FTP服务器建立、管理和使用

1、FTP服务器建立、管理和使用一、 实训目的：1 让学生掌握FTP服务的知识2 掌握FTP站点的规划3 掌握FTP站点的设置和使用。二、实训内容：在DNS中将域名“”指向IP地址“9”，要求输入相应格式的域名（或IP地址）就可登录到“D:Myweb”目录下使用FTP相关服务。三、相关理论：IIS是Internet信息服务（Internet Infomation Server）的缩写。主要包括WWW服务器、FTP服务器等。它使得在Intranet（局域网）或Internet（因特网）上发布信息成了一件很容易的事。正如WWW服务的实现依赖于TCP/IP协议组中的HTTP应用层协

2、议一样，FTP服务同样依赖于TCP/IP协议组应用层中的FTP协议来实现。FTP的默认TCP端口号是21，由于FTP可以同时使用两个TCP端口进行传送（一个用于数据传送，一个用于指令信息传送），所以FTP可以实现更快的文件传输速度。使用FTP需要专门的客户端软件，例如著名的BulletFTP、LeapFTP等等，一般的浏览器（如IE）也可以实现有限的FTP客户端功能，如下载文件等。如下图，就是在IE浏览器中打开的一个FTP站点。FTP服务器的Internet地址（URL）与通常在Web网站中使用的URL略有不同，其协议部分需要写成ftp:/而不是http:/，例如，由Microsoft创建并提

3、供大量技术支持文件的匿名FTP服务器地址为ftp:/。四、实训准备：多台装有Windows 2000 Server的计算机。五、实训方法与步骤：1、“”的设置：（1）打开“默认FTP站点”属性窗口：选“默认FTP站点右键属性”即可。（2）设置“FTP站点”：在“IP地址”处选“9”，端口号保持默认值“21”不变。如下图：（3）设置“消息”：在“欢迎”框中输入登录成功后的欢迎信息，“退出”中为退出信息。（4）设置“主目录”：在“本地路径”中按“浏览”按钮选择目标目录“E:myweb”。如下图：（5）设置“安全帐号”：默认的，匿名用户（Anonymous）被允许登录，如果有必

4、要，此处可选拒绝其登录以增加安全性；或增加其他用于管理此FTP服务器的用户名（默认的为“Administator”）。（6）设置“目录安全性”：此处可以设置只被允许或只被拒绝登录此FTP服务器的的计算机的IP地址。（7）如需要，也可在“默认FTP站点”处单击右键选“新建”来新建FTP的虚拟目录。2、 “”的测试（1）在浏览器中登录：格式为“ftp:/”或“ftp:/用户名”。如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；如果匿名不被允许，则会弹出选项窗口，供输入用户名和密码。第二种格式可以直接指定用某个用户名进行登录。（2）DOS下登录：格式为“ftp ”。（3）用FTP客户端软

5、件登录。3、 FTP站点安全性设置FTP站点的安全性设置相对单纯，这是因为FTP站点并不涉及复杂的安全性应用程序和服务器/浏览器交互过程。限制FTP站点安全性的手段无非是：用户账号认证、匿名访问控制以及IP地址限制，本节将给出这些限制方法及其综合运用方式。（1）目录安全性设置FTP用户仅有两种目录权限：读取和写入，读取权限对应于下载能力；写入权限对应上传能力。FTP站点的目录权限是对全体访问该目录的用户都生效的权限，即一旦某个目录设置为仅有读取权限，则任何FTP用户，包括授权用户都不能进行上传操作（需要写入权限）。目录权限可以在FTP站点和虚拟目录两个层次进行设置。在IIS管理MMC界面的管理

6、控制树中右击FTP站点或虚拟目录图标，选择【属性】，打开站点属性表单或虚拟目录属性表单，选择【主目录】或【虚拟目录】选项卡。只需选择【读取】、【写入】复选框即可指定站点或虚拟目录的目录访问权限。如右图，就是在虚拟目录属性表单中配置目录权限的情况。目录权限与NTFS权限并无关系，但二者共同作用于FTP站点访问者。一般的，在NTFS分区上的站点目录被设置的NTFS权限如果与我们这里设置的目录权限发生冲突，二者中限制较大（权限较小）的权限将实际发生作用。这种配置有利于站点的安全性，两重的权限保护在某种程度上避免了管理员的疏忽。所以，应当尽量的将站点目录（包括虚拟目录）存储在NTFS分区中。完成目录权

7、限指定后，单击【应用】使之生效，如果此时系统提示修改过的权限设置与当前对象的子站点（子目录或虚拟目录）存在权限冲突，如下图，则说明子站点权限与当前权限有不一致的情况。这时，应在图中的【子站点】列表栏中指定继承当前许可设置的子站点/子目录对象。或者单击【全选】使当前权限能够覆盖全部子对象当权限。单击【确定】返回。如果不选择站点或单击【取消】，都会导致只有当前对象直接包含的文件才被修改了权限。最后单击【确定】结束目录权限的设置。（2）匿名访问控制匿名访问是FTP服务的一大特点，虽然在WWW服务中也有匿名访问的限制，但是匿名访问对于一个FTP站点来说在安全性和内容方面具有特殊的用途。由于FTP是一个

8、简单的，在Internet产生初期就存在的服务，一个FTP站点除了用户账号之外没有其他的用户安全验证服务（ISAPI过滤器、数字证书等方法对于FTP是无效的）。所以有必要合理的设置FTP安全账号。在IIS管理器的MMC界面中，右击管理控制树中的FTP站点节点，从弹出菜单中选择【属性】，打开站点属性表单，选择【安全账号】选项卡，如下图所示，这里是配置匿名访问的主要界面。在【安全账号】选项卡中选中【允许匿名访问】复选框，使当前站点同时允许匿名和授权用户连接。IIS默认的匿名访问用户账号是IUSR_computername，其中computername是 IIS所在服务器的计算机名。我们也可以更改这

9、一账号，在【安全账号】选项卡中单击【用户名】栏右侧的【浏览】。在如右上图所示的【选择用户对话框】中指定匿名用户账号，单击【确定】即可。通常情况下，虽然匿名访问用户账号由Windows 2000进行验证和安全性维护，但是账号的密码是由IIS进行控制的，取消选择【允许IIS控制密码】复选框可以自行指定用户密码。FTP站点的用户访问控制可以分为三种情况：仅有授权访问、仅有匿名访问、匿名访问与授权访问混合使用。仅使用匿名访问方式的好处是强化系统的安全性。这种方式拒绝任何非匿名的登录请求，也就不可能允许具有管理员权限的用户（可能是黑客）通过Internet登录站点，从而保证服务器不被入侵。在FTP站点属

10、性表单的【主目录】选项卡中选择【只允许匿名连接】复选框进行此设置。如果清除此复选框，IIS会给出如下图所示的警告对话框。对于授权用户，可以在图形界面或基于目录提示行的FTP客户端软件中直接指定登录账号和密码（匿名账号为anonymous，密码为空），以做登录验证之用。下图是在IE浏览器中登录FTP站点的对话框。缺省时，在IE中打开FTP站点都是以匿名身份进入的，需要改变用户身份时，单击IE浏览器的【文件】菜单，选择【登录】，如右图所示，输入账号和密码，单击【登录】以授权用户身份进入站点。通常只有授权用户才有上传权限。（3）IP地址访问控制IP地址限制是FTP站点通常使用的安全限制方式之一，由于对于FTP这种较老的服务并无过多的安全技术可供选择，所以用好现有的安全限制（如IP地址限制）是非常必要的。FTP站点的目录安全性可以以两种方式限制特殊IP地址的访问：授权访问和拒绝访问，两种方式不能同时使用。授权访问方式允许缺省用户访问站点，