实验五 FTP服务的配置

实验五FTP服务的配置本实验使用2个学时一、实验目的1、理解FTP服务的工作原理。2、掌握IISFTP服务器的基本设置。3、了解FTP服务器安全的基本设置方法。二、实验设备及环境由Windows2000Server/AdvanceServer组成的局域网环境。三、预备知识与课前准备1、FTP服务的简介FTP是文件传输协议(FileTransferProtocol)的缩写，是专门用来传输文件的协议，也就是说通过FTP我们可以在Internet网上的任意两台计算机间互传文件。FTP是Internet上最早也是最广的应用，直到今天它仍是最重要和最基本的应用之一。FTP与Telnet不同，Telnet是将用户的计算机当成远端计算机的一台终端，用户在完成远程登陆后，具有远端计算机上的本地用户一样的权限。而FTP没有给予用户这种地位，它只允许用户对远方计算机上的文件进行有限的操作，包括查看文件、交换文件以及改变文件目录等。用FTP传输文件，本来用户事先应在远方系统注册，但后来为了便于获取资源，FTP在互联网上有一种特殊的也是非常广泛的应用是匿名FTP(anonymousFTP)。通过Internet,任何用户可以使用FTP和一个公用账号（通常账号名是anonymous）去获得一些公用资源。在Internet上目前有许许多多的这种公用计算机，我们把这种用来做匿名FTP服务的计算机称作FTP服务器（ftpsite），对每一个联入Internet的用户，只要知道这些FTP服务器的地址,就可以与它们连接并获取上面各种资源。由于FTP操作简单实用，开放性强，且能充分利用Internet来进行信息传递与交流，所以目前越来越多的FTP服务器连入Internet，这样越来越多的资源通过匿名FTP就可以获得。2、FTP服务器的设置下面以一个例子来说明如何设置FTP。在DNS中将域名“ftp.netlab.com”指向了IP地址“210.37.33.200”，要求输入相应格式的域名（或IP地址）就可登录到“E:\Myweb”目录下使用FTP相关服务。此域名也可和地址，因为它们都具有不同的默认端口号——，FTP的默认端口号为21。打开“默认FTP站点”属性窗口，在“IP地址”处选“210.37.33.200”，端口号保持默认值“21”不变。如下图：设置“消息”：在“欢迎”框中输入登录成功后的欢迎信息，“退出”为退出信息，最大连接数为当站点的访问用户超过最大数时显示的消息。如下图：设置“主目录”：在“本地路径”中按“浏览”按钮选择目标目录“E:\myweb”。如下图：设置“安全帐号”：默认的，匿名用户（Anonymous）被允许登录，如果有必要，此处可选拒绝其登录以增加安全性；或增加其他用于管理此FTP服务器的用户名（默认的为“Administator”）。设置“目录安全性”：此处可以设置只被允许或只被拒绝登录此FTP服务器的的计算机的IP地址。如需要，也可在“默认FTP站点”处单击右键选“新建”来新建FTP的虚拟目录。配置完成后可测试FTP服务器是否设置成功，在浏览器中登录：格式为“”或“ftp://用户名@ftp.abc.com”。如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；如果匿名不被允许，则会弹出登陆窗口，供输入用户名和密码。第二种格式可以直接指定用某个用户名进行登录。在DOS下登录：格式为“ftpftp.abc.com”或“ftp210.37.33.240”如下图所示：如果“主目录”下有与用户同名的“虚拟目录”或“实际目录”，则该用户会直接登录到其同名目录中。3、FTP服务器的安全Windows2000的FTP服务器作为IIS5的一部份，可以作为单独服务安装，管理十分灵活。利用服务器的其他的一些资源，管理员可以将FTP服务器配置得更加安全。在这里将介绍10种可行的方法来使windows2000的FTP服务器更加安全。有一些是相当简单的，而另外一些很有创造性。此外，添加诸如VPNs或SSH等服务，可以使密码在一个安全的通道中传输。1）禁止匿名登陆在Windows2000中，最初安置的FTP服务默认是允许匿名登陆的。它是一种可以让没有用户帐户的人登陆FTP服务器的方法。匿名登陆有可能很有效地为用户服务，但有时候允许匿名访问会导致站点被利用来传送非法文件和受著作权保护的材料。取消匿名登陆，这样你的站点就只能由被预定义的用户帐号才能登陆。配置被定义在FTP主目录的ACLs[访问控制列表]来进行访问控制，并使用NTFS许可证。取消站点的匿名访问，在FTP站点的属性中的“安全帐户”中清除“允许匿名访问”2）设置访问日志通过访问日志，可以准确的得到哪些IP地址和用户访问了您的站点的一个准确纪录。定期维护日志能使您估计您的站点访问量和找出所有的安全威胁和漏洞。使用访问日志，点击FTP站点栏的“允许使用日志”。根据你所选择的格式就可创建日志，便于日后分析访问量和进行访问控制。3）强化访问控制列表采用NTFS访问许可，运用ACL（访问控制列表）控制对FTP目录的的访问。FTP目录不应该让everyone组有充分的权限因为这将限制您控制user组访问FTP站点的能力。4）设置站点为不可视如果只需要用户传送文件到服务器而不是从服务器下载文件，可以考虑配置FTP站点为不可视。这意味着用户被允许从FTP目录写入文件没有能力读取。这样可以阻止未授权用户访问你的站点。要配置你的站点为不可视，应当在“站点”和“主目录”设置访问许可。上图展示了怎么取消读出权限，可以在站点属性的“主目录”里找到。5）使用磁盘配额使用Windows2000来限制磁盘配额是一件很轻松的事情。磁盘配额可有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权，一个最坏的情况就是是文件被无限制的传送而撑爆FTP站点。这可能给磁盘上的其它独立于FTP站点的服务带来严重的后果。使用磁盘配额可以检查用户是否超出了使用空间，限制用户能拥有的磁盘空间，能有效地限制FTP站点被攻破所带来的破坏。可以在NTFS分区的磁盘的属性的“磁盘配额”栏开启磁盘配额管理，在NTFS分区可以对磁盘配额的用途进行限制。此外，配额只能定义到每一个用户，而无法被分配到小组。可以为每一个帐户设置磁盘配额。极限应该定为用于FTP登陆。6）使用访问时间限制Windows2000访问时间限制是从nt4.0继承而来。这个选项限制用户只能在指定的日期的时间内才能登陆访问站点。这可以限制在唯一被批准的时间才能访问服务器。如果你的站点实在企业环境中使用，你可以限制只有在工作时间才能访问服务请。下班以后就禁止登陆，您可以关闭服务器以保障安全。可以在活动目录用户和用户属性页下找到登陆时间设置。本地用户帐号无法通过地方用户和小组控制台来配置登陆时间。7）基于IP策略的访问控制Windows2000的FTP可以限制具体IP地址的访问。限制只能由特定的个体才能访问站点，可以大大地减少未批准者登陆访问的危险。在站点属性页的目录安全栏可设定可以访问FTP的IP。确定选择默认禁止访问复选框，在列表框列出信任的IP地址。8）审计登陆事件审计帐户登陆事件，能在安全日志察看器里查看企图登陆站点的（成功/失败）事件。经常查看日志可使您警觉一名恶意用户设法入侵的可疑活动。它也作为历史记录用于站点入侵检测。可打开本地安全策略配置工具打开审计帐户登陆事件。使用活动目录，也可使用组政策配置帐户访问日志。9）使用安全密码策略使用复杂的密码是采用终端用户认证的安全方式，是巩固站点安全的一个关键的部分。Windows2000允许管理员强迫用户服从安全密码要求。在本地安全政策或组政策的”密码必须符合复杂性要求”，FTP用户帐号选择他们的密码的时候必须遵守以下制约:确定不包含用户帐号名字的全部或部份必须是至少6个字符长包含字符从3以下4个类别:英文大写体字符(A-Z)英文小写字母(a-z)数字(0至9)非字母数字的字符(e.g。,!，$，#，%)使用本地安全政策配置工具来配置保证密码必须符合复杂性要求。使用活动目录时，可使用组政策配置“密码必须符合复杂性要求”。由这个选择和配置权限，管理员能限制脆弱密码的暴露。10）帐户锁定和锁定门限FTP帐户经常成为密码破解者用密码字典进行破解的目标。Windows2000安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。可使用本地安全政策配置工具配置帐户锁定时间和门限选择。使用活动目录，'帐号锁定策略“可使用组政策配置”。四、实验内容1、使用IIS建立一个FTP站点，IP地址为210.37.33.200，将E:\myftp文件夹作为站点的主目录，添加消息（欢迎信息、退出和最大连接数信息）。2、根据IP访问策略设置只允许210.37.33.0的网络用户访问。3、为用户：student建立一个虚拟目录，使student用户登陆后直接进入自己的文件夹，并具有写的权限。五、实验报告要求1、记录FTP站点的各项参数。2、记录测试FTP站点参数的结果。3、记录哪些安全设置方法能够配置成功，哪些配置失败，分析配置失败的原因原因。属性FTP命令详解FTP命令是Internet用户使用最频繁的命令之一，不论是在DOS还是UNIX操作系统下使用FTP，都会遇到大量的FTP内部命令。熟悉并灵活应用FTP的内部命令，可以大大方便使用者，并收到事半功倍之效。FTP的命令行格式为：ftp-v-d-i-n-g[主机名]，其中-v显示远程服务器的所有响应信息；-n限制ftp的自动登录，即不使用；.netrc文件；-d使用调试方式；-g取消全局文件名。ftp使用的内部命令如下(中括号表示可选项):1.![cmd[args]]：在本地机中执行交互shell，exit回到ftp环境，如：!ls*.zip.2.$macro-ame[args]：执行宏定义macro-name.3.account[password]：提供登录远程系统成功后访问系统资源所需的补充口令。4.appendlocal-file[remote-file]：将本地文件追加到远程系统主机，若未指定远程系统文件名，则使用本地文件名。5.ascii：使用ascii类型传输方式。6.bell：每个命令执行完毕后计算机响铃一次。7.bin：使用二进制文件传输方式。8.bye：退出ftp会话过程。9.case：在使用mget时，将远程主机文件名中的大写转为小写字母。10.cdremote-dir：进入远程主机目录。11.cdup：进入远程主机目录的父目录。12.chmodmodefile-name：将远程主机文件file-name的存取方式设置为mode，如：chmod777a.out。13.close：中断与远程服务器的ftp会话(与open对应)。14.cr：使用asscii方式传输文件时，将回车换行转换为回行。15.deleteremote-file：删除远程主机文件。16.debug[debug-value]：设置调试方式，显示发送至远程主机的每条命令，如：debup3，若设为0，表示取消debug。17.dir[remote-dir][local-file]：显示远程主机目录，并将结果存入本地文件local-file。18.disconnection：同close。19.formformat：将文件传输方式设置为format，缺省为file方式。20.getremote-file[local-file]：将远程主机的文件remote-file传至本地硬盘的local-file。21.glob：设置mdelete，mget，mput的文件名扩展，缺省时不扩展文件名，同命令行的-g参数。22.hash：每传输1024字节，显示一个hash符号(#)。23.help[cmd]：显示ftp内部命令cmd的帮助信息，如：helpget。24.idle[seconds]：将远程服务器的休眠计时