Поделиться через

Настройка Параметры брандмауэра FTP в IIS 7

  • Статья

Роберт Макмюррей

Совместимость

Версия Примечания.
IIS 7.5 Служба FTP 7.5 поставляется в качестве функции для IIS 7.5 в Windows 7 и Windows Server 2008 R2.
IIS 7.0 Службы FTP 7.0 и FTP 7.5 были отправлены вне полосы для IIS 7.0, которые требовали загрузки и установки службы из следующего URL-адреса: https://www.iis.net/download/FTP

Введение

Корпорация Майкрософт создала новую службу FTP, которая была полностью перезаписана для Windows Server® 2008. Эта служба FTP включает множество новых функций, позволяющих веб-авторам публиковать содержимое лучше, чем раньше, и предлагает веб-администраторам больше возможностей безопасности и развертывания.

В этом документе описана настройка параметров брандмауэра для нового FTP-сервера.

Необходимые компоненты

Для выполнения процедур, описанных в этой статье, необходимо установить следующие элементы:

  1. Служба IIS 7 должна быть установлена на сервере Windows 2008, а диспетчер службы IIS (IIS) должен быть установлен.

  2. Новая служба FTP. Вы можете скачать и установить службу FTP с https://www.iis.net/ веб-сайта, используя одну из следующих ссылок:

    • FTP 7.5 для IIS 7 (x64)
    • FTP 7.5 для IIS 7 (x86)

  3. Для публикации FTP необходимо создать корневую папку:

    • Создание папки в %SystemDrive%\inetpub\ftproot

    • Задайте разрешения для предоставления анонимного доступа:

      • Откройте командную строку.

      • Введите следующую команду:

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Закройте командную строку.

Важные примечания.

  • Параметры, перечисленные в этом пошаговом руководстве, указывают %SystemDrive%\inetpub\ftproot в качестве пути к сайту FTP. Вам не требуется использовать этот путь; Однако при изменении расположения сайта вам придется изменить пути, связанные с сайтом, которые используются в этом пошаговом руководстве.

  • После настройки параметров брандмауэра для службы FTP необходимо настроить программное обеспечение брандмауэра или оборудование, чтобы разрешить подключения через брандмауэр к FTP-серверу.

    • Если вы используете встроенный брандмауэр Windows, см. шаг 3. Настройка брандмауэра Windows Параметры раздела этого пошагового руководства.
    • Если вы используете другой брандмауэр, обратитесь к документации, предоставленной программным обеспечением или оборудованием брандмауэра.

Использование мастера FTP-сайта для создания FTP-сайта с анонимной проверкой подлинности

В этом разделе вы создадите новый FTP-сайт, который можно открыть для доступа только для чтения анонимными пользователями. Для этого выполните следующие действия.

  1. Перейдите к диспетчер IIS 7. В области Подключение ions щелкните узел "Сайты" в дереве.

  2. Щелкните правой кнопкой мыши узел "Сайты" в дереве и щелкните "Добавить FTP-сайт" или "Добавить FTP-сайт" на панели "Действия".

    Снимок экрана: I S Manager. Добавление сайта F T P выделено в контекстном меню

  3. Когда появится мастер добавления FTP-сайта:

    • Введите "Мой новый FTP-сайт" в поле имени FTP-сайта, а затем перейдите в %SystemDrive%\inetpub\ftproot папку, созданную в разделе "Предварительные требования".

      Примечание.

      Если вы решили ввести путь к папке содержимого, можно использовать переменные среды в путях.

    • Нажмите кнопку Далее.

      Снимок экрана: диалоговое окно

  4. На следующей странице мастера:

    • Выберите IP-адрес для сайта FTP в раскрывающемся списке IP-адресов или выберите вариант "Все неназначенные". Так как вы будете удаленно получать доступ к этому сайту FTP, необходимо убедиться, что вы не ограничиваете доступ к локальному серверу и вводите локальный IP-адрес обратной передачи для компьютера, введя в поле IP-адреса значение 127.0.0.1.

    • Обычно вы вводите TCP/IP-порт для FTP-сайта в поле "Порт ". В этом пошаговом руководстве вы решите принять порт по умолчанию 21.

    • В этом пошаговом руководстве не используется имя узла, поэтому убедитесь, что поле виртуального узла пусто.

    • Убедитесь, что в раскрывающемся списке "Сертификаты не выбраны " и выбран параметр "Разрешить SSL ".

    • Нажмите кнопку Далее.

      Снимок экрана: диалоговое окно

  5. На следующей странице мастера:

    • Выберите "Анонимный" для параметров проверки подлинности.

    • Для параметров авторизации выберите "Анонимные пользователи" в раскрывающемся списке "Разрешить доступ". Выберите параметр "Чтение " для параметра "Разрешения ".

    • Нажмите кнопку Готово.

      Снимок экрана: диалоговое окно

  6. Перейдите к диспетчер IIS 7. Щелкните узел созданного сайта FTP. Значки для всех функций FTP.

    Снимок экрана, на котором показана панель

Итоги

Чтобы вернуть элементы, выполненные на этом шаге, сделайте следующее:

  1. Вы создали новый FTP-сайт с именем "Мой новый FTP-сайт" с корнем %SystemDrive%\inetpub\ftprootсодержимого сайта.
  2. Вы привязали FTP-сайт к локальному адресу обратного цикла для компьютера через порт 21, выбрав не использовать протокол SSL для FTP-сайта.
  3. Вы создали правило по умолчанию для ftp-сайта, чтобы разрешить анонимным пользователям доступ "Чтение" к файлам.

Шаг 1. Настройка диапазона пассивных портов для службы FTP

В этом разделе описана настройка диапазона портов уровня сервера для пассивных подключений к службе FTP. Выполните указанные ниже действия.

  1. Перейдите к диспетчер IIS 7. В области Подключение ions щелкните узел уровня сервера в дереве.

    Снимок экрана: панель

  2. Дважды щелкните значок поддержки брандмауэра FTP в списке функций.

    Снимок экрана: панель

  3. Введите диапазон значений для диапазона портов канала данных.

    Снимок экрана: панель поддержки брандмауэра F T P.

  4. После ввода диапазона портов для службы FTP нажмите кнопку "Применить " в области "Действия ", чтобы сохранить параметры конфигурации.

Примечания.

  1. Допустимый диапазон портов — 1024–65535. (Порты от 1 до 1023 зарезервированы для использования системными службами.)

  2. Можно ввести специальный диапазон портов "0-0", чтобы настроить FTP-сервер для использования динамического диапазона портов Windows TCP/IP.

  3. Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:

  4. Этот диапазон портов необходимо добавить в допустимые параметры для сервера брандмауэра.

  5. После внесения изменений конфигурации перезапустите службу FTP Майкрософт и Start>>Runservices.msc найдите службу FTP.

Шаг 2. Настройка внешнего IPv4-адреса для конкретного FTP-сайта

В этом разделе описана настройка внешнего IPv4-адреса для конкретного созданного ранее FTP-сайта. Выполните указанные ниже действия.

  1. Перейдите к диспетчер IIS 7. В области Подключение ions щелкните ftp-сайт, созданный ранее в дереве, дважды щелкните значок поддержки брандмауэра FTP в списке функций.

    Снимок экрана, на котором показана панель

  2. Введите IPv4-адрес внешнего адреса сервера брандмауэра для параметра внешнего IP-адреса брандмауэра .

    Снимок экрана: панель поддержки брандмауэра F T P с ip-адресом, введенным в поле

  3. После ввода внешнего IPv4-адреса для сервера брандмауэра нажмите кнопку "Применить " в области действий , чтобы сохранить параметры конфигурации.

Итоги

Чтобы вернуть элементы, выполненные на этом шаге, сделайте следующее:

  1. Вы настроили пассивный диапазон портов для службы FTP.
  2. Вы настроили внешний IPv4-адрес для определенного FTP-сайта.

(Необязательно) Шаг 3. Настройка Параметры брандмауэра Windows

Windows Server 2008 содержит встроенную службу брандмауэра для защиты сервера от сетевых угроз. Если вы решили использовать встроенный брандмауэр Windows, необходимо настроить параметры, чтобы ftp-трафик можно было пройти через брандмауэр.

Существует несколько различных конфигураций, которые следует учитывать при использовании ftp-службы с брандмауэром Windows, независимо от того, будут ли использоваться активные или пассивные FTP-подключения, а также будет ли использоваться незашифрованный FTP или использовать FTP через SSL (FTPS). Каждая из этих конфигураций описана ниже.

Примечание.

При входе в систему в качестве администратора необходимо выполнить действия, описанные в этом разделе. Это можно сделать одним из следующих методов:

  • Войдите на сервер с помощью фактической учетной записи с именем Администратор istrator.
  • Войдите в систему с помощью учетной записи с правами администратора и откройте командную строку, щелкнув правой кнопкой мыши пункт меню командной строки, расположенный в меню "Аксессуары" для программ Windows и выбрав "Запуск от имени администратора".

Один из описанных выше шагов является обязательным, так как компонент безопасности управления учетными записями пользователей (UAC) в операционных системах Windows Vista и Windows Server 2008 запрещает администратору доступ к параметрам брандмауэра. Дополнительные сведения об UAC см. в следующей документации:

Примечание.

Хотя брандмауэр Windows можно настроить с помощью applet брандмауэра Windows в Windows панель управления, эта программа не имеет необходимых функций для включения всех функций для FTP. Брандмауэр Windows с программой расширенной безопасности, расположенной в Администратор istrative Tools в Windows панель управления имеет все необходимые функции для включения функций FTP, но в интересах простоты этого пошагового руководства описывает, как использовать программу командной строки Netsh.exe для настройки брандмауэра Windows.

Использование брандмауэра Windows с незащищенным FTP-трафиком

Чтобы настроить брандмауэр Windows, чтобы разрешить небезопасный FTP-трафик, выполните следующие действия.

  1. Откройте командную строку: нажмите кнопку "Пуск", затем "Все программы", а затем "Аксессуары" и "Командная строка".

  2. Чтобы открыть порт 21 в брандмауэре, введите следующий синтаксис, а затем нажмите клавишу ВВОД:

    netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow protocol=TCP dir=in localport=21

  3. Чтобы включить фильтрацию FTP с отслеживанием состояния, которая динамически открывает порты для подключений к данным, введите следующий синтаксис и нажмите клавишу ВВОД:

    netsh advfirewall set global StatefulFtp enable

Важные примечания.

  • Активные FTP-подключения не обязательно охватываются приведенными выше правилами; Исходящее подключение из порта 20 также должно быть включено на сервере. Кроме того, на клиентском компьютере FTP потребуется настроить собственные исключения брандмауэра для входящего трафика.
  • ПРОТОКОЛ FTP по протоколу SSL (FTPS) не будет охватываться этими правилами; Согласование SSL, скорее всего, завершится ошибкой, так как фильтр брандмауэра Windows для проверки FTP с отслеживанием состояния не сможет анализировать зашифрованные данные. (Некоторые сторонние фильтры брандмауэра распознают начало согласования SSL, например команды AUTH SSL или AUTH TLS, и возвращают ошибку, чтобы предотвратить запуск согласования SSL.)

Использование брандмауэра Windows с безопасным FTP-трафиком через ПРОТОКОЛ SSL (FTPS)

Проверка пакетов FTP с отслеживанием состояния в брандмауэре Windows, скорее всего, предотвратит работу SSL, так как фильтр брандмауэра Windows для проверки FTP с отслеживанием состояния не сможет проанализировать зашифрованный трафик, который установит подключение к данным. Из-за этого необходимо настроить параметры брандмауэра Windows для FTP по-разному, если вы планируете использовать FTP через SSL (FTPS). Самый простой способ настроить брандмауэр Windows, чтобы разрешить трафик FTPS, — перечислить службу FTP в списке исключений для входящего трафика. Полное имя службы — это служба Microsoft FTP, а короткое имя службы — ftpsvc. (Служба FTP размещается в узле универсального процесса службы (Svchost.exe), поэтому его невозможно поместить в список исключений, хотя исключение программы.)

Чтобы настроить брандмауэр Windows, чтобы разрешить безопасный трафик FTP по протоколу SSL (FTPS), выполните следующие действия.

  1. Откройте командную строку: нажмите кнопку "Пуск", затем "Все программы", а затем "Аксессуары" и "Командная строка".

  2. Чтобы настроить брандмауэр, чтобы служба FTP прослушивала все открываемые порты, введите следующий синтаксис и нажмите клавишу ВВОД:

    netsh advfirewall firewall add rule name="FTP for IIS7" service=ftpsvc action=allow protocol=TCP dir=in

  3. Чтобы отключить фильтрацию FTP с отслеживанием состояния, чтобы брандмауэр Windows не блокировать FTP-трафик, введите следующий синтаксис, а затем нажмите клавишу ВВОД:

    netsh advfirewall set global StatefulFtp disable

Дополнительные сведения о работе с брандмауэрами

Часто сложно создать правила брандмауэра для FTP-сервера, чтобы работать правильно, и основная причина этой проблемы заключается в архитектуре протокола FTP. Каждый FTP-клиент должен поддерживать два подключения между клиентом и сервером:

  • Команды FTP передаются через основное подключение, называемое каналом управления, который обычно является известным FTP-портом 21.
  • Для передачи данных FTP, например списков каталогов или отправки и скачивания файлов, требуется дополнительное подключение с именем Data Channel.

Открытие порта 21 в брандмауэре является простой задачей, но это означает, что FTP-клиент сможет отправлять команды, а не передавать данные. Это означает, что клиент сможет использовать канал управления для успешной проверки подлинности и создания или удаления каталогов, но клиент не сможет просматривать списки каталогов или загружать и скачивать файлы. Это связано с тем, что подключения к данным для FTP-сервера не могут передаваться через брандмауэр, пока канал данных не будет разрешен через брандмауэр.

Примечание.

Это может показаться запутанным для FTP-клиента, так как клиент, как представляется, сможет успешно войти на сервер, но подключение может показаться временем ожидания или перестать отвечать при попытке получить список каталогов с сервера.

Проблемы работы с FTP и брандмауэрами не заканчиваются требованием дополнительного подключения к данным; чтобы усложнить еще больше, на самом деле существует два разных способа установления подключения к данным:

  • Активные Подключение данных: в активном подключении к данным ftp-клиент настраивает порт для прослушивания канала данных, а сервер инициирует подключение к порту. Обычно это происходит из порта 20 сервера. Активные подключения к данным, используемые для подключения к FTP-серверу по умолчанию; Однако активные подключения к данным больше не рекомендуется, так как они не работают хорошо в интернете.
  • Пассивные данные Подключение. В пассивном подключении к данным FTP-сервер настраивает порт для прослушивания канала данных, а клиент инициирует подключение к порту. Пассивные подключения работают гораздо лучше в сценариях Интернета и рекомендуются RFC 1579 (брандмауэр с поддержкой FTP).

Примечание.

Для некоторых ftp-клиентов требуется явное действие для включения пассивных подключений, а некоторые клиенты даже не поддерживают пассивные подключения. (Один из таких примеров — программа командной строки Ftp.exe, которая поставляется с Windows.) Чтобы добавить путаницу, некоторые клиенты пытаются интеллектуально изменить между двумя режимами при возникновении сетевых ошибок, но, к сожалению, это не всегда работает.

Некоторые брандмауэры пытаются устранить проблемы с подключениями к данным со встроенными фильтрами, которые сканируют FTP-трафик и динамически разрешают подключения к данным через брандмауэр. Эти фильтры брандмауэра могут определить, какие порты будут использоваться для передачи данных и временно открывать их на брандмауэре, чтобы клиенты могли открывать подключения к данным. (Некоторые брандмауэры могут включать фильтрацию FTP-трафика по умолчанию, но это не всегда так.) Этот тип фильтрации называется типом проверки пакетов с отслеживанием состояния (SPI) или проверки состояния, что означает, что брандмауэр может интеллектуально определять тип трафика и динамически выбирать способ реагирования. Многие брандмауэры теперь используют эти функции, включая встроенный брандмауэр Windows.