今日更新
技术新闻
精彩专题
IBM软件技术专区
微软开发专区
技术文档中心
编程语言
网络通信
网络安全
LINUX/UNIX
软件工程与管理
数据库开发
WEB开发
企业应用与开发
移动开发
资源中心
原创专栏
开放系统世界
人才与培训
技术天地论坛
厂商列表
社区推荐

· 女性身体内部人体受孕..
· 十部顶级的变态与情色..
· 感情放纵让我毁了两个..
· 当我撞见姐姐和男友在..
· 卖淫少女惨遭泄愤民工..
· 偷拍街上的走光mm绝对..
· 百度打击google的广告
· 港娱乐圈与黑社会揭秘
赛迪网>>技术应用>>技术天地
关键字: IIS
来  源: 飞思科技产品研发中心
IIS的FTP安全设置
作者:刘志勇 郭聪辉 发文时间:2004.11.22
    返回专题首页 :IIS 安装设置指南

  由于FTP是最古老的Internet协议,它的功能是将一个文件从一个系统发到另一个系统。FTP是完成这个功能的最快的传输协议。时至今日,虽然现在的站点流行使用Web在服务器之间传送文件,但是,并不是所有的站点的服务器都使用了Web,另外,许多Web命令也没有命令行下的FTP命令好用。FTP已经存在30年了,广为世人所熟悉。现在很多专门的下载站点都是通过FTP实现高速下载的。FTP最大的优点是TCP/IP的应用,通过TCP传输,工作在OSI模型的第七层、TCP模型的第四层。

  Internet发展虽然十分迅速,但是匿名FTP站点仍然是Internet的重要组成部分,大量的匿名FTP站点对所有用户公开文件访问权,目的是发布它们的软件和信息。鉴于FTP在Internet中仍占据重要的地位,故IIS集成了FTP服务器。在IIS上架构的FTP站点,用户可以用IUSRR_SERVERNAME账户试图连接该服务器,在命令行下用户名是anonymous,密码可以使用任何内容,在Internet Explorer中不用输入任何信息就能匿名登录FTP站点。

  用户可以通过该Windows 2000 Server系统的合法用户账户登录FTP。由于FTP和Telnet一样都是通过明文形式传送的,如果恶意用户使用嗅探器Sniffer程序就可以获取用户名和口令,故IIS的FTP也要采取安全措施。FTP协议默认使用的端口是21,可以将其改成其他的端口,如图1所示。

图1 更改FTP服务器的默认端口

  可以将在"默认FTP站点属性"对话框中的"FTP站点"选项卡里的"标识"框里的TCP端口21改成其他的数值。由于21是FTP默认使用的端口号,恶意用户可以用扫描器探测到该服务器开放了FTP。必须注意,改端口的时候不要使用已经占用的端口,否则会引发冲突,最简单的办法是使用Windows 2000的命令行方式下的"netstat -a"命令查看已经使用了哪些端口。在使用了非标准的FTP端口后,用户要访问该FTP站点就必须指定端口号,否则无法访问。在如图2所示界面的"连接"框中,可以指定连接设置和连接超时,这对于FTP服务器的安全是至关重要的。如果将它们设置为无限制的话,恶意用户无数次连接该服务器的21端口,而且还使用不同的IP地址,时间长了就会导致服务器的CPU和内存资源使用率达到100%,然后服务器被迫宕机,这就是拒绝服务攻击。即便是开放FTP,最好也不要使用"无限"这个设置选项,由于存在线程问题,会导致下载的不公平。

  尽量不要允许IIS的FTP匿名访问,在FTP站点的属性中的"安全账号"选项卡里,取消选择"允许匿名连接"复选框,如图2所示。

图2 取消允许匿名连接

  接下来在"操作员"框里分配FTP站点的操作员账户。FTP站点操作员是一组特殊的用户,他们在各自的 FTP 站点具有有限的权限。操作员可以管理只影响自己站点的属性,不能访问涉及 IIS、Windows 服务器计算机宿主IIS或网络的属性。 操作员级的账户具有以下权力:

  设置访问权限。
  允许日志记录和配置日志记录。
  限制该站点的最大连接数。
  允许或禁止匿名访问。
  允许建立欢迎信息和退出信息。
  配置IP级别的系统安全。
  选择目录列表风格。

  但是,操作员和管理员的权限并不完全一样,操作员不能进行以下操作:
  配置一个新匿名账户。
  建立虚拟目录。
  查看、断开用户连接。
  更改FTP服务器的IP地址、TCP端口。
  分配操作员特权。
  更改主目录。

  一般情况下,FTP管理员最好是网管的一个账户。要妥善保管好这个账户,密码一定要有足够的复杂度,否则,被恶意用户使用专门破解的工具得到密码就有很大的安全风险了。FTP实际上是一个"共享"的文件夹,默认的文件夹是:盘符:\inetpub\ftproot,可以在"FTP站点"选项卡中的"FTP站点目录"框中更改,如图3所示。

图3 设置FTP站点目录

  可以将本地路径指定为本地计算机上的目录。前面的章节已经提过,服务器的文件系统必须是NTFS系统,这样才能尽量避免安全风险。也可以指定网络上的其他目录,如图4所示。

图4指定网络上的其他目录为FTP站点目录

  如果是网上邻居的路径,就会弹出"网络目录安全身份验证凭据"窗口,切记不要输入管理员的账户和密码,以免被Sniffer之类的嗅探器得到账户密码。也可以在FTP站点中新建一个虚拟目录,这样会更安全一些,操作如图5所示。

图5为FTP站点指派虚拟目录

  如果只允许下载,就在如图6所示的界面中选择"读取"复选框,如果允许上传就选择"写入"复选框。针对IP的安全设置是在"目录安全性"选项卡里设置的,如图6所示。

图6 设置FTP站点的访问限制

  根据实际情况加以设置即可。注意,如果使用DNS查找,会使FTP站点的访问速度变得很缓慢。实际上,IIS自带的FTP服务功能不够强大和灵活,一般都是考虑第三方FTP服务器软件,如Serv-U FTP Server Daemon for MS Windows等。

返回专题首页 :IIS 安装设置指南
(T113) 本文选自飞思图书《网络服务器安全配置详解》




赛迪网推出“IT博客”,花不到一分钟就完成注册
评论】 【推荐】 【 】 【打印】 【关闭

·Linux专区· ·黑客攻防·
· Linux下添加硬盘、分区、格式化任务详解
· FreeBSD服务器的安装与优化之优化篇
· 初学者入门:FreeBSD服务器的安装与优化
· 金企鹅杯两岸四地开源软件大赛圆满结束
· 如何提高Linux系统安全性的十大招数
· 构筑Linux防火墙之为个人用户设置防火墙
· 谁更安全?黑客眼中的防火墙与路由器
· 识破骗局 练就识别QQ活动真伪火眼金睛
· 应用安全大有可为:目的、挑战、总结
· 道高一尺魔高一丈:安全防御的动感魅力
· 警惕网络“内”院起火 积极谋求安内之路
· HHCTRL漏洞被黑客利用 疯狂传播木马
·中国信息化· ·成功案例·
· ERP普及化是饮鸩止渴 精细化才是应用之道
· 赛门铁克第八期《互联网安全威胁报告》解析
· 抢食“数字工商” 国产中间件杀出血路
· 从IBM等操作系统的发展看软件创新的启示
· 服务成就蓝色快车 品牌是怎样炼成的?
· 三大技术应用大会合为一体甲骨文上演三重奏
· 南阳教育城域网 拆掉学校间的“围墙”
· 金算盘助申意美步入信息化快车道
· 不为人知的索尼信息化 谁是幕后英雄?
· InforBus/Q在穗高速路联网收费系统中的应用
· J2EE构建最新金融理念和运作模式的网上银行
· 食品安全令人担心 信息化能否保驾护航
*姓  名: 更多资料 了解方案 认识厂商
*单位名称:
*联系电话:
*电子邮件:
    
◆ 相关文章   ◆ 站内热点推荐
· IIS5.0 的安全漏洞
· IIS的日志分析
· IIS的安全功能的配置过程
· 教你轻松安装IIS
· 如何安全配置IIS
· 网管员论坛
· 开发者之家
· WLAN无限未来
· 我是如何掉进C#的……
· 中国“人件”非正式调查

   
合作网站: IBM dW中国网站 LinuxAID 软件工程专家网 中国系统分析员 UMLChina MATRIX Mobile2008 JavaResearch 华储网 UML软件工程组织 中国JAVA手机网 JAVA中文站 金山在线 海量科技