iss ftp防火墻如何設(shè)置

iss ftp防火墻如何設(shè)置

　　iss ftp防火墻要怎么樣去設(shè)置呢?跟著小編去看看吧!下面由學(xué)習(xí)啦小編給你做出詳細(xì)的iss ftp防火墻設(shè)置介紹!希望對你有幫助!

　　iss ftp防火墻設(shè)置一：

　　通過打開到 TCP 端口號 21 的“命令通道”連接，標(biāo)準(zhǔn)模式 FTP 客戶端會啟動到服務(wù)器的會話?？蛻舳送ㄟ^將 PORT 命令發(fā)送到服務(wù)器請求文件傳輸。

　　然后，服務(wù)器會嘗試啟動返回到 TCP 端口號 20 上客戶端的“數(shù)據(jù)通道”連接?？蛻舳松线\行的典型防火墻將來自服務(wù)器的此數(shù)據(jù)通道連接請求視為未經(jīng)請求，并會丟棄數(shù)據(jù)包，從而導(dǎo)致文件傳輸失敗。

　　Windows Vista 和 Windows Server 2008 中的 高級安全 Windows 防火墻 支持有狀態(tài) FTP ，該 FTP 允許將端口 20 上的入站連接請求與來自客戶端的先前出站 PORT 命令相匹配。但是，如果您通過 SSL 使用 FTP 來加密和保護 FTP 通信，則防火墻不再能夠檢查來自服務(wù)器的入站連接請求，并且這些請求會被阻止。 為了避免此問題， FTP 還支持“被動”操作模式，客戶端在該模式下啟動數(shù)據(jù)通道連接。

　　客戶端未使用 PORT 命令，而是在命令通道上發(fā)送 PASV 命令。服務(wù)器使用 TCP 端口號進行響應(yīng)，客戶端應(yīng)連接到該端口號來建立數(shù)據(jù)通道。默認(rèn)情況下，服務(wù)器使用極短范圍( 1025 到 5000 )內(nèi)的可用端口。

　　為了更好保護服務(wù)器的安全，您可以限制 FTP 服務(wù)使用的端口范圍，然后創(chuàng)建一個防火墻規(guī)則：僅在那些允許的端口號上進行 FTP 通信。 本主題將討論執(zhí)行以下操作的方法：

　　1. 配置 FTP 服務(wù)以便僅將有限數(shù)量的端口用于被動模式 FTP

　　2. 配置入站防火墻規(guī)則以便僅在允許的端口上進行入站 FTP 連接 以下過程顯示在 Internet 信息服務(wù) (IIS) 7.0 版上配置 FTP 服務(wù)的步驟。如果您使用其他 FTP 服務(wù)，請查閱產(chǎn)品文檔以找到相應(yīng)的步驟。配置對 SSL 的支持不在本主題的討論范圍之內(nèi)。

　　有關(guān)詳細(xì)信息，請參閱 IIS 文檔。 配置 FTP 服務(wù)以便僅將有限數(shù)量的端口用于被動模式 FTP

　　1. 在 IIS 7.0 管理器中的“連接”窗格中，單擊服務(wù)器的頂部節(jié)點。

　　2. 在細(xì)節(jié)窗格中，雙擊“FTP 防火墻支持”。 3. 輸入您希望 FTP 服務(wù)使用的端口號的范圍。例如，41000-41099 允許服務(wù)器同時支持 100 個被動模式數(shù)據(jù)連接。

　　4. 輸入防火墻的外部 IPv4 地址，數(shù)據(jù)連接通過該地址到達(dá)。

　　5. 在“操作”窗格中，單擊“應(yīng)用”保存您的設(shè)置。 還必須在 FTP 服務(wù)器上創(chuàng)建防火墻規(guī)則，以在前一過程中配置的端口上允許入站連接。盡管您可以創(chuàng)建按編號指定端口的規(guī)則，但是，創(chuàng)建打開 FTP 服務(wù)所偵聽的任何端口的規(guī)則更為容易。通過按前一過程中的步驟操作，您可限制 FTP 偵聽的端口。 配置入站防火墻規(guī)則以便僅允許到 FTP 所偵聽端口的入站 FTP 連接 1. 打開管理員命令提示符。依次單擊「開始」、“所有程序”和“附件”，右鍵單擊“命令提示符”，然后單擊“以管理員身份運行”。

　　運行下列命令： 復(fù)制代碼 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3. 最后，禁用有狀態(tài) FTP 篩選，以使防火墻不會阻止任何 FTP 通信。 復(fù)制代碼 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command. 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable

　　iss ftp防火墻設(shè)置二：

　　ftp 分2種模式，主動和被動

　　主動模式FTP server用到 tcp 21 控制， 20 數(shù)據(jù)， FTP CLIENT 用到 N 連接 21， 這個時候是ftp server 主動用20端口連接 客戶端的n+1端口 ， N > 1024 。

　　被動模式FTP server用到tcp 21 控制，x > 1024,隨機端口， FTP CLIENT 用到 N 連接 21， 這個時候是ftp客戶端主動使用N +1 連接ftp服務(wù)器的x端口 ， N > 1024 。

　　現(xiàn)在用到的基本都是被動模式，因為客戶端做了NAT，F(xiàn)TP服務(wù)器不可能主動發(fā)起連接到客戶端。

　　要是開放端口，服務(wù)器端要開放 21， 入， 1024以上的所有TCP端口，入。

　　iss ftp防火墻設(shè)置三：

　　先說IIS6的FTP主程序吧。不太清楚你說的主程序的意思。我對你所說的問題的理解是，在開始-程序中怎么有沒有IIS6的FTP設(shè)置和管理工具是吧?

　　IIS的FTP的管理就是在IIS管理器中進行的，如圖1紅框處。如果你發(fā)現(xiàn)你的IIS管理器中沒有這一項是因為，IIS6在默認(rèn)安裝時并不安裝FTP組件，需要手工添加，你需要在控制面板--添加刪除程序--添加刪除windows組件中添加上。如圖2。

　　再說主動模式和被動模式。

　　主動模式的連接過程是這樣的，首先客戶隨機端口連接服務(wù)器21端口，然后服務(wù)器通過20端口連接客戶機剛剛那個隨機端口傳數(shù)據(jù)。整個過程中服務(wù)器只要開放TCP 20和21就可以

　　被動模式的連接過程是這樣的：首先客戶隨機端口連接服務(wù)器21端口，然后服務(wù)器通過21端口告訴客戶機自己打開哪個端口傳數(shù)據(jù)(這個端口是個1025--5000的端口)最后客戶機連接服務(wù)器的所告知的端口。這個過程中服務(wù)器除了要開放21端口外，還要開放1025--5000的所有端口才行，如果這樣開放就不是防火墻了。

　　這就是為什么你開了防火墻的20 21，客戶端要設(shè)置為主動模式才能訪問的原因。

　　看了“ iss ftp防火墻如何設(shè)置”文章的還看了：

1.防火墻怎么樣禁用文件訪問

2.doc怎么樣禁用防火墻

3.360瀏覽器被防火墻擋住怎么辦

4.WinXP正確關(guān)閉防火墻的辦法

5.dns防火墻怎么樣設(shè)置