FTP IP 安全性 < ipSecurity>
概觀
元素 <ipSecurity> 會定義 FTP 7 中以 IP 為基礎的安全性限制清單。 這些限制可以根據 IP 第 4 版位址、IP 第 4 版位址的範圍或 DNS 功能變數名稱。
相容性
| 版本 | 備註 |
|---|---|
| IIS 10.0 | 在 <ipSecurity> IIS 10.0 中未修改專案。 |
| IIS 8.5 | 未 <ipSecurity> 在 IIS 8.5 中修改專案。 |
| IIS 8.0 | 在 IIS 8.0 中未修改專案 <ipSecurity> 。 |
| IIS 7.5 | 元素 <ipSecurity> 的 <system.ftpServer/security> 元素會隨附為 IIS 7.5 的功能。 |
| IIS 7.0 | 元素 <ipSecurity> 的 <system.ftpServer/security> 元素是在 FTP 7.0 中引進,這是 IIS 7.0 的個別下載。 |
| IIS 6.0 | N/A |
使用 Windows 7 和 Windows Server 2008 R2 時,FTP 7.5 服務會隨附為 IIS 7.5 的功能,因此不再需要下載 FTP 服務。
安裝程式
若要支援 Web 服務器的 FTP 發佈,您必須安裝 FTP 服務。 若要這樣做,請使用下列步驟。
Windows Server 2012 或 Windows Server 2012 R2
在工作列上,按一下 [伺服器管理員]。
在伺服器管理員中,按一下 [管理]功能表,然後按一下 [新增角色和功能]。
在 [ 新增角色和功能 精靈] 中,按 [下一步]。 選取安裝類型,然後按 [ 下一步]。 選取目的地伺服器,然後按 [ 下一步]。
在 [ 伺服器角色] 頁面上,展開 [Web 服務器] ([IIS) ],然後選取 [ FTP 伺服器]。
注意
支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,除了FTP 服務之外,您還需要選取FTP 擴充性。
.按 [下一步],然後在 [ 選取功能 ] 頁面上,再次按 [ 下一步 ]。
在 [確認安裝選項] 頁面上,按一下 [安裝]。
在 [結果] 頁面上,按一下 [關閉]。
Windows 8 或Windows 8.1
在 [開始] 畫面上,將指標全部移至左下角,以滑鼠右鍵按一下 [開始] 按鈕,然後按一下[主控台]。
在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services],然後選取 [FTP 伺服器]。
注意
支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
按一下 [確定]。
按一下 [關閉] 。
Windows Server 2008 R2
在工作列上,按一下 [開始],指向 [系統管理工具],然後按一下[伺服器管理員]。
在[伺服器管理員階層] 窗格中,展開 [角色],然後按一下 [Web 服務器] (IIS) 。
在 [Web 服務器 (IIS) ] 窗格中,捲動至 [ 角色服務 ] 區段,然後按一下 [ 新增角色服務]。
在 [新增角色服務精靈] 的 [選取角色服務] 頁面上,展開[FTP 伺服器]。
選取 [FTP 服務]。
注意
支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
按一下 [下一步] 。
在 [確認安裝選項] 頁面上,按一下 [安裝]。
在 [結果] 頁面上,按一下 [關閉]。
Windows 7
在工作列上,按一下 [開始],然後按一下[主控台]。
在主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services],然後展開 [FTP 伺服器]。
選取 [FTP 服務]。
注意
支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
按一下 [確定]。
Windows Server 2008 或 Windows Vista
從下列 URL 下載安裝套件:
請遵循下列逐步解說中的指示來安裝 FTP 服務:
作法
如何新增 IP 限制以允許或存取 FTP 網站
(IIS) 管理員開啟 Internet Information Services:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
在 [ 連線 ] 窗格中,展開伺服器名稱、展開 [站台],然後展開您要新增 IP 限制的 FTP 網站或 URL。
在 [ 首頁] 窗格中,按兩下 FTP IPv4 位址和網域限制 功能。
在[FTP IPv4 位址和網域限制]功能中,按一下 [動作] 窗格中的 [新增允許專案...] 或 [新增拒絕專案...]。
![顯示 [I I S 管理員] 中 [F T P I P v 4 位址和網域限制] 窗格的螢幕擷取畫面。](index/_static/image12.png)
輸入您想要允許或拒絕的 IP 位址,然後按一下 [ 確定]。
![顯示 [新增拒絕限制規則] 對話方塊的螢幕擷取畫面。](index/_static/image14.png)
![顯示 [I I S 管理員] 中 [F T P I P v 4 位址和網域限制] 窗格的螢幕擷取畫面。](index/_static/image11.png)
![顯示 [新增拒絕限制規則] 對話方塊的螢幕擷取畫面。](index/_static/image13.png)
如何編輯 FTP 網站的 IP 限制功能設定
(IIS) 管理員開啟 Internet Information Services:
如果您使用 Windows Server 2012 或 Windows Server 2012 R2:
- 在工作列上,依序按一下 [伺服器管理員]、[工具],然後按一下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows 8 或 Windows 8.1:
- 按住Windows鍵,按字母X,然後按一下[主控台]。
- 按一下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
如果您使用 Windows Server 2008 或 Windows Server 2008 R2:
- 在工作列上,按一下 [ 開始],指向 [ 系統管理工具],然後按一下 [ Internet Information Services (IIS) 管理員]。
如果您使用 Windows Vista 或 Windows 7:
- 在工作列上,按一下 [開始],然後按一下[主控台]。
- 按兩下 [ 系統管理工具],然後按兩下 [Internet Information Services] ([IIS) 管理員]。
在 [連線] 窗格中,展開伺服器名稱、[ 站台],然後展開您要設定 IP 限制的 FTP 網站或 URL。
在 [ 首頁] 窗格中,按兩下 FTP IPv4 位址和網域限制 功能。
在[FTP IPv4 位址和網域限制]功能中,按一下 [動作] 窗格中的 [編輯功能設定...]。
![顯示 [F T P I P v 4 位址和網域限制] 窗格的螢幕擷取畫面。](index/_static/image18.png)
為未指定的用戶端選擇預設存取行為,指定是否要依功能變數名稱啟用限制,然後按一下 [ 確定]。
![顯示 [編輯 I P 和網域限制設定] 對話方塊的螢幕擷取畫面。已選取 [允許]。](index/_static/image20.png)
![顯示 [F T P I P v 4 位址和網域限制] 窗格的螢幕擷取畫面。](index/_static/image17.png)
![顯示 [編輯 I P 和網域限制設定] 對話方塊的螢幕擷取畫面。已選取 [允許]。](index/_static/image19.png)
組態
專案 <ipSecurity> 是在網站或 URL 層級設定。
規則會依清單中顯示的順序,從上到下進行處理。 allowunlisted屬性會最後處理。 網際網路通訊協定安全性 (IPsec) 限制的最佳做法是先列出拒絕規則。 如果屬性設定為false,則無法清除allowunlisted屬性。
屬性
| 屬性 | 描述 |
|---|---|
allowUnlisted |
選擇性 Boolean 屬性。 指定是否允許未列出的 IP 位址。 將 allowUnlisted 屬性設定為 true 可讓未列出的 IP 位址存取伺服器。 將 allowUnlisted 屬性設定為 false 會鎖定伺服器,防止存取所有 IP 位址,除非列出它們。 如果您將此屬性設定為 false,且未將本機回送位址列出 (127.0.0.1) 為允許的 IP 位址,您將無法使用瀏覽器從本機主控台存取伺服器。 預設值是 true。 |
enableReverseDns |
選擇性 Boolean 屬性。 指定是否啟用或停用 FTP 伺服器的反向網域名稱系統 (DNS) 查閱。 反向對應牽涉到在已知 IP 位址時查閱功能變數名稱。 注意:反向 DNS 查閱將會使用大量的資源和時間。 預設值是 false。 |
子元素
| 元素 | 描述 |
|---|---|
add |
選擇性項目。 將 IP 限制新增至 IP 位址限制的集合。 |
remove |
選擇性項目。 從集合中移除限制的 <ipSecurity> 參考。 |
clear |
選擇性項目。 從集合中移除限制的所有參考 <ipSecurity> 。 |
組態範例
下列範例說明 FTP 月臺元素 <system.ftpServer> 中的數個安全性相關組態設定。 更具體來說, <location> 此範例中的設定會示範如何:
- 為系統管理員群組指定讀取和寫入權限的 FTP 授權規則。
- 指定拒絕 *.exe、*.bat和 *.cmd 檔案的 FTP 要求篩選選項。
- 指定最大內容長度為 10000000 個位元組的 FTP 要求限制,以及 URL 長度上限為 1024 個位元組。
- 封鎖對_vti_bin虛擬目錄的 FTP 存取,此目錄會與 FrontPage 伺服器延伸模組搭配使用。
- 指定 FTP IP 篩選選項,允許從 127.0.0.1 存取,並拒絕從 169.254.0.0/255.255.0.0 範圍存取 IP 位址。
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
範例程式碼
下列範例會設定 FTP IP 安全性以允許未列出的 IP 位址,然後指定允許從 127.0.0.1 存取的 IP 限制,並拒絕從 169.254.0.0/255.255.0.0 範圍存取 IP 位址。
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /allowUnlisted:"True" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='127.0.0.1',allowed='True']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0']" /commit:apphost
注意
當您使用AppCmd.exe設定這些設定時,請務必將 認可 參數 apphost 設定為 。 這會將組態設定認可至ApplicationHost.config檔案中適當的位置區段。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection ipSecuritySection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site");
ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();
ipSecuritySection["allowUnlisted"] = true;
ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
addElement["ipAddress"] = @"127.0.0.1";
addElement["allowed"] = true;
ipSecurityCollection.Add(addElement);
ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
addElement1["ipAddress"] = @"169.254.0.0";
addElement1["subnetMask"] = @"255.255.0.0";
ipSecurityCollection.Add(addElement1);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site")
Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection
ipSecuritySection("allowUnlisted") = True
Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement("ipAddress") = "127.0.0.1"
addElement("allowed") = True
ipSecurityCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
addElement1("ipAddress") = "169.254.0.0"
addElement1("subnetMask") = "255.255.0.0"
ipSecurityCollection.Add(addElement1)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;
ipSecuritySection.Properties.Item("allowUnlisted").Value = true;
var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "127.0.0.1";
addElement.Properties.Item("allowed").Value = true;
ipSecurityCollection.AddElement(addElement);
var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
ipSecurityCollection.AddElement(addElement1);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection
ipSecuritySection.Properties.Item("allowUnlisted").Value = True
Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "127.0.0.1"
addElement.Properties.Item("allowed").Value = True
ipSecurityCollection.AddElement(addElement)
Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
ipSecurityCollection.AddElement(addElement1)
adminManager.CommitChanges()