FTP:
FTP的默認端口爲
FTP control 20
FTP datta 21
所以默認狀態下可以list. 如果要提高FTP服務器的安全性,我覺得改變端口開始治標不治本。建議使用FTPS(FTP over SSL),應用SSL方式將傳送的密碼和數據加密,相對安全。此方式的默認端口是989,990.
簡介:
Filazilla是一個非常流行的開源的免費的FTP客戶端、服務器端的項目,Filezilla的主要優勢在於:高安全、高性能。Filazilla的安全性是來自於其開放源代碼的。Filezilla的高性能來自於其代碼的開發平臺是C/C++,自身基礎就好於其他VB/Dephi平臺開發的應用程序,因此Filezilla具有可媲美IIS的性能。在千兆網絡帶寬上,可輕鬆滿足數百用戶同時高速下載。目前Filezilla也存在一些不足,主要缺點就是不支持配額,即本身不提供上傳、下載總文件大小配額的功能。
FileZilla Server伺服器的程式看成兩部份,第一部份是FTP的Service服務,他是提供其他電腦透過FTP通訊協定連線進來存取檔桉用的網路服務,這部份的功能可以讓他隨着電腦自動開機啓動。而伺服器啓動後我們並不會看到什麼視窗或圖示,它會在Windows系統的背景執行,只有在檢視「工作管理員」時,纔可以看得到。
另外一步部份是「FileZilla Server Interface」伺服器管理介面,這個管理介面是管理FTP伺服器、新增或移除FTP帳戶時纔會用到。只要安裝時設定好FileZilla Server的Service與組態、帳戶之後,其他時候可以不用開啓伺服器管理介面,FTP也可以正常運作。(因爲FTP伺服器會在安裝好之後,開機自動執行)。
大概知道有這兩個東西之後,下面的安裝過程就會比較清楚一點。後面會有個步驟問我們是否要開機自動啓動FTP Service或是否要開機自動啓動Server Interface,講的就是這兩個東西。
安裝:
第1步 選用最新版本的filezilla_server。http://filezilla-project.org/。然後在「FileZilla_Server-0_9_24.exe」安裝檔上按兩下滑數左鍵,執行安裝程序,接着再按一下〔I Agree〕按鈕,開始安裝。
第2步 接着他會問你要安裝哪些元件,安裝方式:默認的標準,按一下〔Next〕繼續下一步。
第3步 接着他會問你要將FTP伺服器程式安裝到哪個資料夾去,強烈推薦安裝到非默認路徑,以增加安全係數。請按一下〔Next〕按鈕,繼續下一步。
第4步 此步驟是詢問我們是否要讓FTP伺服器在電腦開機時自動啓動,請點選【Install as service, started with Windows (default)】,再按一下〔Next〕。這樣FTP伺服器便會自動被安裝成系統的Service,每次開機後便會自動再背景中啓動並執行FTP伺服器的功能。設置管理端口“14147”,強烈推薦修改此端口,例如:改成38121端口。(注意不要和常見服務如80端口衝突)
第5步 接着我們可以設定是否在開機時自動啓動「FileZilla Server Interface」伺服器管理介面,如果你常常需要管理你的FTP伺服器,可以選【Start if user logs on, apply only to current user】。一般來說都是選最下面的【Start manually】,要用時再手動開啓即可。
第6步 安裝好之後,請按一下〔Close〕按鈕,結束安裝程序。
第7步 安裝好軟體後,啓動FileZilla伺服器時,會出現一個「 Connect to Server」視窗,我們可以在「Administrator password:」欄位中輸入本服務器Filezilla服務的密碼,輸入管理端口號(管理端口到底是多少,請參考前文安裝過程中填寫的具體數字是多少。),然後勾選「Always connect to this server」再按下〔OK〕。建議選中“總是連接到本服務器”的選項,即表示每次啓動管理控制檯,都是管理本機的Filezilla服務。
注意:修改端口和密碼非常重要,這是確保Filezilla安全的重點,必須修改端口,必須設置密碼!密碼建議足夠複雜!可以在管理界面中進行修改。
第8步 如圖,出現FileZilla伺服器管理介面後,我們可以在視窗上半部看到目前的FTP伺服器的運作狀況,如果有出現「Logged on」或「Server online」的字樣,表示已經順利上線。我們可以隨時點按上方的閃電圖示切換上線、離線,即可手動開啓或關閉FTP站。
服務器設置:
第1步 進行服務器全局參數設置:點“Edit”菜單,選“Settings”
General settings(常規設置):
Listen on Port:監聽端口,其實就是FTP服務器的連接端口。
Max.Number of users:允許最大併發連接客戶端的數量。
Number of Threads:處理線程。也就是CPU優先級別。數值調得越大優先級越高,一般默認即可。
timeout setting:超時設置,自上至下分別爲:連接超時、傳輸空閒超時、登入超時。單位爲秒。
Welcome message頁面設置:客戶端登錄成功以後顯示的Welcome信息。建議不要用軟件默認的,因爲任何軟件都不能保證沒有什麼漏洞,如果在這裏暴露軟件名稱的話,一旦這個FTP Server軟件有什麼安全漏洞,別有用心的人知道了服務器軟件的名稱就可能針對性地發起攻擊。所以建議這裏設置的信息不要包含任何服務器資料。強烈建議修改默認的歡迎信息爲“Welcom to Serv-U FTP Server”,這樣Filezilla在歡迎消息中就會Serv-U字樣,以達到欺騙攻擊者的目的。注意:本步驟非常重要!
現在我們用telnet去連接一下FTP的21端口,即可看到修改過的“假”的提示信息,這樣服務器的安全性可以得到比較明顯的提高。
IP bindings(IP綁定)頁面:把服務器與IP地址綁定,使用*以綁定到所有地址。
IP Filter(IP過濾器)頁面:設置IP過濾規則,在上面欄目中的IP是被禁止與FTP服務器連接的,下面的是允許的。格式:可以是單個IP地址、IP地址段,可以使用通配符、使用IP/subnet語法或正則表達式(以“/”結尾)來過濾主機名。
第2步 Passive mode settings(被動傳輸模式設置):這個頁面要重點關注。
如果服務器本身直接擁有公網IP,可以選軟件默認的“Default”。
如果服務器是在局域網裏面,在一個網關後面,那麼就要選擇第二項“Use the follwoing IP”,並且在下面的輸入欄填寫公網的IP地址;否則,客戶端用PASV被動模式可能無法連接FTP服務器。因爲服務器是在內網中,在客戶端使用PASV模式連接服務器的時候,服務器收到連接請求之後需要把自身的IP地址告訴客戶端,由於服務器在內網中,它偵測到的IP地址是內網的(如192.168.0.5),它把這個IP地址交給客戶端,客戶端自然無法連接。在這裏設置了指定的IP地址後,服務器就會把這個公網合法的IP地址提交給客戶端,這樣才能正常建立連接。
如果服務器是動態IP的,那麼可以選擇下面的“Retrieve external IP address from”,利用FileZilla官方網站免費提供的IP查詢頁面獲取當時的公網合法IP,然後服務器把這個公網合法IP地址提交給客戶端。當然靜態IP也可以用這個,只不過沒有必要。
這個設置頁面對服務器位於內網的情況非常重要。有些FTP服務器端沒有這個設置項目,客戶端就只能用Port主動模式連接。當然有些客戶端軟件針對這個問題有專門的設置,如FlashFXP的站點設置中只要選中“被動模式使用站點IP”就可以了。
對於在局域網中的服務器,如果服務器沒有置於DMZ區,那麼強烈建議選中下面的“Use custom port range”定義PASV端口範圍。由於PASV模式中,是服務器隨機打開端口,然後把打開的端口號告訴客戶端,讓客戶端連接打開的端口。但是因爲服務器處於網關後面,如果網關那裏沒有做對應的端口映射,客戶端從外網就無法連接服務器打開的端口,導致PASV模式連接失敗。在這裏限定服務器打開的端口範圍,然後到連接外網的網關那裏,對服務器的這些端口做端口映射(虛擬服務)。這需要服務器和Internet網關設備配合設置,這樣外網的客戶端才能用PASV模式連接進來。
第3步 Security settings(安全設置):這裏的兩個選項關係到能否FXP。軟件默認狀態“Block incoming server-to-server transfers”和“Block outgoing server-to-server transfers”兩項都是選中的,前面那項是禁止連入的服務器對傳,後面是禁止傳出的服務器對傳。也就是說默認狀態不允許FXP,如果需要使用FXP,那麼就把這兩個項目取消選擇。注意FXP傳輸除了跟這個頁面的設置有關,還跟IP過濾器有關。
說明:如果啓用,IP過濾器在傳輸開始時檢查遠端IP,如果IP不符合控制通道中的遠端IP,傳輸將被取消。
FXP經常被用來傳輸非法盜版軟件,反彈攻擊亦可被用來發起對服務器的Dos攻擊,因爲惡意用戶可以發起多個服務器到服務器傳輸,這將對服務器的帶寬和可用性造成很大影響。
如果設置了嚴格過濾IP,整個IP將與控制通道中的IP進行比較,但此選項可能會對使用了多個IP的代理服務器引發問題。
爲了避免此問題,可以禁用嚴格IP過濾,這樣只檢查IP地址的前三部分,但這會使對FXP/反彈攻擊的安全都降低。因此,你需要在安全和兼容性之間做選擇,要想達到最佳效果,你可以阻止所有的FXP傳輸並且僅對傳入的傳輸啓用嚴格過濾。
第4步 Admin Interface setting(管理員界面設定):這個就是登錄配置服務器界面的一些參數。端口號的設置在安裝的時候也出現過。下面兩欄可以定義允許遠程登錄配置的網絡界面和IP地址,第一個空白可以設置把管理界面綁定到IP地址,使用*以綁定所有IP地址,127.0.0.1是默認綁定,它一直存在且不可被移除;第二個空白設置允許連接到管理界面的IP地址,可以使用通配符(例如:123.234.12?.*),127.0.0.1總是被允許連接到管理界面的。在最下面更改管理員口令。
注意:修改端口和密碼非常重要,這是確保Filezilla安全的重點,必須修改端口,必須設置密碼!密碼建議足夠複雜!
第5步 Logging(日誌):設定是否啓用日誌記錄功能以及日誌文件大小和文件名。
第6步 Speed Limits(速度限制):這個是全局參數,默認狀態不限速。可以選中“Constant Speed Limit of”並填寫限速數值來實現速度限制,下載(傳出)和上傳(傳入)可以分別設置。還可以根據時段自定義限速規則——“Use Speed Limit Rules”,比如這臺服務器或者網絡連接除了做FTP服務器之外還有別的用途,需要根據時間調度,不能讓FTP傳輸擠佔所有網絡帶寬影響其它的網絡服務;就可以通過這裏設置。
第7步 Filetransfer compression(文件傳輸壓縮設置):MODE Z FTP協議是一種實時壓縮的傳輸協議。在這種模式下,發送方的數據在發出之前先進行壓縮,再送到網絡鏈路中傳輸,接收方將收到數據實時解包,在本地還原重組成原文件。這種模式可以大幅度減少網絡中的數據流量,提升傳輸效率(速度)。當然對於已經壓縮過的文件,就幾乎沒有效果了。要使用這種傳輸模式,需要服務器端和客戶端都支持MODE Z協議。
勾選“Enable MODE Z support”就可以啓用本服務器的MODE Z支持功能,這樣,只要客戶端也支持MODE Z就可以獲得它帶來的性能提升。“Minimum allowed compression level”和“Maximum allowed compression level”分別設置最小壓縮率和最大壓縮率。最下面可以輸入不啓用MODE Z功能的目標IP。
完成這些設置以後,點擊“OK”按鈕保存設置並退出服務器全局設置頁面返回主界面。
第8步 設置“SSL/TLS settings”,
在彈出對話框中,輸入國家代碼、省、市、組織、聯繫郵件地址等,單擊“Generate certificate”。
選中“Enable FTP over SSL/TLS support(FTPS)”
第9步 加固權限,找到Filezilla的配置文件,格式是xml格式,鼠標右鍵點擊之,並選擇屬性。
加入Guest組禁止讀寫的權限,設置爲拒絕。
點擊確定後,系統會彈出提示,詢問拒絕權限優先級高於允許權限,是否要繼續,點擊是通過即可。 
匿名FTP配置:
首先打開管理控制檯,點擊左起第四個圖標 進入系統設置。
打開ftp用戶管理界面,點擊右側的 add按鈕,添加新用戶。
在新增用戶的對話框中,輸入“anonymous”這個名字,即FTP的匿名用戶。
點擊確認,添加用戶完成,返回用戶管理界面。
點擊左側的“Shared folders”菜單。點擊Add按鈕,添加一個目錄。
打開瀏覽文件夾的選項,選擇要設置FTP的目錄。
點擊確定,添加用戶完成。
現在用戶FTP客戶端連接到FileZilla Server上,可以看到匿名FTP已經配置完成。 
標準FTP用戶配置:
設定流程:開新帳戶→ 設定密碼→ 選定資料夾→ 設定完成。
第1步 進行的是用戶組(Group Settings)設置。在主界面點擊第五個按鈕或者由“Edit”——“Groups”菜單進入。
組設置是爲了便於用戶歸類管理,相同權限的用戶歸屬到同一個組裏面,這樣就不用重複多次設置每個用戶的權限等參數,簡化配置和管理工作。點擊右邊的“Add”按鈕創建新組。
組創建完成以後,點“Shared folders”進入目錄權限設置頁面。點擊中間區域的“Add”按鈕添加目錄。默認狀態添加的第一個目錄即爲該組用戶登錄之後看到的主目錄(Home Directory),主目錄前面有個粗體的“H”標識。目錄列表右側分別是對該目錄的操作權限設置,上面是文件權限設置,下面是目錄權限設置。如果要改變主目錄,只要在列表中選中需要設置爲主目錄的那個,然後點擊“Set as home dir”按鈕即可。
設置好主目錄之後,再點擊“Add”按鈕把其餘的目錄依次設置進來就可以了。不過這裏得注意,如果僅僅把別的目錄添加進去,那麼你用客戶端連接之後,會發現除了主目錄和它的子目錄之外,別的目錄都看不見。這是怎麼回事?這裏要說明一個概念——虛擬路徑。所謂虛擬路徑,就是在客戶端看到的目錄結構。由於一個用戶只能有一個主目錄,別的目錄如果不映射成虛擬目錄的話,客戶端將看不到它。所以只有把除了主目錄之外的其它目錄,虛擬成主目錄的子目錄,這樣在客戶端才能看到。
比如本例,主目錄是D:\Downloads,如果不做虛擬路徑設置,那麼客戶端登錄進來只能看到主目錄裏面的內容,還有一個E:\FTPRoot目錄下面的東西看不到。如何設置虛擬路徑?鼠標右鍵點擊列表中的“E:\FTPRoot”目錄,在彈出的菜單裏面選“Edit aliases”編輯別名;現在要把E:\FTPRoot目錄作爲客戶端主目錄下的FTPRoot目錄,那麼就在彈出的窗口裏面輸入“D:\Downloads\FTPRoot”並點擊“OK”按鈕確定。注意拼寫規則,路徑的前面部分必須是主目錄的絕對路徑。這樣設置之後,在客戶端就可以看到一個“FTPRoot”目錄,這個目錄其實就是E:\FTPRoot目錄。
組設置中的“Speed Limits”和“IP Filter”跟全局設置裏面的速度限制和IP過濾器設置方法是一樣的,請參照前面的內容。只不過這個是僅僅針對這個組的用戶生效。而全局設置是對所有的用戶都生效。設置完畢之後點擊“OK”按鈕回到主界面。
權限說明:
文件:
Files → Read:可下載檔桉。
Files → Write:可上傳檔桉。
Files → Delete:可刪除檔桉。
Files → Append:即把文件下載到本地副本並打開編輯,在關閉時再上傳到服務器。(問題:不知道是不是在服務器端進行執行編輯。)
目錄:
Directories → Creat:可新增子資料夾。
Directories → Delete:可刪除子資料夾。
Directories → List:可列出資料夾中的檔桉。
Directories → +subdirs:列出文件夾中的子文件夾。
注意:在FileZilla Server裏設置的對文件、目錄的權限,需要依賴Windows操作系統中SYSTEM帳號對文件、目錄的權限設置。
第2步 設置用戶(Users)。點擊主界面第四個按鈕或者由“Edit”——“Users”菜單進入。
點擊右邊的“Add”按鈕創建用戶,輸入用戶名test 。
選中Password前邊的多選框,然後輸入密碼123456。
然後從“Group membership”欄選擇該用戶所屬的組(Group),這樣該用戶將繼承該組的所有屬性/權限,不用再單獨一一設置這些參數了。這也是設置組體現的方便性,在用戶比較多的時候使用組來分類會使得管理工作更加方便、高效。當然,也可以設置一個不屬於任何組的用戶,這樣的話,就得單獨定製該用戶的權限。對於少量特殊用戶,可以用這種方式設置。
返回到用戶管理界面,點擊設置文件夾目錄,點擊Add添加目錄。
添加完成,再右側選中test用戶對這個目錄的權限,然後點擊左側的OK按鈕,配置完成。
現在可以使用客戶端來測試登錄了。
打開FTP客戶端軟件,輸入test用戶名和密碼123456,登錄到服務器。
登錄成功後,可以看到剛纔制定的FTP目錄下的文件,並具有相應的上傳、下載權限。 
至此,FileZilla Server的基本設置就完成並可以運行了。
啓用SFTP設置如下:
打開“Users”對話框:添加用戶;輸入密碼;選中“Force SSL for user login”,目的是強制使用 SSL,當然如果不選的話,要不要使用 SSL,就由客戶端自己選擇了。
在“Shared folders”中添加 FTP 文件夾,並設置相應權限。
用 FileZilla Client 連接 FTP 服務器。和普通的連接相同,只是注意選擇 Servertype,如下圖:
對於初次使用FTP Server軟件的用戶,本文也可以作爲入門參考。其實所有的FTP Server軟件安裝設置的基本原理都是類似的,掌握了一個之後,別的可以舉一反三融會貫通。
原址:http://ce.sysu.edu.cn/hope2008/Education/ShowArticle.asp?ArticleID=13136
