实验2 FTP安全配置实验.doc

FTP安全配置实验(SEC-W03-005.1)Windows 2003 + iis 6.0+FTP安全配置 实验目的架设FTP服务器，一向是把安全放在首位，特别是利用IIS之类工具建立起来的FTP服务器更是如此。如果设置不当遭受到恶意攻击，那造成整个服务器系统崩溃也绝不是危言耸听的! 因此，采取合理、周全的安全管理是很有必要的。在完成这个实验后，将能够： 了解Widows2003和IIS6.0以及ftp服务器 配置一台安全的ftp服务器 实验拓扑 实验准备： 一 台win2003的FTP服务器，IP地址为7；一台winxp客户机，IP地址为8 那台win2003的FTP服务器，超级管理员登陆密码为123456实验步骤FTP主要工作原理 FTP是基于客户端/服务器方式来提供文件传输服务的。一个FTP服务器进程可同时为多个客户进程提供服务，即用户所在的一方是客户方，客户方翻译用户发出的命令，向提供FTP服务的文件服务器传送适当的请求。服务器端则一直运行着ftpd守护程序，遵循TCP协议，服务进程ftpd在指定的通信端口监听客户发来的FTP请求，当ftpd确认该用户为合法时，就开始为其客户进程提供文件传输服务了。因此FTP协议在客户和服务器之间通过TCP来建立连接，并利用TCP提供的可靠传输在不同的站点间传输文件。当FTP客户与FTP服务器进行会话时，FTP建立了两个连接，一个是控制连接，一个是数据连接，如图1-1所示： 图1-1 在一个FTP会话中需建立一个控制连接和若干个数据连接。控制连接是执行ftp命令时由客户建立的通向FTP服务器的连接，该连接只能用来传送FTP执行的内部命令以及命令的响应等控制信息而非数据，数据连接是为在服务器与客户端，或两个ftp服务器之间传输文件（即FTP代理传输方式）而建立的连接，该连接是全双工的，允许同时进行双向数据的传输。一旦数据传输结束，就撤消数据连接，再回到交互会话状态，直到客户撤消控制连接，并退出FTP会话为止。 实验开始 步骤说明： 了解FTP工作原理及配置安全的FTP服务器 服务器（win2003）： 设置IP地址为7 选择控制面板下的添加/删除程序---添加/删除windows组件对话框中的应用程序服务器---Internet 信息服务---文件传输协议(FTP)服务。 右击我的电脑，选择管理，选择本地用户和组---用户---administrator,设置其密码为123456 4．右击我的电脑，选择属性---远程选项卡，勾选远程桌面下的允许用户远程连接到这台计算机。（开启了3389端口，通过netstat –an 可以查看） 客户机(win xp)：设置其IP地址为8 1.开始---运行， 输入mstsc.exe，运行远程桌面客户端程序，输入服务器IP地址，点击Connect连接按钮，如下图1-2所示： 图1-2 2.建立FTP用户。按照常理来设置或者用Serv_U来设置的话，多少个Web站点，应该用多少个FTP站点与之相对应，如果这样的话，势必很繁琐，而且端口都不能一致（ftp默认端口为21)，因为如此，我们只建了一个FTP站点（上图中的“用户FTP”）来实现不同虚拟主机用户FTP访问的。具体做法如下： 2.1：建立FTP用户（即系统用户），可以到计算机管理中添加用户，我这里以命令的形式直接添加，建立两个用户test1，test2,密码123456，单击桌面开始-运行-输入cmd，如图1-3 图1-3 2.2：在C盘（根据个人的需要来设置，我这里直接以C盘来做说明）建立LocalUser文件夹，在其中建立两个站点文件夹test1，test2，C盘与test1，test2的权限设置为：C:\LocalUser\test1 test1 完全控制C:\LocalUser\test2 test2 完全控制单击开始，运行-输入CMD输入以下代码设置:C:\cd \ Mkdir LocalUser Cd LocalUser Mkdir test1 Mkdir test2 Cacls C:\LocalUser\test1 /t /e /c /g test1:F //test1用户对test1文件夹有完全权限 Cacls C:\LocalUser\test2 /t /e /c /g test2:F //test1用户对test2文件夹有完全权限 如图1-4 图1-4 3.接着建立FTP站点，在建之前，先讲一下第2步的目的是什么？在第2步中使用LocalUser的目的其实就是为了FTP隔离用户（FTP用户名必须与站点目录名称要一致）而使用的， 使用隔离用户，就不需要为每一个Web站点单独建上一个FTP站点了。 还有，选择FTP站点主目录的时候一定要选择LocalUse