FTP服務(wù)器建立、管理和使用

1、FTP服務(wù)器建立、管理和使用一、 實(shí)訓(xùn)目的：1 讓學(xué)生掌握FTP服務(wù)的知識(shí)2 掌握FTP站點(diǎn)的規(guī)劃3 掌握FTP站點(diǎn)的設(shè)置和使用。二、實(shí)訓(xùn)內(nèi)容：在DNS中將域名“”指向IP地址“9”，要求輸入相應(yīng)格式的域名（或IP地址）就可登錄到“D:Myweb”目錄下使用FTP相關(guān)服務(wù)。三、相關(guān)理論：IIS是Internet信息服務(wù)（Internet Infomation Server）的縮寫(xiě)。主要包括WWW服務(wù)器、FTP服務(wù)器等。它使得在Intranet（局域網(wǎng)）或Internet（因特網(wǎng)）上發(fā)布信息成了一件很容易的事。正如WWW服務(wù)的實(shí)現(xiàn)依賴于TCP/IP協(xié)議組中的HTTP應(yīng)用層協(xié)

2、議一樣，F(xiàn)TP服務(wù)同樣依賴于TCP/IP協(xié)議組應(yīng)用層中的FTP協(xié)議來(lái)實(shí)現(xiàn)。FTP的默認(rèn)TCP端口號(hào)是21，由于FTP可以同時(shí)使用兩個(gè)TCP端口進(jìn)行傳送（一個(gè)用于數(shù)據(jù)傳送，一個(gè)用于指令信息傳送），所以FTP可以實(shí)現(xiàn)更快的文件傳輸速度。使用FTP需要專(zhuān)門(mén)的客戶端軟件，例如著名的BulletFTP、LeapFTP等等，一般的瀏覽器（如IE）也可以實(shí)現(xiàn)有限的FTP客戶端功能，如下載文件等。如下圖，就是在IE瀏覽器中打開(kāi)的一個(gè)FTP站點(diǎn)。FTP服務(wù)器的Internet地址（URL）與通常在Web網(wǎng)站中使用的URL略有不同，其協(xié)議部分需要寫(xiě)成"ftp:/"而不是"http:/

3、"，例如，由Microsoft創(chuàng)建并提供大量技術(shù)支持文件的匿名FTP服務(wù)器地址為ftp:/。四、實(shí)訓(xùn)準(zhǔn)備：多臺(tái)裝有Windows 2000 Server的計(jì)算機(jī)。五、實(shí)訓(xùn)方法與步驟：1、“”的設(shè)置：（1）打開(kāi)“默認(rèn)FTP站點(diǎn)”屬性窗口：選“默認(rèn)FTP站點(diǎn)右鍵屬性”即可。（2）設(shè)置“FTP站點(diǎn)”：在“IP地址”處選“9”，端口號(hào)保持默認(rèn)值“21”不變。如下圖：（3）設(shè)置“消息”：在“歡迎”框中輸入登錄成功后的歡迎信息，“退出”中為退出信息。（4）設(shè)置“主目錄”：在“本地路徑”中按“瀏覽”按鈕選擇目標(biāo)目錄“E:myweb”。如下圖：（5）設(shè)置“安全帳號(hào)”：默認(rèn)的，匿

4、名用戶（Anonymous）被允許登錄，如果有必要，此處可選拒絕其登錄以增加安全性；或增加其他用于管理此FTP服務(wù)器的用戶名（默認(rèn)的為“Administator”）。（6）設(shè)置“目錄安全性”：此處可以設(shè)置只被允許或只被拒絕登錄此FTP服務(wù)器的的計(jì)算機(jī)的IP地址。（7）如需要，也可在“默認(rèn)FTP站點(diǎn)”處單擊右鍵選“新建”來(lái)新建FTP的虛擬目錄。2、 “”的測(cè)試（1）在瀏覽器中登錄：格式為“ftp:/”或“ftp:/用戶名”。如果匿名用戶被允許登錄，則第一種格式就會(huì)使用匿名登錄的方式；如果匿名不被允許，則會(huì)彈出選項(xiàng)窗口，供輸入用戶名和密碼。第二種格式可以直接指定用某個(gè)用戶名進(jìn)行登錄。（2）DOS下

5、登錄：格式為“ftp ”。（3）用FTP客戶端軟件登錄。3、 FTP站點(diǎn)安全性設(shè)置FTP站點(diǎn)的安全性設(shè)置相對(duì)單純，這是因?yàn)镕TP站點(diǎn)并不涉及復(fù)雜的安全性應(yīng)用程序和服務(wù)器/瀏覽器交互過(guò)程。限制FTP站點(diǎn)安全性的手段無(wú)非是：用戶賬號(hào)認(rèn)證、匿名訪問(wèn)控制以及IP地址限制，本節(jié)將給出這些限制方法及其綜合運(yùn)用方式。（1）目錄安全性設(shè)置FTP用戶僅有兩種目錄權(quán)限：讀取和寫(xiě)入，讀取權(quán)限對(duì)應(yīng)于下載能力；寫(xiě)入權(quán)限對(duì)應(yīng)上傳能力。FTP站點(diǎn)的目錄權(quán)限是對(duì)全體訪問(wèn)該目錄的用戶都生效的權(quán)限，即一旦某個(gè)目錄設(shè)置為僅有讀取權(quán)限，則任何FTP用戶，包括授權(quán)用戶都不能進(jìn)行上傳操作（需要寫(xiě)入權(quán)限）。目錄權(quán)限可以在FTP站點(diǎn)和虛擬目

6、錄兩個(gè)層次進(jìn)行設(shè)置。在IIS管理MMC界面的管理控制樹(shù)中右擊FTP站點(diǎn)或虛擬目錄圖標(biāo)，選擇【屬性】，打開(kāi)站點(diǎn)屬性表單或虛擬目錄屬性表單，選擇【主目錄】或【虛擬目錄】選項(xiàng)卡。只需選擇【讀取】、【寫(xiě)入】復(fù)選框即可指定站點(diǎn)或虛擬目錄的目錄訪問(wèn)權(quán)限。如右圖，就是在虛擬目錄屬性表單中配置目錄權(quán)限的情況。目錄權(quán)限與NTFS權(quán)限并無(wú)關(guān)系，但二者共同作用于FTP站點(diǎn)訪問(wèn)者。一般的，在NTFS分區(qū)上的站點(diǎn)目錄被設(shè)置的NTFS權(quán)限如果與我們這里設(shè)置的目錄權(quán)限發(fā)生沖突，二者中限制較大（權(quán)限較?。┑臋?quán)限將實(shí)際發(fā)生作用。這種配置有利于站點(diǎn)的安全性，兩重的權(quán)限保護(hù)在某種程度上避免了管理員的疏忽。所以，應(yīng)當(dāng)盡量的將站點(diǎn)目錄

7、（包括虛擬目錄）存儲(chǔ)在NTFS分區(qū)中。完成目錄權(quán)限指定后，單擊【應(yīng)用】使之生效，如果此時(shí)系統(tǒng)提示修改過(guò)的權(quán)限設(shè)置與當(dāng)前對(duì)象的子站點(diǎn)（子目錄或虛擬目錄）存在權(quán)限沖突，如下圖，則說(shuō)明子站點(diǎn)權(quán)限與當(dāng)前權(quán)限有不一致的情況。這時(shí)，應(yīng)在圖中的【子站點(diǎn)】列表欄中指定繼承當(dāng)前許可設(shè)置的子站點(diǎn)/子目錄對(duì)象?；蛘邌螕簟救x】使當(dāng)前權(quán)限能夠覆蓋全部子對(duì)象當(dāng)權(quán)限。單擊【確定】返回。如果不選擇站點(diǎn)或單擊【取消】，都會(huì)導(dǎo)致只有當(dāng)前對(duì)象直接包含的文件才被修改了權(quán)限。最后單擊【確定】結(jié)束目錄權(quán)限的設(shè)置。（2）匿名訪問(wèn)控制匿名訪問(wèn)是FTP服務(wù)的一大特點(diǎn)，雖然在WWW服務(wù)中也有匿名訪問(wèn)的限制，但是匿名訪問(wèn)對(duì)于一個(gè)FTP站點(diǎn)來(lái)說(shuō)在

8、安全性和內(nèi)容方面具有特殊的用途。由于FTP是一個(gè)簡(jiǎn)單的，在Internet產(chǎn)生初期就存在的服務(wù)，一個(gè)FTP站點(diǎn)除了用戶賬號(hào)之外沒(méi)有其他的用戶安全驗(yàn)證服務(wù)（ISAPI過(guò)濾器、數(shù)字證書(shū)等方法對(duì)于FTP是無(wú)效的）。所以有必要合理的設(shè)置FTP安全賬號(hào)。在IIS管理器的MMC界面中，右擊管理控制樹(shù)中的FTP站點(diǎn)節(jié)點(diǎn)，從彈出菜單中選擇【屬性】，打開(kāi)站點(diǎn)屬性表單，選擇【安全賬號(hào)】選項(xiàng)卡，如下圖所示，這里是配置匿名訪問(wèn)的主要界面。在【安全賬號(hào)】選項(xiàng)卡中選中【允許匿名訪問(wèn)】復(fù)選框，使當(dāng)前站點(diǎn)同時(shí)允許匿名和授權(quán)用戶連接。IIS默認(rèn)的匿名訪問(wèn)用戶賬號(hào)是IUSR_computername，其中computername

9、是 IIS所在服務(wù)器的計(jì)算機(jī)名。我們也可以更改這一賬號(hào)，在【安全賬號(hào)】選項(xiàng)卡中單擊【用戶名】欄右側(cè)的【瀏覽】。在如右上圖所示的【選擇用戶對(duì)話框】中指定匿名用戶賬號(hào)，單擊【確定】即可。通常情況下，雖然匿名訪問(wèn)用戶賬號(hào)由Windows 2000進(jìn)行驗(yàn)證和安全性維護(hù)，但是賬號(hào)的密碼是由IIS進(jìn)行控制的，取消選擇【允許IIS控制密碼】復(fù)選框可以自行指定用戶密碼。FTP站點(diǎn)的用戶訪問(wèn)控制可以分為三種情況：僅有授權(quán)訪問(wèn)、僅有匿名訪問(wèn)、匿名訪問(wèn)與授權(quán)訪問(wèn)混合使用。僅使用匿名訪問(wèn)方式的好處是強(qiáng)化系統(tǒng)的安全性。這種方式拒絕任何非匿名的登錄請(qǐng)求，也就不可能允許具有管理員權(quán)限的用戶（可能是黑客）通過(guò)Internet

10、登錄站點(diǎn)，從而保證服務(wù)器不被入侵。在FTP站點(diǎn)屬性表單的【主目錄】選項(xiàng)卡中選擇【只允許匿名連接】復(fù)選框進(jìn)行此設(shè)置。如果清除此復(fù)選框，IIS會(huì)給出如下圖所示的警告對(duì)話框。對(duì)于授權(quán)用戶，可以在圖形界面或基于目錄提示行的FTP客戶端軟件中直接指定登錄賬號(hào)和密碼（匿名賬號(hào)為anonymous，密碼為空），以做登錄驗(yàn)證之用。下圖是在IE瀏覽器中登錄FTP站點(diǎn)的對(duì)話框。缺省時(shí)，在IE中打開(kāi)FTP站點(diǎn)都是以匿名身份進(jìn)入的，需要改變用戶身份時(shí)，單擊IE瀏覽器的【文件】菜單，選擇【登錄】，如右圖所示，輸入賬號(hào)和密碼，單擊【登錄】以授權(quán)用戶身份進(jìn)入站點(diǎn)。通常只有授權(quán)用戶才有上傳權(quán)限。（3）IP地址訪問(wèn)控制IP地址限制是FTP站點(diǎn)通常使用的安全限制方式之一，由于對(duì)于FTP這種較老的服務(wù)并無(wú)過(guò)多的安全技術(shù)可供選擇，所以用好現(xiàn)有的安全限制（如IP地址限制）是非常必要的。FTP站點(diǎn)的目錄安全性可以以兩種方式限制特殊IP地址的訪問(wèn)：授權(quán)訪問(wèn)和拒絕訪問(wèn)，兩種方式不能同時(shí)使用。授權(quán)訪問(wèn)方式允許缺省用戶訪問(wèn)站點(diǎn)