实验五FTP服务的配置Word文件下载.docx

实验五FTP服务的配置Word文件下载.docx

《实验五FTP服务的配置Word文件下载.docx》由会员分享，可在线阅读，更多相关《实验五FTP服务的配置Word文件下载.docx（24页珍藏版）》请在冰豆网上搜索。

设置“安全帐号”：

默认的，匿名用户（Anonymous）被允许登录，如果有必要，此处可选拒绝其登录以增加安全性；

或增加其他用于管理此FTP服务器的用户名（默认的为“Administator”）。

设置“目录安全性”：

此处可以设置只被允许或只被拒绝登录此FTP服务器的的计算机的IP地址。

如需要，也可在“默认FTP站点”处单击右键选“新建”来新建FTP的虚拟目录。

配置完成后可测试FTP服务器是否设置成功，在浏览器中登录：

格式为“ftp:

//”或“ftp:

//用户名@”。

如果匿名用户被允许登录，则第一种格式就会使用匿名登录的方式；

如果匿名不被允许，则会弹出登陆窗口，供输入用户名和密码。

第二种格式可以直接指定用某个用户名进行登录。

在DOS下登录：

格式为“ftp”或“ftp210.37.33.240”如下图所示：

如果“主目录”下有与用户同名的“虚拟目录”或“实际目录”，则该用户会直接登录到其同名目录中。

3、FTP服务器的安全

Windows2000的FTP服务器作为IIS5的一部份，可以作为单独服务安装，管理十分灵活。

利用服务器的其他的一些资源，管理员可以将FTP服务器配置得更加安全。

在这里将介绍10种可行的方法来使windows2000的FTP服务器更加安全。

有一些是相当简单的，而另外一些很有创造性。

此外，添加诸如VPNs或SSH等服务，可以使密码在一个安全的通道中传输。

1）禁止匿名登陆

　　在Windows2000中，最初安置的FTP服务默认是允许匿名登陆的。

它是一种可以让没有用户帐户的人登陆FTP服务器的方法。

匿名登陆有可能很有效地为用户服务，但有时候允许匿名访问会导致站点被利用来传送非法文件和受著作权保护的材料。

取消匿名登陆，这样你的站点就只能由被预定义的用户帐号才能登陆。

配置被定义在FTP主目录的ACLs[访问控制列表]来进行访问控制，并使用NTFS许可证。

取消站点的匿名访问，在FTP站点的属性中的“安全帐户”中清除“允许匿名访问”

2）设置访问日志

通过访问日志，可以准确的得到哪些IP地址和用户访问了您的站点的一个准确纪录。

定期维护日志能使您估计您的站点访问量和找出所有的安全威胁和漏洞。

使用访问日志，点击FTP站点栏的“允许使用日志”。

根据你所选择的格式就可创建日志，便于日后分析访问量和进行访问控制。

3）强化访问控制列表

采用NTFS访问许可，运用ACL（访问控制列表）控制对FTP目录的的访问。

FTP目录不应该让everyone组有充分的权限因为这将限制您控制user组访问FTP站点的能力。

4）设置站点为不可视

如果只需要用户传送文件到服务器而不是从服务器下载文件，可以考虑配置FTP站点为不可视。

这意味着用户被允许从FTP目录写入文件没有能力读取。

这样可以阻止未授权用户访问你的站点。

要配置你的站点为不可视，应当在“站点”和“主目录”设置访问许可。

上图展示了怎么取消读出权限，可以在站点属性的“主目录”里找到。

5）使用磁盘配额

使用Windows2000来限制磁盘配额是一件很轻松的事情。

磁盘配额可有效地限制每个用户所使用的磁盘空间。

授予用户对自己上传的文件的完全控制权，一个最坏的情况就是是文件被无限制的传送而撑爆FTP站点。

这可能给磁盘上的其它独立于FTP站点的服务带来严重的后果。

使用磁盘配额可以检查用户是否超出了使用空间，限制用户能拥有的磁盘空间，能有效地限制FTP站点被攻破所带来的破坏。

可以在NTFS分区的磁盘的属性的“磁盘配额”栏开启磁盘配额管理，在NTFS分区可以对磁盘配额的用途进行限制。

此外，配额只能定义到每一个用户，而无法被分配到小组。

可以为每一个帐户设置磁盘配额。

极限应该定为用于FTP登陆。

6）使用访问时间限制

Windows2000访问时间限制是从nt4.0继承而来。

这个选项限制用户只能在指定的日期的时间内才能登陆访问站点。

这可以限制在唯一被批准的时间才能访问服务器。

如果你的站点实在企业环境中使用，你可以限制只有在工作时间才能访问服务请。

下班以后就禁止登陆，您可以关闭服务器以保障安全。

可以在活动目录用户和用户属性页下找到登陆时间设置。

本地用户帐号无法通过地方用户和小组控制台来配置登陆时间。

7）基于IP策略的访问控制

Windows2000的FTP可以限制具体IP地址的访问。

限制只能由特定的个体才能访问站点，可以大大地减少未批准者登陆访问的危险。

在站点属性页的目录安全栏可设定可以访问FTP的IP。

确定选择默认禁止访问复选框，在列表框列出信任的IP地址。

8）审计登陆事件

审计帐户登陆事件，能在安全日志察看器里查看企图登陆站点的（成功/失败）事件。

经常查看日志可使您警觉一名恶意用户设法入侵的可疑活动。

它也作为历史记录用于站点入侵检测。

可打开本地安全策略配置工具打开审计帐户登陆事件。

使用活动目录，也可使用组政策配置帐户访问日志。

9）使用安全密码策略

使用复杂的密码是采用终端用户认证的安全方式，是巩固站点安全的一个关键的部分。

Windows2000允许管理员强迫用户服从安全密码要求。

在本地安全政策或组政策的”密码必须符合复杂性要求”，FTP用户帐号选择他们的密码的时候必须遵守以下制约:

◆确定不包含用户帐号名字的全部或部份

◆必须是至少6个字符长

◆包含字符从3以下4个类别:

◆英文大写体字符（A-Z）

✧英文小写字母（a-z）

✧数字（0至9）

✧非字母数字的字符（e.g。

!

，$，#，%）

使用本地安全政策配置工具来配置保证密码必须符合复杂性要求。

使用活动目录时，可使用组政策配置“密码必须符合复杂性要求”。

由这个选择和配置权限，管理员能限制脆弱密码的暴露。

10）帐户锁定和锁定门限

FTP帐户经常成为密码破解者用密码字典进行破解的目标。

Windows2000安全策略允许管理员当帐户在规定的次数内未登入的情况下将帐户锁定。

可使用本地安全政策配置工具配置帐户锁定时间和门限选择。

使用活动目录，'

帐号锁定策略“可使用组政策配置”。

四、实验内容

1、使用IIS建立一个FTP站点，IP地址为210.37.33.200，将E:

\myftp文件夹作为站点的主目录，添加消息（欢迎信息、退出和最大连接数信息）。

2、根据IP访问策略设置只允许210.37.33.0的网络用户访问。

3、为用户：

student建立一个虚拟目录，使student用户登陆后直接进入自己的文件夹，并具有写的权限。

五、实验报告要求

1、记录FTP站点的各项参数。

2、记录测试FTP站点参数的结果。

3、记录哪些安全设置方法能够配置成功，哪些配置失败，分析配置失败的原因原因。

属性

FTP命令详解

　　FTP命令是Internet用户使用最频繁的命令之一，不论是在DOS还是UNIX操作系统下使用FTP，都会遇到大量的FTP内部命令。

熟悉并灵活应用FTP的内部命令，可以大大方便使用者，并收到事半功倍之效。

　　FTP的命令行格式为：

ftp-v-d-i-n-g[主机名]，其中

　　-v显示远程服务器的所有响应信息；

　　-n限制ftp的自动登录，即不使用；

　　.netrc文件；

　　-d使用调试方式；

　　-g取消全局文件名。

　　ftp使用的内部命令如下（中括号表示可选项）:

　　1.!

[cmd[args]]：

在本地机中执行交互shell，exit回到ftp环境，如：

!

ls*.zip.

　　2.$macro-ame[args]：

执行宏定义macro-name.

　　3.account[password]：

提供登录远程系统成功后访问系统资源所需的补充口令。

　　4.appendlocal-file[remote-file]：

将本地文件追加到远程系统主机，若未指定远程系统文件名，则使用本地文件名。

　　5.ascii：

使用ascii类型传输方式。

　　6.bell：

每个命令执行完毕后计算机响铃一次。

　　7.bin：

使用二进制文件传输方式。

　　8.bye：

退出ftp会话过程。

　　9.case：

在使用mget时，将远程主机文件名中的大写转为小写字母。

　　10.cdremote-dir：

进入远程主机目录。

　　11.cdup：

进入远程主机目录的父目录。

　　12.chmodmodefile-name：

将远程主机文件file-name的存取方式设置为mode，如：

chmod777a.out。

　　13.close：

中断与远程服务器的ftp会话（与open对应）。

　　14.cr：

使用asscii方式传输文件时，将回车换行转换为回行。

　　15.deleteremote-file：

删除远程主机文件。

　　16.debug[debug-value]：

设置调试方式，显示发送至远程主机的每条命令，如：

debup3，若设为0，表示取消debug。

　　17.dir[remote-dir][local-file]：

显示远程主机目录，并将结果存入本地文件local-file。

　　18.disconnection：

同close。

　　19.formformat：

将文件传输方式设置为format，缺省为file方式。

　　20.getremote-file[local-file]：

将远程主机的文件remote-file传至本地硬盘的local-file。

　　21.glob：

设置mdelete，mget，mput的文件名扩展，缺省时不扩展文件名，同命令行的-g参数。

　　22.hash：

每传输1024字节，显示一个hash符号（#）。

　　23.help[cmd]：

显示ftp内部命令cmd的帮助信息，如：

helpget。

　　24.idle[seconds]：

将远程服务器的休眠计时器设为[seconds]秒。

　　25.image：

设置二进制传输方式（同binary）。

　　26.lcd[dir]：

将本地工作目录切换至dir。

　　27.ls[remote-dir][local-file]：

显示远程目录remote-dir，并存入本地文件local-file。

　　28.macdefmacro-name：

定义一个宏，遇到macdef下的空行时，宏定义结束。

　　29.mdelete[remote-file]：

　　30.mdirremote-fileslocal-file：

与dir类似，但可指定多个远程文件，如：

mdir*.o.*.zipoutfile

　　31.mgetremote-files：

传输多个远程文件。

　　32.mkdirdir-name：

在远程主机中建一目录。

　　33.mlsremote-filelocal-file：

同nlist，但可指定多个文件名。

　　34.mode[modename]：

将文件传输方式设置为modename，缺省为stream方式。

　　35.modtimefile-name：

显示远程主机文件的最后修改时间。

　　36.mputlocal-file：

将多个文件传输至远程主机。

　　37.newerfile-name：

如果远程机中file-name的修改时间比本地硬盘同名文件的时间更近，则重传该文件。

　　38.nlist[remote-dir][local-file]：

显示远程主机目录的文件清单，并存入本地硬盘的local-file。

　　39.nmap[inpatternoutpattern]：

设置文件名映射机制，使得文件传输时，文件中的某些字符相互转换，如：

nmap$1.$2.$3[$1，$2].[$2，$3]，则传输文件a1.a2.a3时，文件名变为a1，a2。

该命令特别适用于远程主机为非UNIX机的情况。

　　40.ntrans[inchars[outchars]]：

设置文件名字符的翻译机制，如ntrans1R，则文件名LLL将变为RRR。

　　41.openhost[port]：

建立指定ftp服务器连接，可指定连接端口。

　　42.passive：

进入被动传输方式。

　　43.prompt：

设置多个文件传输时的交互提示。

　　44.proxyftp-cmd：

在次要控制连接中，执行一条ftp命令，该命令允许连接两个ftp服务器，以在两个服务器间传输文件。

第一条ftp命令必须为open，以首先建立两个服务器间的连接。

　　45.putlocal-file[remote-file]：

将本地文件local-file传送至远程主机。

　　46.pwd：

显示远程主机的当前工作目录。

　　47.quit：

同bye，退出ftp会话。

　　48.quotearg1，arg2...：

将参数逐字发至远程ftp服务器，如：

quotesyst.

　　49.recvremote-file[local-file]：

同get。

　　50.regetremote-file[local-file]：

类似于get，但若local-file存在，则从上次传输中断处续传。

　　51.rhelp[cmd-name]：

请求获得远程主机的帮助。

　　52.rstatus[file-name]：

若未指定文件名，则显示远程主机的状态，否则显示文件状态。

　　53.rename[from][to]：

更改远程主机文件名。

　　54.reset：

清除回答队列。

　　55.restartmarker：

从指定的标志marker处，重新开始get或put，如：

restart130。

　　56.rmdirdir-name：

删除远程主机目录。

　　57.runique：

设置文件名唯一性存储，若文件存在，则在原文件后加后缀..1，.2等。

　　58.sendlocal-file[remote-file]：

同put。

　　59.sendport：

设置PORT命令的使用。

　　60.sitearg1，arg2...：

将参数作为SITE命令逐字发送至远程ftp主机。

　　61.sizefile-name：

显示远程主机文件大小，如：

siteidle7200。

　　62.status：

显示当前ftp状态。

　　63.struct[struct-name]：

将文件传输结构设置为struct-name，缺省时使用stream结构。

　　64.sunique：

将远程主机文件名存储设置为唯一（与runique对应）。

　　65.system：

显示远程主机的操作系统类型。

　　66.tenex：

将文件传输类型设置为TENEX机的所需的类型。

　　67.tick：

设置传输时的字节计数器。

　　68.trace：

设置包跟踪。

　　69.type[type-name]：

设置文件传输类型为type-name，缺省为ascii，如：

typebinary，设置二进制传输方式。

　　70.umask[newmask]：

将远程服务器的缺省umask设置为newmask，如：

umask3。

　　71.useruser-name[password][account]：

向远程主机表明自己的身份，需要口令时，必须输入口令，如：

useranonymousmy@email。

　　72.verbose：

同命令行的-v参数，即设置详尽报告方式，ftp服务器的所有响应都将显示给用户，缺省为on.

　　73.?

[cmd]：

同help。