ftp安全手段
㈠ 什么是ftp木马
木马下载者 Trojan-Downloader.Win32.QQHelper.ftp
病毒名称
Trojan-Downloader.Win32.QQHelper.ftp
捕获时间
2007年9月9日
病毒症状
该木马程序是一个用Delphi语言编写的木马,长度127,488 字节,无装饰性图标,发作后将自身和释放的库文件Vermin.dll插入explorer.exe及其子进程,在后台下载其他木马程序。
病毒分析
该木马是一个比较顽固的木马程序,触发后会拷贝自身文件到系统目录的inf文件夹下执行,并将其注册为服务名为"Windows Media Service"的系统服务以获得系统权限,服务描述"管理多媒体设备,如果服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依它的服务将无法启动";释放Vermin.dll监控系统消息;通过调试手段将自身映像和Vermin.dll模块注入到explorer.exe及其所有子进程中,在后台调用相关下载函数下载其他木马程序;通过查找窗口以及窗口类的方式获取某些安全软件的进程,尝试强行终止安全软件进程或通过发送消息强行关闭其窗口;使用IFEO映像劫持系统文件ctfmon.exe(即Windows任务栏的语言栏工具条)到病毒映像路径,使得木马会在开机时自动启动。
感染对象
Windows2000/Windows XP/Windows2003
传播途径
文件捆绑/网页木马传播
安全提示
已安装微点主动防御软件的用户,无论您是否已经升级到最新版本,微点主动防御都能够有效防御该木马程序。如果您没有将微点主动防御软件升级到最新版,微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”,请直接选择删除处理(如图1);
如果您已经将微点主动防御软件升级到最新版本,微点将报警提示您发现Trojan-Downloader.Win32.QQHelper.ftp”,请直接选择删除(如图2)。
使用其它杀毒软件的用户,请尽快将您的杀毒软件特征库升级到最新版本进行查杀,并开启防火墙拦截网络异常访问,如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。由于该病毒的特殊性,会自动终止某些杀毒软件运行,如果您的杀毒软件已经无法正常运行,您也可以尝试安装微点解决。
没有安装微点主动防御软件的用户,建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。
㈡ FTP和Telnet分别是什么啊
文件传输协议。文件传输协议(英语:File Transfer Protocol,缩写:FTP)是一个用于在计算机网络上在客户端和服务器之间进行文件传输的应用层协议。
Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。
(2)ftp安全手段扩展阅读
Telnet和FTP都可以实现远程登陆,他们的区别在于Telnet是远程登陆协议,而FTP是文件传输协议,这样二者的权限大不相同。
Telnet是把登陆用户可以当成本地计算机一台终端,用户在登录远方计算机后,具有计算机上的本地用户一样的权限。如果可以的话,系统甚至可以赋予登陆用户全部的权限。
㈢ 服务器有什么攻击手段
主机侦探就和大家说说常见的服务器攻击手段:
一、CC攻击:CC攻击的原理便是攻击者控制某些主机不停地发许多数据包给对方服务器形成服务器资源耗尽,一直到宕机溃散。
二、DDOS攻击:近几年由于宽带的遍及,许多网站开始盈余,其间许多不合法网站利润巨大,形成同行之间互相攻击,还有一部分人使用网络攻击来敲诈钱财。
三、长途衔接不上:有或许是3389攻击,这个比较好处理。
四、80端口攻击:这个是让WEB管理员头痛的,现在只需拔掉网线,等一段时间期望攻击没了就OK了,期望能得到更好的处理办法。
五、arp攻击:ARP攻击便是经过伪造IP地址和MAC地址完成ARP诈骗,可以在网络中发生许多的ARP通讯量使网络阻塞,攻击者只需持续不断的宣布伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,形成网络中断或中间人攻击。
㈣ 关于2003服务器的安全设置
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查兇手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.
㈤ 网络安全攻击手段
"网络攻击的常用手段
1、获取口令
这又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些弱智用户(指口令安全系数极低的用户,如某用户账号为zys,其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其干掉。
2、放置特洛伊木马程序
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
3、WWW的欺骗技术
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
4、电子邮件攻击
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
5、通过一个节点来攻击其他节点
黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。
6、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。
7、寻找系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
8、利用帐号进行攻击
有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户(其密码和账户名同名),有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。
9、偷取特权
利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
10、端口攻击
如果是基于Windows 95/NT的操作系统,而且没有安装过Patch,那么就极易受到攻击,这个漏洞是由OOB引起的,OOB是Out Of Band的缩写,是TCP/IP的一种传输模式。攻击的原理是以OOB方式通过TCP/IP端口139向对端的Windows 95/NT传送0byte的数据包,这种攻击会使计算机处于瘫痪状态,无法再工作。在windows98 OSR2版本和WindowsNT 4.0 Service Pack5中微软公司已更正了该错误。
我们常用的端口是:21(FTP)、23(Telnet)、25(Mail)、70(Gopher)、80(Http),针对端口最快速的攻击方法是基于Telnet协议。Telnet可以快速判断某特定端口是否打开以及服务器是否运行;还有黑客利用Telnet来进行服务器拒绝式攻击,例如,向WindowsNT Web服务器的所有端口发送垃圾数据会导致目标处理器资源消耗高达100%,向其他端口发送Telnet请求也可能导致主机挂起或崩溃,尤其是向端口135发送Telnet连接请求时。防范的方法,如果不是非常必要,关闭Telnet端口。
一般用户不要裸机,一定要用个360之类的杀软保护电脑"
㈥ IIS虚拟目录主目录为“另一台计算机上的共享”,磁盘缓存写入错误!
你到这网站看看吧!图文并茂了。本人看了一下,成功率应该好高!
实现FTP服务
FTP站点基础
正如WWW服务的实现依赖于TCP/IP协议组中的HTTP应用层协议一样,FTP服务同样依赖于TCP/IP协议组应用层中的FTP协议来实现。FTP的默认TCP端口号是21,由于FTP可以同时使用两个TCP端口进行传送(一个用于数据传送,一个用于指令信息传送),所以FTP可以实现更快的文件传输速度。
使用FTP需要专门的客户端软件,例如着名的BulletFTP、LeapFTP等等,一般的浏览器(如IE)也可以实现有限的FTP客户端功能,如下载文件等。
如右图,就是在IE浏览器中打开的一个FTP站点。FTP 服务器的Internet地址(URL)与通常在Web网站中使用的URL略有不同,其协议部分需要写成"ftp://"而不是"",例如,由Microsoft创建并提供大量技术支持文件的匿名FTP服务器地址为ftp://ftp.microsoft.com。
在IE中打开FTP站点,将自动以匿名用户身份登录,这时在窗口中列出的内容就是FTP站点根目录下的文件和文件夹。如在Windows资源管理器中一样双击打开文件夹(目录)则进入其下一级目录。
如果我们需要在IE中下载一个文件,应遵循如下步骤:
1.则在IE窗口中右击该文件图标,选择,或者双击该文件。
2.如右上图所示,在对话框中选择。
3.确保复选框已经被选中。
4.单击。
5.如右下图,在对话框中选择文件保存路径,完成后单击。
6.如下图,在下载对话框中显示进度,如果文件较大或者网络较慢,可能耗时较长,完成后单击。
创建FTP站点
现在我们已经对FTP站点有了一个感性认识,接下来的任务是学习如何在IIS中创建FTP站点,实际上,这项工作是与创建Web站点的过程及其相似的。
规划FTP站点
与Web站点相同,FTP站点同样需要自己的IP地址和TCP端口号。由于FTP服务的默认端口号是21,而WWW服务是80,所以一个FTP站点可以和一个Web站点共享同一个IP地址。事实上,安装IIS时自动生成的默认Web站点和默认FTP站点就是使用同一IP地址的。当我们不使用默认的21作为FTP站点的TCP端口号时,客户机请求FTP站点时就需要在FTP服务器域名地址后面添加":"和实际端口号。
IIS的FTP服务也有虚拟服务器的实现方式,通过虚拟FTP服务器,可以在一台实际计算机上维持多个FTP站点。虚拟服务器的优点是节省硬件成本,缺点是多个站点共用一台主机的资源会造成性能上的问题。实际的规划中并没有一种严格的定量规则,要根据站点的访问量和可能的数据流量以及服务器的硬件条件、带宽资源等规划一台计算机所最多承载的站点数。
在IIS中,可以为FTP站点设置虚拟目录,虚拟目录的引入,极大的扩展了FTP服务器的存储能力。我们知道单一主目录的存储能力受到磁盘分区(包括物理磁盘)的大小限制,而FTP服务的目的恰恰是提供大量文件以供下载,或提供大量的空间用于用户存储文件。这样的矛盾只有通过虚拟目录的方法才能得到解决,尤其时远程虚拟目录,可以将FTP站点的存储空间分布在网络中的多台计算机中。但是,虚拟目录(尤其是远程虚拟目录)也带来一些性能上的问题,分布在局域网中多台计算机上的存储环境可能会造成较多的网络流量。对于访问量大的FTP站点而言,分布的存储可能会影响到局域网中的其他用户。对此,唯一的弥补方法是尽量将访问量大的文件保存在服务器的本地磁盘上,而将不太常用的文件保存在远程虚拟目录中。
使用FTP站点创建向导
创建FTP站点的工作要在IIS的MMC窗口中进行,这里我们使用FTP服务器创建向导新建一个示例FTP服务器,方法如下。
1.在IIS左侧的管理控制树中右击计算机图标,在弹出菜单中指向,单击。
2.在FTP站点创建向导中单击。
3.如下左图,在对话框中输入用于在IIS内部识别站点的说明,该名称并非真正的FTP站点域名。
4.如下右图,在对话框中指定该站点使用的IP地址和TCP端口号,注意默认的端口号为21。完成后单击。
5.如上图,在主目录对话框中指定站点主目录,主目录是由于存储站点文件的主要位置。虚拟目录以在主目录中映射文件夹的形式存储数据。完成后单击。
6.如上右图,在对话框中指定站点权限,FTP站点只有两种访问权限:读取和写入,前者对应下载权限;后者对应上传权限。单击继续。
7.如右图,单击结束FTP站点创建。
8.回到IIS窗口中,在管理控制树中选择我们刚刚创建的FTP站点,单击工具条上的图标使之生效。
创建虚拟目录
虚拟目录能够极大的拓展FTP服务器的存储能力。FTP虚拟目录分为本地和远程两种,本地虚拟目录即可以位于与FTP站点主目录相同的磁盘分区上,也可以位于本地的其他磁盘上;远程虚拟目录则位于网络中的其他计算机上(必须与FTP站点所在的IIS计算机处于同一域中)。出于向下兼容性的考虑,FTP站点的虚拟目录相当于在站点主目录下的映射文件夹。虽然对于FTP用户而言这些内容是在后台执行的不可见过程;但对于FTP站点管理员,就需要考虑这一特性在站点和虚拟目录创建过程中造成的影响,稍后我们就将看到这一影响。
创建FTP虚拟目录的工作也是在IIS管理工具中完成的,具体如下:
1.在IIS管理控制树中右击需要重建虚拟目录的FTP站点,在弹出菜单中指向,单击。
2.打开虚拟目录创建向导,如右上图,在向导欢迎对话框中单击。
3.如左上图,在对话框中的栏中指定虚拟目录别名。这里所谓的别名,是指虚拟目录在IIS管理器中的有效名称,亦即虚拟目录在站点主目录下映射的名称。用户在下载FTP文件时指定的URL路径中包含的目录名称就是虚拟目录别名(对于非虚拟目录,指定其实际名称即可)。别名与目录真实名称没有联系,但也可以相同。单击继续。
4.如右上图,在对话框中单击浏览指定或在栏中直接指定虚拟目录所对应的实际路径。前面已经提到,对于远程虚拟目录,其实际路径是以UNC路径的形式指定的,如需要以Server服务器上的Share共享文件夹作为虚拟目录的实际路径,则应指定路径栏中指定UNC名为:\\Server\Share。单击继续。
5.如右图,在对话框中,指定该虚拟目录所允许的用户访问权限。选择相应的或复选框即可(对应下载和上传权限)。注意,这里的权限(虚拟目录权限)相当于WWW服务中的Web权限,是对所有站点访问用户都有效的。单击继续。
6.单击结束创建。
为了检验我们的创建结果,回到IIS管理界面,在管理控制树中展开我们刚刚创建虚拟目录的网站,可见下新建的虚拟目录节点,右击虚拟目录节点,在弹出菜单上选择,打开一个IE窗口。此时窗口中列出的内容正是新建虚拟目录所对应的实际目录中包含的文件和文件夹,说明虚拟目录创建成功。
但是,当我们在IE中打开站点时(比如右击管理控制树中的站点节点,选择),在IE窗口中却并未看见新建的虚拟目录。不过,如果在IE的地址栏中的站点地址后面加上虚拟目录的路径,形如"/<虚拟目录名>",仍然可以进入虚拟目录并查看或下载其中的文件。这是为什么呢?
其实上述问题的出现并非系统错误,其解决方法也并不复杂。前面我们曾经提到,FTP站点的虚拟目录相当于站点主目录下的映射文件夹,实际对应的文件夹并不在主目录下,而在IE浏览器中打开的站点主页却只能显示站点主目录下的内容。于是,就造成了虚拟目录不能在用户浏览器(包括其他FTP客户端工具)中显示的现象。虽然采用直接输入虚拟目录路径(完整URL)的方式也可以对虚拟目录进行访问,但是这显然极大的影响了站点系统的应用。以下我们解决这个问题。
解决问题的思路是这样的:既然虚拟目录相当于站点主目录下的映射文件夹,而主目录下实际上又没有这个实际文件夹,那么我们可以在主目录下创建一个与虚拟目录同名的假文件夹。这个假文件夹使浏览器中可以显示一个与虚拟目录同名的项目。用户在打开这个假文件夹时,将直接被引导到虚拟目录。
首先,我们需要查看FTP站点的主目录位置,如右图,在FTP站点
属性表单中的选项卡中的栏中查看FTP站点主目录位置。
随后,打开Windows资源管理器,找到站点主目录文件夹,在主目录文件夹下新建一个与虚拟目录同名的假文件夹,如右图。
最后,刷新IE浏览器窗口,这时可见FTP站点主目录下出现虚拟目录图标,双击打开,即可进入虚拟目录。
现在,让我们讨论一个问题:一旦主目录下的假文件夹也包含有文件,那么在请求虚拟目录时,用户得到的是虚拟目录中的内容呢,还是假文件夹中实际存在的文件呢?这个问题留待读者自己思考,实在不得要领的话建议做一个实验验证之。
管理FTP站点
在前一节,我们已经能够创建FTP站点和虚拟目录了,为了使FTP站点能够正常工作,还依赖于对站点的合理配置。本节将介绍有关FTP站点的管理内容。对于安全相关的管理问题,由于其具有特殊的重要性,我们将在下一节同一讨论之。
配置FTP站点属性
FTP站点的的属性配置是在FTP站点属性表单中进行的。FTP站点属性表单与WWW属性表单非常相似,如右图,FTP站点属性表单有五个选项卡。
对FTP站点属性的配置方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.FTP站点属性表单如左图所示,默认打开选项卡。
3.在选项卡中配置FTP站点属性(包括标识、链接、日志等,下面将详细讨论它们的值),完成后单击,再单击关闭对话框。
在FTP站点属性表单的选项卡中可以对站点的下述参数进行配置:
标识:这部分包括站点说明、IP地址和TCP端口号三项。其中站点说明是在创建站点是指定的,用于在IIS内部识别站点,并无其他用途,与站点的DNS域名也无如何关系。FTP服务的默认TCP端口号为21。由于FTP服务不支持主机标头(Host Header),所以不能以主机头方式配置虚拟服务器。也就是说,在网络中区分FTP站点的唯一性标识只有IP地址和端口号。
连接:FTP站点的连接限制与Web站点的连接限制几乎完全相同。连接限制用于维护站点的可用性并改善站点的连接性能。这一点对FTP站点来说尤为重要,因为几乎每个连到站点的用户都会进行或多或少的文件下载,下载对带宽的占用是非常巨大的。在栏中单击并制定同时连接到该站点的最大并发连接数,缺省限制为同时100,000个连接。
在栏中,可以指定站点将在多长时间后断开无响应用户的连接。缺省值设为900秒,即一个用户在发呆15分钟后将被IIS断开连接。
日志:对于FTP站点而言,也可以配置其启用日志功能,使用户对站点的全部访问都记录在日志文件中。在选项卡中选择复选框,对于FTP站点,只有三种可用的日志文件格式可用:Microsoft IIS文件格式、ODBC格式和W3C扩展文件格式,在下拉列表框中指定之。
单击日志格式栏中的打开如右图所示的扩充日志属性对话框。指定新日志文件的生成时间间隔或文件大小,根据用户访问量的大小和现有的分析能力决定采用何种方式进行文件更新。在栏中指定日志文件存储的路径和文件名。详细的日志文件命名规则参见前面对Web日志文件的介绍。
在扩充日志属性对话框中单击选项卡,从中可以对日志文件中记录的事件类型进行详细设定。
当前用户:FTP站点属性对话框中有一个独特的选项,单击,打开对话框,如右图所示。该对话框中列出当前连接到FTP站点的用户列表。从列表中选择用户,单击可以断开当前用户的连接,单击可以使全部的当前用户从系统断开。
对话框为站点管理员提供了更灵活的管理方式和控制方式,使管理员能够实时控制当前用户的连接状态。
分配FTP站点操作员
FTP站点操作员是指具有对站点进行全方位操作、维护能力的站点管理员。默认的站点管理员是Windows 2000系统管理员组的全体成员。在实际工作中,出于安全性、内容维护和其他考虑通常需要重新指定站点管理员,具体方法如下:
1.打开IIS管理界面,右击管理控制树中的FTP站点图标,从弹出菜单中选择。
2.在FTP站点属性表单中单击选项卡,如右图所示。
3.在列表中选择当前操作员账号,单击,去掉缺省的站点操作员账号。
4.单击,打开对话框。
5.指定站点操作员的账号或组账号,单击返回。
6.单击使配置生效,单击关闭站点属性表单。
FTP站点信息
用户在连入FTP站点时,应该得到对站点的相关介绍,对于不能像WWW服务一样提供丰富信息的FTP站点来说,这样的介绍尤为重要。此外,在用户离开站点时,以及因站点达到最大连接数而不能接受用户的访问请求时,都应该得到相应的提示信息。这些提示性、解说性的简要信息就是FTP服务的站点消息。
站点消息的指定要在FTP站点属性表单中的选项卡中进行指定,如右图。FTP站点消息分为三种:欢迎、退出、最大连接数,分别在选项卡中的、和栏中进行指定。这三种消息类型的具体说明如下:
欢迎消息:用于向每一个连接到当前站点的访问者介绍本站点提供的服务、文件内容、访问方式等有关信息。它们有助于访问者更好地了解站点提供的内容,弥补FTP服务的信息断层。
如右图就是一个站点欢迎消息的示例,以在IE浏览器中打开的Web站点为例,左侧窗格中列出当前打开的FTP站点的欢迎消息内容(黄色背景部分)。
退出消息:用于在客户断开连接时(退出系统),发送给站点访问者的信息,一般为"再见,欢迎再来"之类的话。由于旧式的FTP工具大多是在命令行方式下工作的(Windows 2000命令提示行下页可以访问FTP站点),所以在退出站点时可见该消息(在IE浏览器中不存在退出的问题,只需要关闭窗口即断开与站点的连接,故该信息不可见)。
最大连接数消息:该消息用于在系统同时连接数已经达到上限(最大并发连接限制)时,向请求连接站点的新访问者发出的提示消息,如"由于当前用户太多,不能响应你的请求,请稍候再试"等。
右图为命令提示行下,FTP这点的欢迎和退出消息。如果某些采用不同操作系统或客户端FTP软件的用户抱怨欢迎消息不能完全显示,则说明存在消息格式冲突,解决的方法是将站点的欢迎消息限制在一行之内。
配置FTP站点主目录
FTP站点主目录是供站点存储主要文件的目录。主目录下的文件夹将作为FTP站点根目录的下一级目录出现,虚拟目录相当于主目录下的对应文件夹,也是站点根目录的下一级目录。
FTP站点主目录的指定方式有本地主目录和远程主目录两种。前者是指站点主目录位于本地计算机的磁盘上;后者是将主目录设置为网络中(必须与IIS计算机同在一域之内)的另一台计算机的共享文件夹上。主目录是在FTP站点属性表单的选项卡中指定的。
如右上图,本地主目录的指定方法为:在选项卡中选择主目录位置为。单击指定主目录位置或者直接在栏中输入主目录路径。单击、完成。
远程主目录的指定方法为:在选项卡中选择主目录位置为,然后从栏中指定共享主目录的UNC路径。如果当前站点管理员没有访问所指定共享文件夹的权限,则单击,打开如右下图所示的身份验证对话框,输入具有对该共享文件夹合适权限的账号和口令,单击返回。单击、完成。
配置站点目录列表方式
选项卡中还可以指定目录列表风格。可选的站点目录列表风格有MS-DOS和UNIX两种,在选项卡中的栏中选择或分别之。
按照字面理解,这两种风格分别适用于DOS/Windows 用户和UNIX用户,但这也不是绝对的。只能说某种风格可能会另相应操作系统的用户看起来更舒服一些,其中对UNIX/LINUX用户的影响更大一点。所以,在主要针对UNIX/LINUX用户群的站点应设置为UNIX列表方式。下面两个窗口是不同目录列表方式在Windows 2000目录提示行下的显示示例,左图为MS-DOS方式,右图为UNIX方式。
实现FTP服务
FTP站点安全性设置
FTP站点的安全性设置相对单纯,这是因为FTP站点并不涉及复杂的安全性应用程序和服务器/浏览器交互过程。限制FTP站点安全性的手段无非是:用户账号认证、匿名访问控制以及IP地址限制,本节将给出这些限制方法及其综合运用方式。
目录安全性设置
FTP用户仅有两种目录权限:读取和写入,读取权限对应于下载能力;写入权限对应上传能力。
FTP站点的目录权限是对全体访问该目录的用户都生效的权限,即一旦某个目录设置为仅有读取权限,则任何FTP用户,包括授权用户都不能进行上传操作(需要写入权限)。
目录权限可以在FTP站点和虚拟目录两个层次进行设置。在IIS管理MMC界面的管理控制树中右击FTP站点或虚拟目录图标,选择,
打开站点属性表单或虚拟目录属性表单,选择或选项卡。只需选择、复选框即可指定站点或虚拟目录的目录访问权限。如右图,就是在虚拟目录属性表单中配置目录权限的情况。
目录权限与NTFS权限并无关系,但二者共同作用于FTP站点访问者。一般的,在NTFS分区上的站点目录被设置的NTFS权限如果与我们这里设置的目录权限发生冲突,二者中限制较大(权限较小)的权限将实际发生作用。这种配置有利于站点的安全性,两重的权限保护在某种程度上避免了管理员的疏忽。所以,应当尽量的将站点目录(包括虚拟目录)存储在NTFS分区中。
完成目录权限指定后,单击使之生效,如果此时系统提示修改过的权限设置与当前对象的子站点(子目录或虚拟目录)存在权限冲突,如右图,则说明子站点权限与当前权限有不一致的情况。这时,应在图中的列表栏中指定继承当前许可设置的子站点/子目录对象。或者单击使当前权限能够覆盖全部子对象当权限。单
击返回。如果不选择站点或单击,都会导致只有当前对象直接包含的文件才被修改了权限。最后单击结束目录权限的设置。
匿名访问控制
匿名访问是FTP服务的一大特点,虽然在WWW服务中也有匿名访问的限制,但是匿名访问对于一个FTP站点来说在安全性和内容方面具有特殊的用途。
由于FTP是一个简单的,在Internet产生初期就存在的服务,一个FTP站点除了用户账号之外没有其他的用户安全验证服务(ISAPI过滤器、数字证书等方法对于FTP是无效的)。所以有必要合理的设置FTP安全账号。
在IIS管理器的MMC界面中,右击管理控制树中的FTP站点节点,从弹出菜单中选择,打开站点属性表单,选择选项卡,如右图所示,这里是配置匿名访问的主要界面。
在选项卡中选中复选框,使当前站点同时允许匿名和授权用户连接。
IIS默认的匿名访问用户账号是IUSR_computername,其中computername是 IIS所在服务器的计算机名。我们也可以更改这一账号,在选项卡中单击栏右侧的。在如右上图所示的中指定匿名用户账号,单击即可。
通常情况下,虽然匿名访问用户账号由Windows 2000进行验证和安全性维护,但是账号的密码是由IIS进行控制的,取消选择复选框可以自行指定用户密码。
FTP站点的用户访问控制可以分为三种情况:仅有授权访问、仅有匿名访问、匿名访问与授权访问混合使用。仅使用匿名访问方式的好处是强化系统的安全性。这种方式拒绝任何非匿名的登录请求,也就不可能允许具有管理员权限的用户(可能是黑客)通过Internet登录站点,从而保证服务器不被入侵。在FTP站点属性表单的选项卡中选择复选框进行此设置。如果清除此复选框,IIS会给出如右下图所示的警告对话框。
对于授权用户,可以在图形界面或基于目录提示行的FTP客户端软件中直接指定登录账号和密码(匿名账号为anonymous,密码为空),以做登录验证之用。左图是在IE浏览器中登录FTP站点的对话框。缺省时,在IE中打开FTP站点都是以匿名身份进入的,需要改变用户身份时,单击IE浏览器的菜单,选择,如右图所示,输入账号和密码,单击以授权用户身份进入站点。通常只有授权用户才有上传权限。
IP地址访问控制
IP地址限制是FTP站点通常使用的安全限制方式之一,由于对于FTP这种较老的服务并无过多的安全技术可供选择,所以用好现有的安全限制(如IP地址限制)是非常必要的。
FTP站点的目录安全性可以以两种方式限制特殊IP地址的访问:授权访问和拒绝访问,两种方式不能同时使用。授权访问方式允许缺省用户访问站点,但可以指定不能访问站点的例外地址;拒绝访问方式缺省限制所有地址对站点的访问,但可以指定不受限制的例外地址。两种方式中后者的安全性要高些,但限制也较大,通常用于内部FTP站点(不对组织外的用户提供服务);前者则广泛用于公共的下载站点,根据经验或者日志文件的攻击纪录将曾经尝试攻击的用户IP地址加入例外地址列表即可加强站点的安全性。
指定IP地址限制的方法如下:
1.在FTP站点属性表单中单击选项卡。
2.如右上图,选择限制方式为或。
3.单击列表右侧的,打开例外地址对话框。
4.如右下图所示,选择限制类型为【单