项目8 FTP服务器配置与管理

项目8

FTP服务器配置与管理知识学习目标和要点：本项目详细介绍FTP服务的基本原理和部署方案，让读者掌握FPT服务的工作过程，了解FTP服务器的工作模式、掌握安装FTP服务器角色、掌握如何在FTP服务器上创建FTP站点、掌握基于不同IP地址、域名创建和部署FTP站点、掌握FTP服务器安全性的原理和配置等内容。思政IDEOLOGY导入明确职业技术岗位所需的职业规范和精神，树立社会主义核心价值观。“高山仰止，景行行止”。为计算机事业做出过巨大贡献的王选院士，应是青年学生崇拜的对象，也是师生学习和前行的动力。思政IDEOLOGY目标“面壁十年图破壁，难酬蹈海亦英雄”。为中华之崛起而读书，从来都不仅限于纸上。思政IDEOLOGY内容王选院士曾经为中国的计算机事业做出过巨大贡献，并因此获得国家最高科学技术奖，你知道王选院士吗？王选院士（1937—2006年）是享誉国内外的著名科学家，汉字激光照排技术创始人，北京大学计算机科学技术研究所主要创建者，历任副所长、所长，博士生导师。他曾任第十届全国政协副主席、九三学社副主席、中国科学技术协会副主席、中国科学院院士、中国工程院院士、第三世界科学院院士。思政IDEOLOGY内容王选院士发明的汉字激光照排系统两次获国家科技进步一等奖（1987年、1995年），两次被评为全国十大科技成就（1985年、1995年），并获国家重大技术装备成果奖特等奖。王选院士一生荣获了国家最高科学技术奖、联合国教科文组织科学奖、陈嘉庚科学奖、美洲中国工程师学会个人成就奖、何梁何利基金科学与技术进步奖等20多项重大成果和荣誉。思政IDEOLOGY内容

1975年开始，以王选院士为首的科研团队决定跨越当时日本流行的光机式二代机和欧美流行的阴极射线管式三代机阶段，开创性地研制当时国外尚无商品的第四代激光照排系统。针对汉字印刷的特点和难点，他们发明了高分辨率字形的高倍率信息压缩技术和高速复原方法，率先设计出相应的专用芯片，在世界上首次使用控制信息（参数）描述笔划特性。第四代激光照排系统获1项欧洲专利和8项中国专利，并获第14届日内瓦国际发明展金奖、中国专利发明创造金奖，2007年入选“首届全国杰出发明专利创新展”。.01.02.03FTP工作过程FTP工作模式匿名FTP和用户FTP目录8.1项目知识准备——FTP服务器基础.04FTP服务器网络环境FTP采用客户端/服务器模式运行。FTP工作的过程就是一个建立FTP会话并传输文件的过程。与一般的网络应用不同，一个FTP会话中需要两个独立的网络连接，FTP服务器需要监听两个端口。一个端口作为控制端口(默认TCP21),用来发送和接收FTP的控制信息，一旦建立FTP会话，该端口在整个会话期间始终保持打开状态。另一个端口作为数据端口(默认TCP20)，用来发送和接收FTP数据，只有在传输数据时才打开，一旦传输结束就断开。FTP客户端动态分配自己的端口。01.FTP工作过程FTP控制连接建立之后，再通过数据连接传输文件。FTP服务器所使用的数据端口取决FTP连接模式。FTP数据连接可分为主动模式(ActiveMode)和被动模式(PassiveMode)。FTP服务器端或FTP客户端都可设置这两种模式。究竟采用何种模式，最终取决于客户端的设置。01.FTP工作过程02.FTP工作模式由FTP服务器发起到FTP客户端的数据连接，所以称其为主动模式。(1)客户端向服务器端发出连接请求，客户端会动态地打开一个大于1024的端口(如1035端口)向FTP服务器的控制端口(默认21端口)发起连接，建立控制连接。(2)客户端接着在控制连接上发出PORT指令向服务器通知自己所用的临时数据端口。(3)服务器接到该指令后，需要传输数据时，客户端再动态地打开一个大于1024的端口(如1036端口)与服务器端的数据端口(默认20)建立数据连接。(4)当断开时，客户端的1035端口和服务器端的21端口也将自动释放。02.FTP工作模式FTP主动模式工作过程02.FTP工作模式由FTP客户端发起到FTP服务器的数据连接，所以称其为被动模式。(1)客户端向服务器端发出连接请求，客户端会动态地打开一个大于1024的端口(如1035端口)向FTP服务器的控制端口(默认21端口)发起连接，建立控制连接。(2)FTP客户端在控制连接上向FTP服务器发出PASV指令请求进入被动模式。(3)服务器接到该指令后，打开一个空闲的大于1024以上的端口(如5036)监听数据连接，并进行应答，将该端口通知给客户端。(4)客户端动态地打开一个大于1024的端口(如1036)与服务器端口(5036)建立数据连接。02.FTP工作模式FTP被动模式工作过程03.匿名FTP和用户FTP用户对FTP服务的访问有两种形式：匿名FTP和用户FTP。匿名FTP允许任何用户访问FTP服务器。匿名FTP登录的用户账户通常是anonymous或ftp，一般不需要密码，有的则是以电子邮件地址作为密码。在许多FTP站点上，都可以自动匿名登录，从而查看或下载文件。匿名用户的权限很小，这种FTP服务比较安全。Internet上的一些FTP站点，通常只允许匿名访问。03.匿名FTP和用户FTP用户FTP为已在FTP服务器上建立了特定账号的用户使用，必须以用户名和密码来登录。这种FTP应用存在一定的安全风险。当用户与FTP服务连接时，如果所用的密码以明文形式传输，接触系统的任何人都可以使用相应的程序获取该用户的账户和口令。通常使用SSL等安全连接来解决这个安全问题。客户端要上传或删除文件，应使用用户FTP。04.FTP服务器配置环境部署FTP服务器网络规划，需要一台FTP服务器（建议安装DNS服务），在Server-1这台服务器上架构FTP服务，其IP地址为/24。FTP客户端采用win10操作系统，主机名分别为Client-1和Client-2，IP地址分别为0和0。两台客户端的DNS地址都为。04.FTP服务器配置环境部署FTP服务器网络规划拓扑图.01.02任务8-1创建和访问FTP站点任务8-2创建FTP虚拟目录目录8.2项目实施——部署并配置FTP服务器.03任务8-3创建FTP虚拟主机任务8-1.创建和访问FTP站点1.通过IP地址访问FTP站点打开“IIS管理器”控制台，用鼠标右键单击服务器Server-1,在弹出的快捷菜单中选择“添加FTP站点”命令，如图所示，打开“添加FTP站点”对话框。在“FTP站点名称”文本框中输入FTP，物理路径为C:\FTP，如图所示。任务8-1.创建和访问FTP站点单击“下一步”按钮，打开图所示的“绑定和SSL设置”对话框，在“IP地址”文本框中输入,端口默认为21，在SSL选项区下面选中“无SSL”单选按钮。任务8-1.创建和访问FTP站点单击“下一步”按钮，打开图所示的“身份验证和授权信息”对话框，勾选“匿名”和“基本”身份验证两个复选框，允许访问选择“匿名用户”，权限全部勾选。任务8-1.创建和访问FTP站点客户端上测试FTP站点用户在客户端Client-1上进行测试，可以采用两种方式，一种通过在资源管理器地址栏或在浏览器地址栏中输入“”来访问FTP站点，如图1所示。另一种打开“运行”命令窗口，在窗口中输入“ftp”访问FTP站点，如图2所示。任务8-1.创建和访问FTP站点2.通过域名访问FTP站点步骤1在DNS区域中创建别名。打开服务器Server-1的“DNS管理器”控制台，在控制台树中找到“正向查找区域”节点，然后用鼠标右健单击区域在弹出的快捷菜单中选择“新建别名”命令，如图所示。任务8-1.创建和访问FTP站点在“别名”文本框中输入别名ftp，在“目标主机的完全合格的域名”文本框中输入FTP服务器的完全合格域名，输入或者点击“浏览”按钮进行选择,如图所示。单击“确定”按钮，完成别名记录的创建。任务8-1.创建和访问FTP站点测试FTP站点。用户在客户端Client-1上进行测试，在资源管理器地址栏或在浏览器地址栏中输入“”来访问FTP站点，如图1所示。也可以打开“运行”命令窗口，在窗口中输入“ftp”也可以访问FTP站点，如图2所示。任务8-1.创建和访问FTP站点任务8-2.创建FTP虚拟目录使用虚拟目录可以在服务器硬盘上创建多个物理目录，或者引用其他计算机上的主目录，从而为不同上传或下载服务的用户提供不同的目录，并且可以为不同的目录分别设置不同的权限，如读取、写入等。使用FTP虚拟目录时，由于用户不知道文件的具体存储位置，所以文件存储更加安全。添加虚拟目录。打开服务器Server-1上的“IIS管理器”控制台，依次展开服务器“Server-1”和“网站”，用鼠标右键单击刚才创建的站点FTP，在弹出的快捷菜单中选择“添加虚拟目录”命令，如图所示，打开“添加虚拟目录”对话框。任务8-2.创建FTP虚拟目录在“别名”文本框中输入FTP_VD,在“物理路径”文本框中输入C:\FTP_VD,如图所示。任务8-2.创建FTP虚拟目录测试FTP站点的虚拟目录。在客户端计算机Client-1上打开文件资源管理器和浏览器，输入/FTP_VD或者/FTP_VD,就可以访问刚才建立的FTP站点的虚拟目录，访问结果如图所示。任务8-2.创建FTP虚拟目录任务8-3.创建FTP虚拟主机在实际应用环境中，有时需要在一台服务器上创建多个不同的FTP站点来实现不同用户访问不同的FTP站点。在一台服务器上创建的两个FTP站点，默认只能启动其中一个站点，用户可以通过更改IP地址或端口号两种方法来解决这个问题，可以使用多个IP地址或多个端口来创建多个FTP站点。下面通过使用不同的IP地址和不同的端口号创建不同的FTP站点。1.基于不同端口号创建两个FTP站点服务器在Server-1上创建C:\FTP2文件夹作为第2个FTP站点的主目录，并在该文件夹新建file.txt文件。创建FTP2站点。打开“IIS管理器”控制台，右击“网站”

“添加FTP站点”，填写FTP站点名称、物理路径、IP地址和端口号，这里端口要设为2121，添加站点界面如图所示。任务8-3.创建FTP虚拟主机测试FTP站点。在客户端计算机Client-1上打开文件资源管理器和浏览器，:2121,就可以访问刚才建立的FTP站点，访问结果如图所示。任务8-3.创建FTP虚拟主机2.基于不同的IP地址创建两个FTP站点在服务器Server-1上设置了两个IP地址，即、,打开“网络和Internet设置”

“更改适配器选项”

“Ethernet0”属性中添加地址，如图所示。任务8-3.创建FTP虚拟主机更改第2个FTP站点的IP地址和端口号。打开服务器Server-1上“IIS管理器”控制台，依次展开FTP服务器，选择FTP站点FTP2。然后单击“操作”列的“绑定”按钮，弹出“编辑网站绑定”对话框。选择ftp类型后，单击“编辑”按钮，将IP地址改为,端口改为21,如图所示。单击“确定”按钮完成更改。任务8-3.创建FTP虚拟主机测试FTP2站点。在客户端计算机Client-1上打开文件资源管理器和浏览器，在地址栏中输入,就可以访问刚才建立的FTP2站点内容，访问结果如图所示。任务8-3.创建FTP虚拟主机.01.02任务8-4IP地址和域限制任务8-5FTP身份验证和授权规则目录8.3项目实施——FTP服务器安全配置.03任务8-6FTP用户隔离任务8-4.IP地址和域限制1.IP地址和域限制当用户首次尝试访问FTP站点的内容时，FTP会检查每个来自客户端的接收报文的源IP地址，并将其与网站设置的IP地址比较，以决定是否允许该用户访问。配置IP地址和域限制则可以有效保护FTP服务器上的内容，防止未授权用户进行查看或更改。打开IIS管理器，选择需要编辑的FTP站点，在“功能视图”中双击“FTPIP地址和域限制”按钮打开相应的界面，显示当前的IP地址和域名限制规则列表，选中右侧“操作”窗格中给出相应的操作命令，可以编辑或修改该规则。如图所示。任务8-4.IP地址和域限制默认情况下所有用户IP地址都可以访问FTP站点，这里设置不允许Client-2的IP地址访问FTP站点。单击“添加拒绝条目”选项，在“特定IP地址”选项中输入地址：0即可。配图如图所示。单击“确定”按钮。任务8-4.IP地址和域限制分别在客户端Client-1和Client-2测试访问服务器的FTP站点，结果Client-1可以正常访问，而Client-2访问时提示需要输入用户名和密码，这里没有设置过用户名和密码，所以无法访问站点。如图所示。任务8-4.IP地址和域限制任务8-5.FTP服务器安全设置FTP身份验证和授权规则在建立FTP站点时，身份验证只有匿名和基本两种身份验证，默认情况下都是启用的，如图所示。所以客户端在访问FTP服务器时可以匿名直接访问，不需要输入用户名和密码。在“IIS管理器”中选择需要验证的站点(这里选择FTP站点)，双击“身份验证”，将“匿名身份验证”禁用，启动“基本身份验证”，如图所示。任务8-5.FTP服务器安全设置利用客户端Client-1进行测试，在客户端打开IE浏览器，输入“”，会弹出如图登录界面。这时需要输入用户和密码才能访问。任务8-5.FTP服务器安全设置添加登录用户。在服务器Server-1上打开“Windows管理工具”

“计算机管理”

“用户”下创建一个用户test，如图所示。任务8-5.FTP服务器安全设置创建授权规则。打开“IIS管理器”，选择需要编辑的FTP站点，双击“FTP授权规则”，这里默认有一条允许匿名用户访问的规则，选择这条规则，单击“操作”下面的“编辑”选项。对这条规则进行编辑，允许test用户访问，如图所示。单击“确定”按钮，完成配置。任务8-5.FTP服务器安全设置在客户端进行测试，如图所示，使用test用户和密码可以正常访问FTP站点内容。任务8-5.FTP服务器安全设置任务8-6.FTP服务器安全设置FTP用户隔离某公司因业务需求，需要在公司FTP服务器上存储相关业务数据，用户在访问时需要有一定的限制，具体要求：公司有一个公共的FTP目录，所有成员只有下载权限。每个用户还有一个自己的访问目录，只允许自己用户进行下载和上传资料，别的用户无法访问。并且每个用户允许使用的FTP空间大小为10M，不能超出使用。下面通过具体实操完成FTP用户隔离。创建用户和组。在服务器Server-1上打开“Windows管理工具”

“计算机管理”

“用户”下创建一个两个用户“ftpuser1”和“ftpuser2”，在“组”下创建一个组“ftpgroup”，并将两个用户都加入到“ftpgroup”这个组中。如图所示。任务8-6.FTP服务器安全设置新建FTP目录。在服务器Server-1的C盘下新建目录ftproot，在ftproot目录下新建目录localuser，在localuser目录下新建三个目录：public、ftpuser1、ftpuser2。再在这三个目录下分别新建几个文件，具体目录形式如图所示。(每一个用户有一个和自己名字相同的目录名)任务8-6.FTP服务器安全设置创建FTP站点。打开服务器Server-1上的“IIS管理器”控制