ftp埠防火牆設置
❶ 怎麼在window 2012 R2下設置ftp,並開啟防火牆例外
下面開始配置ftp;
右鍵點擊網站,選擇添加ftp站點;
填寫上相應的內容,ftp站點的名字和對應的物理路徑;
這里能看到對應的埠,ssl證書選無,這因為是測試站點;
這里是許可權的設置。,身份驗證勾選上基本,用戶授權選擇所有用戶,許可權根據需要勾選讀取和寫入。這里就能點擊完成了。後面iis還需要簡單設置下。
在這個位置選擇ftp用戶隔離,設置的是ftp用戶是否能夠訪問其他的目錄。
能看到默認設置的是只能訪問根目錄。ftp的用戶,需要用系統來創建,因為是iis帶的ftp,創建的用戶設置好賬號密碼後,就能訪問對應的目錄,記得給目錄添加上對應用戶名的許可權。
這里創建的用戶名是test,添加上對應的許可權。
這時候訪問21埠還是無法打開ftp,需要執行下以下命令就能任意修改埠,而不用添加防火牆例外連接了。
1、sc sidtype ftpsvc unrestricted(將ftp服務的注冊卸載)
2、net stop ftpsvc & net start ftpsvc(重啟ftp服務)
3、netsh advfirewall firewall add rule name="FTP for IIS7" service=ftpsvc action=allow protocol=TCP dir=in(開啟所有ftp埠監聽)
4、netsh advfirewall set global Statefulftp disable(使防火牆不攔截所有ftp服務的訪問)
添加後訪問ftp就能正常連接,上傳下載文件,而且不用關閉防火牆,並且不用重啟服務,修改ftp綁定的埠時,修改後也不用重啟服務,及時就能用新埠訪問。
❷ 如何使FTP伺服器安全
一、操作系統的選擇
FTP伺服器首先是基於操作系統而運作的,因而操作系統本身的安全性就決定了FTP伺服器安全性的級別。雖然Windows 98/Me一樣可以架設FTP伺服器,但由於其本身的安全性就不強,易受攻擊,因而不要採用。Windows NT就像雞肋,不用也罷。採用Windows 2000及以上版本,並記住及時打上補丁。至於Unix、Linux,則不在討論之列。
二、使用防火牆
埠是計算機和外部網路相連的邏輯介面,也是計算機的第一道屏障,埠配置正確與否直接影響到主機的安全,一般來說,僅打開你需要使用的埠,將其他不需要使用的埠屏蔽掉會比較安全。限制埠的方法比較多,可以使用第三方的個人防火牆,如天網個人防火牆等,這里只介紹Windows自帶的防火牆設置方法。
1。利用TCP/IP篩選功能
在消運Windows 2000和Windows XP中,系統都帶有TCP/IP篩選功能,利用它可以簡單地進行埠設置。以Windows XP為例,打開「本地連接」的屬性,在「常規」選項中找到「Internet協議(TCP/IP)」,雙擊它打開該協議的屬性設置窗口。點擊右下方的「高級」卜橋廳按鈕,進入「高級TCP/IP設置」。在「選項」中選中「TCP/IP篩選」並雙擊進入其屬性設置。這里我們可以設置系統只允許開放的埠,假如架設的FTP伺服器埠為21,先選中「啟用TCP/IP篩選(所有適配器)」,再在TCP埠選項中選擇「只允許」,點「添加」,輸入埠號21,確定即可。這樣,系統就只允許打開21埠。要開放其他埠,繼續添加即可。這可以有效防止最常見的139埠入侵。缺點是功能過於簡單,只能設置允許開放的埠,不能自定義要關閉的埠。如果你有大量埠要開放,就得一個個地去手工添加,比較麻煩。
2。打開Internet連接防火牆
對於Windows XP系統,自型隱帶了「Internet連接防火牆」功能,與TCP/IP篩選功能相比,設置更方便,功能更強大。除了自帶防火牆埠開放規則外,還可以自行增刪。在控制面板中打開「網路連接」,右擊撥號連接,進入「高級」選項卡,選中「通過限制或阻止來自Internet的對此計算機的訪問來保護我的計算機和網路」,啟用它。系統默認狀態下是關閉了FTP埠的,因而還要設置防火牆,打開所使用的FTP埠。點擊右下角的「設置」按鈕進入「高級設置」,選中「FTP伺服器」,我它。由於FTP服務默認埠是21,因而除了IP地址一欄外,其餘均不可更改。在IP地址一欄中填入伺服器公網IP,確定後退出即可即時生效。如果架設的FTP伺服器埠為其他埠,比如22,則可以在「服務」選項卡下方點「添加」,輸入伺服器名稱和公網IP後,將外部埠號和內部埠號均填入22即可。
三、對IIS、Serv-U等伺服器軟體進行設置
除了依靠系統提供的安全措施外,就需要利用FTP伺服器端軟體本身的設置來提高整個伺服器的安全了。
1。IIS的安全性設置
1)及時安裝新補丁
對於IIS的安全性漏洞,可以說是「有口皆碑」了,平均每兩三個月就要出一兩個漏洞。所幸的是,微軟會根據新發現的漏洞提供相應的補丁,這就需要你不斷更新,安裝最新補丁。
2)將安裝目錄設置到非系統盤,關閉不需要的服務
一些惡意用戶可以通過IIS的溢出漏洞獲得對系統的訪問權。把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。另外,由於IIS是一個綜合性服務組件,每開設一個服務都將會降低整個服務的安全性,因而,對不需要的服務盡量不要安裝或啟動。
3)只允許匿名連接
FTP的安全漏洞在於其默認傳輸密碼的過程是明文傳送,很容易被人嗅探到。而IIS又是基於Windows用戶賬戶進行管理的,因而很容易泄漏系統賬戶名及密碼,如果該賬戶擁有一定管理許可權,則更會影響到整個系統的安全。設置為「只允許匿名連接」,可以免卻傳輸過程中泄密的危險。進入「默認FTP站點」,在屬性的「安全賬戶」選項卡中,將此選項選中。
4)謹慎設置主目錄及其許可權
IIS可以將FTP站點主目錄設為區域網中另一台計算機的共享目錄,但在區域網中,共享目錄很容易招致其他計算機感染的病毒攻擊,嚴重時甚至會造成整個區域網癱瘓,不到萬不得已,使用本地目錄並將主目錄設為NTFS格式的非系統分區中。這樣,在對目錄的許可權設置時,可以對每個目錄按不同組或用戶來設置相應的許可權。右擊要設置的目錄,進入「共享和安全→安全」中設置,如非必要,不要授予「寫入」許可權。
5)盡量不要使用默認埠號21
啟用日誌記錄,以備出現異常情況時查詢原因。
2。Serv-U的安全性設置
與IIS的FTP服務相比,Serv-U在安全性方面做得比較好。
1)對「本地伺服器」進行設置
首先,選中「攔截FTP_bounce攻擊和FXP」。什麼是FXP呢?通常,當使用FTP協議進行文件傳輸時,客戶端首先向FTP伺服器發出一個「PORT」命令,該命令中包含此用戶的IP地址和將被用來進行數據傳輸的埠號,伺服器收到後,利用命令所提供的用戶地址信息建立與用戶的連接。大多數情況下,上述過程不會出現任何問題,但當客戶端是一名惡意用戶時,可能會通過在PORT命令中加入特定的地址信息,使FTP伺服器與其它非客戶端的機器建立連接。雖然這名惡意用戶可能本身無權直接訪問某一特定機器,但是如果FTP伺服器有權訪問該機器的話,那麼惡意用戶就可以通過FTP伺服器作為中介,仍然能夠最終實現與目標伺服器的連接。這就是FXP,也稱跨伺服器攻擊。選中後就可以防止發生此種情況。
其次,在「高級」選項卡中,檢查「加密密碼」和「啟用安全」是否被選中,如果沒有,選擇它們。「加密密碼」使用單向hash函數(MD5)加密用戶口令,加密後的口令保存在ServUDaemon。ini或是注冊表中。如果不選擇此項,用戶口令將以明文形式保存在文件中:「啟用安全」將啟動Serv-U伺服器的安全成功。
2)對域中的伺服器進行設置
前面說過,FTP默認為明文傳送密碼,
容易被人嗅探,對於只擁有一般許可權的賬戶,危險並不大,但如果該賬戶擁有遠程管理尤其是系統管理員許可權,則整個伺服器都會被別人遠程式控制制。Serv-U對每個賬戶的密碼都提供了以下三種安全類型:規則密碼、OTP S/KEY MD4和OTP S/KEY MD5。不同的類型對傳輸的加密方式也不同,以規則密碼安全性最低。進入擁有一定管理許可權的賬戶的設置中,在「常規」選項卡的下方找到「密碼類型」下拉列表框,選中第二或第三種類型,保存即可。注意,當用戶憑此賬戶登錄伺服器時,需要FTP客戶端軟體支持此密碼類型,如CuteFTP Pro等,輸入密碼時選擇相應的密碼類型方可通過伺服器驗證。
與IIS一樣,還要謹慎設置主目錄及其許可權,凡是沒必要賦予寫入等能修改伺服器文件或目錄許可權的,盡量不要賦予。最後,進入「設置」,在「日誌」選項卡中將「啟用記錄到文件」選中,並設置好日誌文件名及保存路徑、記錄參數等,以方便隨時查詢伺服器異常原因。
❸ 如何通過防火牆訪問內網的FTP
方法1:域名重定向。
不知道你的設備支持不
。
讓你內網的電腦訪問那個域名
通過出口設備
做dns重定向
指向內網這個電腦
。
方法二:換設置,你的那個華為不支持地址回訪,意思就是內網電腦訪問這個內網的公網可以返回。
這樣是特別的設備支持的
。
巡路安全網關支持。
這個是欣向免疫牆的高端設備
帶硬防的。
同時這個網關也支持
dns重定向,
看你喜好用什麼方法了。
最好的就是這個了。
❹ 如何為被動模式FTP伺服器配置Windows防火牆 詳細�0�3
通過打開到 TCP 埠號 21 的「命令通道」連接,標准模式 FTP 客戶端會啟動到伺服器的會話。客戶端通過將 PORT 命令發送到伺服器請求文件傳輸。然後,伺服器會嘗試啟動返回到 TCP 埠號 20 上客戶端的「數據通道」連接。客戶端上運行的典型防火牆將來自伺服器的此數據通道連接請求視為未經請求,並會丟棄數據包,從而導致文件傳輸失敗。 Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火牆 支持有狀態 FTP ,該 FTP 允許將埠 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是,如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信,則防火牆不再能夠檢查來自伺服器的入站連接請求,並且這些請求會被阻止。 為了避免此問題, FTP 還支持「被動」操作模式,客戶端在該模式下啟動數據通道連接。客戶端未使用 PORT 命令,而是在命令通道上發送 PASV 命令。伺服器使用 TCP 埠號進行響應,客戶端應連接到該埠號來建立數據通道。默認情況下,伺服器使用極短范圍( 1025 到 5000 )內的可用埠。為了更好保護伺服器的安全,您可以限制 FTP 服務使用的埠范圍,然後創建一個防火牆規則:僅在那些允許的埠號上進行 FTP 通信。 本主題將討論執行以下操作的方法: 1. 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 2. 配置入站防火牆規則以便僅在允許的埠上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務 (IIS) 7.0 版上配置 FTP 服務的步驟。如果您使用其他 FTP 服務,請查閱產品文檔以找到相應的步驟。配置對 SSL 的支持不在本主題的討論范圍之內。有關詳細信息,請參閱 IIS 文檔。 配置 FTP 服務以便僅將有限數量的埠用於被動模式 FTP 1. 在 IIS 7.0 管理器中的「連接」窗格中,單擊伺服器的頂部節點。 2. 在細節窗格中,雙擊「FTP 防火牆支持」。 3. 輸入您希望 FTP 服務使用的埠號的范圍。例如,41000-41099 允許伺服器同時支持 100 個被動模式數據連接。 4. 輸入防火牆的外部 IPv4 地址,數據連接通過該地址到達。 5. 在「操作」窗格中,單擊「應用」保存您的設置。 還必須在 FTP 伺服器上創建防火牆規則,以在前一過程中配置的埠上允許入站連接。盡管您可以創建按編號指定埠的規則,但是,創建打開 FTP 服務所偵聽的任何埠的規則更為容易。通過按前一過程中的步驟操作,您可限制 FTP 偵聽的埠。 配置入站防火牆規則以便僅允許到 FTP 所偵聽埠的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、「所有程序」和「附件」,右鍵單擊「命令提示符」,然後單擊「以管理員身份運行」。 2. 運行下列命令: 復制代碼 netsh advfirewall firewall add rule name=」FTP Service」 action=allow service=ftpsvc protocol=TCP dir=in 3. 最後,禁用有狀態 FTP 篩選,以使防火牆不會阻止任何 FTP 通信。 復制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable
❺ 如何設置windows自帶的防火牆允許網站訪問的80埠和ftp的21埠
默認情況下,
網站訪問是
80埠
,ftp訪問是21埠,
遠程桌面
是
3389埠
,都要設置為允許。如果您還希望允許其他埠,那麼請加上對應埠即可。