3.1 使用SSL进行加密
(2)在Domains选项下的某个具体Domain中,在Security选项的下拉菜单中把默认的“Regular FTP only,no SSL/TLS sessions”修改为“Allow only SSL/TLS sessions”,这时,默认的FTP port number就由21变成了990,为了方面,我们可以再修改回去。
(3)客户端连接:如果启用了SSL加密,就不能使用一些不支持SSL的FTP客户端软件,比如IE浏览器和系统自带的ftp .exe。这里选择FlashFXP。
在快速连接选——常规 选项里填写FTP服务器的地址、端口(990)、用户信息。
然后切换到SSL选项卡,默认是标准(无SSL),修改为隐式SSL,然后在数据连接
选项里勾选自己需要的选项,然后点连接即可。
连接后,就会弹出一个证书信息对话框,选择“接受并保存”即可,这样下次连接就不再弹出;如果选择“接受一次”的话,下次连接还会继续弹出窗口。
连接成功后,就可以在FlashFXP有下方的状态栏里看到信息,而且有一个小锁的标志,这就代表传输是加密的。如下图所示:
3.2 在防火墙后部署FTP服务器
(1)FTP传输模式介绍:FTP传输模式分为主动模式(port)和被动模式(pasv)。一般情况下,传输过程中使用那种模式是由客户端决定的,因为FTP服务器都是支持的。
这两种传输模式都是针对FTP服务器而言的。由于FTP工作时候需要两个端口,一个是命令端口(就是我们平时所说的TCP 21),另外一个是数据端口(默认是TCP 20)。客户端先和FTP服务器的21端口建立连接,当传输数据时才使用20端口。
主动模式是FTP服务器用自身的TCP 20端口去连接客户端;被动模式则是FTP服务器被客户端连接。
(2)主动模式下防火墙设置
只需要打开防火墙的TCP 20和21两个端口即可。系统自带的ftp. exe 就是使用主动模式进行连接的。如果使用FlashFXP,则需要去掉默认的“使用被动模式”勾选。
(3)被动模式下防火墙设置
首先要先在Serv-U上进行被动模式传输端口的设置。Local Server——Settings的Advanced选项卡下的PASV port range(被动模式端口范围)里填写,一般选择比较大一点的端口,端口的个数根据自己需要,5—20个均可。
其次在防火墙上面打开命令端口和刚才上面填写的数据端口(本例中为5151—5155)即可。使用FlashFXP时候需要勾选“使用被动模式”(默认是勾选的)。
3.3 其他安全设置
(1)修改Serv-U默认管理账号的本地连接密码。
(2)磁盘配额
为了保证FTP服务器的正常稳定运行,对于开放上传权限的用户有时候有必要开启磁
盘配额。选中某个用户后,点击Quota选项卡,勾选“Enable disk quota”,然后在Maximum
栏里根据需要填写允许该用户最大使用的磁盘空间即可。本例中设置为1024MB。
(3)用户权限设置
在FTP服务器上面对不同的用户设置不同的权限,以保证服务器安全稳定运行。方法如下:选中某个具体用户后,点击“Dir Access”选项卡,设置此用户在它的主目录(即“Path”)是否对文件拥有“Read”(读)、Write(写)、“Append” (写和添加)、“Delete”(删除)、“Execute”(执行);是否对目录拥有“List”(显示文件和目录的列表)、“Create”(建立新目录)和“Remove”(修改目录,包括删除,移动,更名);及“Inherit”(以上权限是否包括它下面的目录树)等等。
(4)IP访问策略
Deny Access(拒绝访问):选中此项则下面列出的IP地址被拒绝访问此FTP服务器。
Allow Access(允许访问):选中此项则只有下面列出的IP地址被允许访问此FTP服务器
(5)日志审核策略
选择某个已经建立好的具体Domain后,除了在Activity——“Domain log”下看到部分日志外,还可以在Settings——Messages选显卡下设置登录信息记录到文件。
(6)取消FTP服务器的FXP传输功能
在Local Server——Settings——General选项卡下勾选“block "ftp_bounce" attacks and FXP”即可。
