何信息就能匿名登录FTP站点。
用户可以通过该Windows 2000 Server系统的合法用户账户登录FTP。由于FTP和Telnet一样都是通过明文形式传送的,如果恶意用户使用嗅探器Sniffer程序就可以获取用户名和口令,故IIS的FTP也要采取安全措施。FTP协议默认使用的端口是21,可以将其改成其他的端口,如图1所示。
可以将在"默认FTP站点属性"对话框中的"FTP站点"选项卡里的"标识"框里的TCP端口21改成其他的数值。由于21是FTP默认使用的端口号,恶意用户可以用扫描器探测到该服务器开放了FTP。必须注意,改端口的时候不要使用已经占用的端口,否则会引发冲突,最简单的办法是使用Windows 2000的命令行方式下的"netstat -a"命令查看已经使用了哪些端口。在使用了非标准的FTP端口后,用户要访问该FTP站点就必须指定端口号,否则无法访问。在如图2所示界面的"连接"框中,可以指定连接设置和连接超时,这对于FTP服务器的安全是至关重要的。如果将它们设置为无限制的话,恶意用户无数次连接该服务器的21端口,而且还使用不同的IP地址,时间长了就会导致服务器的CPU和内存资源使用率达到100%,然后服务器被迫宕机,这就是拒绝服务攻击。即便是开放FTP,最好也不要使用"无限"这个设置选项,由于存在线程问题,会导致下载的不公平。
尽量不要允许IIS的FTP匿名访问,在FTP站点的属性中的"安全账号"选项卡里,取消选择"允许匿名连接"复选框,如图2所示。
接下来在"操作员"框里分配FTP站点的操作员账户。FTP站点操作员是一组特殊的用户,他们在各自的 FTP 站点具有有限的权限。操作员可以管理只影响自己站点的属性,不能访问涉及 IIS、Windows 服务器计算机宿主IIS或网络的属性。操作员级的账户具有以下权力:
设置访问权限。
允许日志记录和配置日志记录。
限制该站点的最大连接数。
允许或禁止匿名访问。
允许建立欢迎信息和退出信息。
配置IP级别的系统安全。
选择目录列表风格。
但是,操作员和管理员的权限并不完全一样,操作员不能进行以下操作:
配置一个新匿名账户。
建立虚拟目录。
查看、断开用户连接。
更改FTP服务器的IP地址、TCP端口。
分配操作员特权。
更改主目录。
一般情况下,FTP管理员最好是网管的一个账户。要妥善保管好这个账户,密码一定要有足够的复杂度,否则,被恶意用户使用专门破解的工具得到密码就有很大的安全风险了。FTP实际上是一个"共享"的文件夹,默认的文件夹是:盘符:inetpubftproot,可以在"FTP站点"选项卡中的"FTP站点目录"框中更改,如图3所示。
可以将本地路径指定为本地计算机上的目录。前面的章节已经提过,服务器的文件系统必须是NTFS系统,这样才能尽量避免安全风险。也可以指定网络上的其他目录,如图4所示。
如果是网上邻居的路径,就会弹出"网络目录安全身份验证凭据"窗口,切记不要输入管理员的账户和密码,以免被Sniffer之类的嗅探器得到账户密码。也可以在FTP站点中新建一个虚拟目录,这样会更安全一些,操作如图5所示。
如果只允许下载,就在如图6所示的界面中选择"读取"复选框,如果允许上传就选择"写入"复选框。针对IP的安全设置是在"目录安全性"选项卡里设置的,如图6所示。
根据实际情况加以设置即可。注意,如果使用DNS查找,会使FTP站点的访问速度变得很缓慢。实际上,IIS自带的FTP服务功能不够强大和灵活,一般都是考虑第三方FTP服务器软件,如Serv-U FTP Server Daemon for MS Windows等。
京公网安备 11010802021500号