FTP 请求筛选 <requestFiltering>
FTP 请求筛选是 FTP 7 中引入的一项内置安全功能,大概类似于通过 HTTP 站点可用的请求筛选功能提供的功能。 请求筛选功能的所有设置都位于 <requestFiltering> 元素内,其中包含以下每个功能区域的多个子元素:
<denyUrlSequences>- 此元素可以包含 IIS 7 将拒绝的 URL 序列模式的集合。例如:您可以拒绝攻击者可能尝试利用的部分 URL 序列。<fileExtensions>- 此元素可以包含 IIS 7 拒绝或允许的文件扩展名集合。例如:您可以阻止对 *.EXE 或 *.COM 文件的所有请求。<hiddenSegments>- 此元素可以包含无法浏览的 URL 的集合。例如:您可以拒绝对 ASP.NET App_Code 文件夹的请求。<requestLimits>- 此元素包含 URL、内容和命令长度的设置。
FTP 请求筛选和 HTTP 请求筛选之间的显著区别是,HTTP 请求筛选包括附加的 <verbs> 元素,该元素可能包含 IIS 将拒绝或允许的 HTTP 谓词集合。 FTP 通过站点级别配置的 <commandFiltering> 元素提供这种类型的筛选。
注意
当请求筛选因 FTP 请求违反请求筛选规则而阻止 FTP 请求时,FTP 7 将向客户端返回 FTP 错误,并记录下列其中一个 FTP 子状态,以确定拒绝请求的原因:
| FTP 子状态 | 说明 |
|---|---|
8 |
根据请求筛选规则在路径中检测到隐藏的段。 |
9 |
根据请求筛选规则在路径中检测到拒绝的 URL 序列。 |
10 |
根据请求筛选规则在路径中检测到高位字符。 |
11 |
文件扩展名因请求筛选规则遭到拒绝 |
12 |
根据请求筛选规则,路径太长。 |
51 |
命令筛选规则拒绝访问。 |
这些子状态指示的条件通知允许 Web 管理员分析其 IIS 日志并识别潜在威胁。
兼容性
| 版本 | 说明 |
|---|---|
| IIS 10.0 | <requestFiltering> 元素在 IIS 10.0 中未进行修改。 |
| IIS 8.5 | <requestFiltering> 元素在 IIS 8.5 中未进行修改。 |
| IIS 8.0 | <requestFiltering> 元素在 IIS 8.0 中未进行修改。 |
| IIS 7.5 | <system.ftpServer/security> 元素的 <requestFiltering> 元素作为 IIS 7.5 的功能提供。 |
| IIS 7.0 | <system.ftpServer/security> 元素的 <requestFiltering> 元素是在 IIS 7.0 的独立下载项 FTP 7.0 中引入的。 |
| IIS 6.0 | IIS 6.0 中的 FTP 服务不支持请求筛选。 |
注意
FTP 7.0 和 FTP 7.5 服务是 IIS 7.0 带外提供的,需要从以下 URL 下载和安装模块:
在 Windows 7 和 Windows Server 2008 R2 中,FTP 7.5 服务作为 IIS 7.5 的功能提供,因此无需再下载 FTP 服务。
安装
若要支持 Web 服务器的 FTP 发布,必须安装 FTP 服务。 为此,请按照以下步骤操作。
Windows Server 2012 或 Windows Server 2012 R2
在任务栏上,单击 “服务器管理器”。
在“服务器管理器”中,单击“管理”菜单,然后单击“添加角色和功能”。
在“添加角色和功能”向导中,单击“下一步”。 选择安装类型,然后单击“下一步”。 选择目标服务器,然后单击“下一步”。
在“服务器角色”页上,展开“Web 服务器 (IIS)”,然后选择“FTP 服务器”。
注意
若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS Manager 身份验证,除“FTP 服务”外还需选择“FTP 扩展性”。
单击“下一步”,然后在“选择功能”页上,再次单击“下一步”。
在“确认安装选择”页上,单击“安装”。
在“结果” 页面中单击“关闭” 。
Windows 8 或 Windows 8.1
在“开始”屏幕上,将指针一直移动到左下角,右键单击“开始”按钮,然后单击“控制面板”。
在“控制面板”中,单击“程序与功能”,然后单击“打开或关闭 Windows 功能”。
展开“Internet Information Services”,然后选择“FTP 服务器”。
注意
若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证,还需选择“FTP 扩展性”。
单击“确定”。
单击“关闭” 。
Windows Server 2008 R2
在任务栏上,单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
在“服务器管理器”层次结构窗格中,展开“角色”,然后单击“Web 服务器 (IIS)”。
在“Web 服务器 (IIS)”窗格中,滚动到“角色服务”部分,然后单击“添加角色服务”。
在“添加角色服务向导”的“选择角色服务”页,展开“FTP 服务器”。
选择“FTP 服务”。
注意
若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证,还需选择“FTP 扩展性”。
单击 “下一步” 。
在“确认安装选择”页中,单击“安装”。
在“结果” 页面中单击“关闭” 。
Windows 7
在任务栏上,单击“开始”,然后单击“控制面板”。
在“控制面板”中,单击“程序与功能”,然后单击“打开或关闭 Windows 功能”。
展开“Internet Information Services”,然后展开“FTP 服务器”。
选择“FTP 服务”。
注意
若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证,还需选择“FTP 扩展性”。
单击“确定”。
Windows Server 2008 或 Windows Vista
从以下 URL 下载安装包:
按照以下演练中的说明安装 FTP 服务:
操作方式
注意
FTP 请求筛选在 FTP 7.0 版本中没有用户界面;在 FTP 7.5 版本中增加了 FTP 请求筛选 UI。
如何拒绝对特定文件扩展名的 FTP 访问
打开 Internet Information Services (IIS) 管理器:
如果使用的是 Windows Server 2012 或 Windows Server 2012 R2:
- 在任务栏上,单击“服务器管理器”,单击“工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows 8 或 Windows 8.1:
- 按住 Windows 键,按字母 X,然后单击“控制面板”。
- 单击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Server 2008 或 Windows Server 2008 R2:
- 在任务栏上,单击“开始”,指向“管理工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Vista 或 Windows 7:
- 在任务栏上,单击“开始”,然后单击“控制面板”。
- 双击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中,转到要为其修改请求筛选设置的站点或目录。
在“主页”窗格中,双击“FTP 请求过滤”。
在“FTP 请求筛选”窗格中,单击“文件扩展名”选项卡。
在“操作”窗格中单击“拒绝文件扩展名...”。
在“拒绝文件扩展名”对话框中,输入要阻止的文件扩展名。 例如,若要防止访问文件扩展名为 .inc 的文件,请在对话框中输入“inc”。
单击“确定”。
如何编辑请求筛选功能设置和请求限制
打开 Internet Information Services (IIS) 管理器:
如果使用的是 Windows Server 2012 或 Windows Server 2012 R2:
- 在任务栏上,单击“服务器管理器”,单击“工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows 8 或 Windows 8.1:
- 按住 Windows 键,按字母 X,然后单击“控制面板”。
- 单击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Server 2008 或 Windows Server 2008 R2:
- 在任务栏上,单击“开始”,指向“管理工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Vista 或 Windows 7:
- 在任务栏上,单击“开始”,然后单击“控制面板”。
- 双击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中,转到要为其修改请求筛选设置的站点或目录。
在“主页”窗格中,双击“FTP 请求过滤”。
在“操作”窗格中,单击“编辑功能设置”。
指定选项。 例如,可以进行以下更改:
- 指定 2048,可将最大 URL 长度更改为 2KB。
- 指定 1024,可将最大命令长度更改为 1KB。
注意
建议不要清除“允许未列出的命令”复选框。
单击“确定”。
如何添加 FTP 隐藏段
打开 Internet Information Services (IIS) 管理器:
如果使用的是 Windows Server 2012 或 Windows Server 2012 R2:
- 在任务栏上,单击“服务器管理器”,单击“工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows 8 或 Windows 8.1:
- 按住 Windows 键,按字母 X,然后单击“控制面板”。
- 单击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Server 2008 或 Windows Server 2008 R2:
- 在任务栏上,单击“开始”,指向“管理工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Vista 或 Windows 7:
- 在任务栏上,单击“开始”,然后单击“控制面板”。
- 双击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中,转到要为其修改请求筛选设置的站点或目录。
在“主页”窗格中,双击“FTP 请求过滤”。
在“FTP 请求筛选”窗格中,单击“隐藏段”选项卡。
在“操作”窗格中,单击“添加隐藏段...”。
在“添加隐藏段”对话框中,输入要隐藏的路径。
单击“确定”。
如何拒绝 FTP URL 序列
打开 Internet Information Services (IIS) 管理器:
如果使用的是 Windows Server 2012 或 Windows Server 2012 R2:
- 在任务栏上,单击“服务器管理器”,单击“工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows 8 或 Windows 8.1:
- 按住 Windows 键,按字母 X,然后单击“控制面板”。
- 单击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Server 2008 或 Windows Server 2008 R2:
- 在任务栏上,单击“开始”,指向“管理工具”,然后单击“Internet Information Services (IIS) 管理器”。
如果使用的是 Windows Vista 或 Windows 7:
- 在任务栏上,单击“开始”,然后单击“控制面板”。
- 双击“管理工具”,然后双击“Internet Information Services (IIS) 管理器”。
在“连接”窗格中,转到要为其修改请求筛选设置的站点或目录。
在“主页”窗格中,双击“FTP 请求过滤”。
在“FTP 请求筛选”窗格中,单击“拒绝的 URL 序列”选项卡。
在“操作”窗格中,单击“添加 URL 序列”。
在“添加拒绝序列”对话框中,输入要阻止的 URL 序列。
单击“确定”。
配置
<requestFiltering> 元素在全局、站点或 URL 级别配置。
特性
| 属性 | 说明 |
|---|---|
allowHighBitCharacters |
可选的 Boolean 属性。 指定是否允许 URL 中存在非 ASCII 字符。 默认值为 true。 |
子元素
| 元素 | 说明 |
|---|---|
fileExtensions |
可选元素。 指定允许或拒绝哪些文件扩展名,以限制发送到 FTP 服务器的请求类型。 |
requestLimits |
可选元素。 指定对 FTP 服务器处理的请求的限制。 |
hiddenSegments |
可选元素。 指定某些 URL 段可以拒绝客户端的访问。 |
denyUrlSequences |
可选元素。 指定应拒绝的序列,这有助于阻止对 FTP 服务器发起的基于 URL 的攻击。 |
配置示例
以下示例演示 FTP 站点的 <system.ftpServer> 元素中的多个安全相关配置设置。 更具体而言,此示例中的 <location> 设置演示如何:
- 为管理员组指定读取和写入访问权限的 FTP 授权规则。
- 指定拒绝 *.exe、*.bat 和 *.cmd 文件的 FTP 请求筛选选项。
- 指定最大内容长度为 1000000 字节且最大 URL 长度为 1024 字节的 FTP 请求限制。
- 阻止 FTP 访问 _vti_bin 虚拟目录,此目录与 FrontPage 服务器扩展一起使用。
- 指定 FTP IP 筛选选项,这些选项允许从 127.0.0.1 进行访问,但拒绝从 169.254.0.0/255.255.0.0 范围的 IP 地址进行访问。
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
代码示例
以下示例指定拒绝 *.exe、*.com、*.bat 和 *.cmd 文件的 FTP 请求筛选选项。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.exe',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.com',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.cmd',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.bat',allowed='False']" /commit:apphost
注意
使用 AppCmd.exe 配置这些设置时,必须确保将 commit 参数设置为 apphost。 这会将配置设置提交到 ApplicationHost.config 文件中的相应位置部分。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection requestFilteringSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site");
ConfigurationElement fileExtensionsElement = requestFilteringSection.GetChildElement("fileExtensions");
ConfigurationElementCollection fileExtensionsCollection = fileExtensionsElement.GetCollection();
ConfigurationElement addElement = fileExtensionsCollection.CreateElement("add");
addElement["fileExtension"] = @".exe";
addElement["allowed"] = false;
fileExtensionsCollection.Add(addElement);
ConfigurationElement addElement1 = fileExtensionsCollection.CreateElement("add");
addElement1["fileExtension"] = @".com";
addElement1["allowed"] = false;
fileExtensionsCollection.Add(addElement1);
ConfigurationElement addElement2 = fileExtensionsCollection.CreateElement("add");
addElement2["fileExtension"] = @".cmd";
addElement2["allowed"] = false;
fileExtensionsCollection.Add(addElement2);
ConfigurationElement addElement3 = fileExtensionsCollection.CreateElement("add");
addElement3["fileExtension"] = @".bat";
addElement3["allowed"] = false;
fileExtensionsCollection.Add(addElement3);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site")
Dim fileExtensionsElement As ConfigurationElement = requestFilteringSection.GetChildElement("fileExtensions")
Dim fileExtensionsCollection As ConfigurationElementCollection = fileExtensionsElement.GetCollection
Dim addElement As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement("fileExtension") = ".exe"
addElement("allowed") = False
fileExtensionsCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement1("fileExtension") = ".com"
addElement1("allowed") = False
fileExtensionsCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement2("fileExtension") = ".cmd"
addElement2("allowed") = False
fileExtensionsCollection.Add(addElement2)
Dim addElement3 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement3("fileExtension") = ".bat"
addElement3("allowed") = False
fileExtensionsCollection.Add(addElement3)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions");
var fileExtensionsCollection = fileExtensionsElement.Collection;
var addElement = fileExtensionsCollection.CreateNewElement("add");
addElement.Properties.Item("fileExtension").Value = ".exe";
addElement.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement);
var addElement1 = fileExtensionsCollection.CreateNewElement("add");
addElement1.Properties.Item("fileExtension").Value = ".com";
addElement1.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement1);
var addElement2 = fileExtensionsCollection.CreateNewElement("add");
addElement2.Properties.Item("fileExtension").Value = ".cmd";
addElement2.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement2);
var addElement3 = fileExtensionsCollection.CreateNewElement("add");
addElement3.Properties.Item("fileExtension").Value = ".bat";
addElement3.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement3);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions")
Set fileExtensionsCollection = fileExtensionsElement.Collection
Set addElement = fileExtensionsCollection.CreateNewElement("add")
addElement.Properties.Item("fileExtension").Value = ".exe"
addElement.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement)
Set addElement1 = fileExtensionsCollection.CreateNewElement("add")
addElement1.Properties.Item("fileExtension").Value = ".com"
addElement1.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement1)
Set addElement2 = fileExtensionsCollection.CreateNewElement("add")
addElement2.Properties.Item("fileExtension").Value = ".cmd"
addElement2.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement2)
Set addElement3 = fileExtensionsCollection.CreateNewElement("add")
addElement3.Properties.Item("fileExtension").Value = ".bat"
addElement3.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement3)
adminManager.CommitChanges()
以下示例指定最大内容长度为 1000000 字节且最大 URL 长度为 1024 字节的 FTP 请求限制。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /requestLimits.maxAllowedContentLength:"1000000" /requestLimits.maxUrl:"1024" /commit:apphost
注意
使用 AppCmd.exe 配置这些设置时,必须确保将 commit 参数设置为 apphost。 这会将配置设置提交到 ApplicationHost.config 文件中的相应位置部分。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection requestFilteringSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site");
ConfigurationElement requestLimitsElement = requestFilteringSection.GetChildElement("requestLimits");
requestLimitsElement["maxAllowedContentLength"] = 1000000;
requestLimitsElement["maxUrl"] = 1024;
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site")
Dim requestLimitsElement As ConfigurationElement = requestFilteringSection.GetChildElement("requestLimits")
requestLimitsElement("maxAllowedContentLength") = 1000000
requestLimitsElement("maxUrl") = 1024
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var requestLimitsElement = requestFilteringSection.ChildElements.Item("requestLimits");
requestLimitsElement.Properties.Item("maxAllowedContentLength").Value = 1000000;
requestLimitsElement.Properties.Item("maxUrl").Value = 1024;
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set requestLimitsElement = requestFilteringSection.ChildElements.Item("requestLimits")
requestLimitsElement.Properties.Item("maxAllowedContentLength").Value = 1000000
requestLimitsElement.Properties.Item("maxUrl").Value = 1024
adminManager.CommitChanges()