Serv-u相关的防火墙设置.docVIP

Serv-u相关的防火墙设置 三、Serv-u相关的防火墙设置： 　　 　　 关于防火墙的处理最常见的一个难题是主动FTP与被动FTP的区别以及如何配置防火墙并完美地支持它们。很多管理员可能都发现，在开了防火墙的服务器上利用FTP传输总有这样那样的小问题，有时传输数据“不够流畅”。幸运地是，本文能够帮助你彻底搞清在防火墙环境中如何支持FTP这个问题上的烦恼。 　　 　　 FTP服务是仅基于TCP的服务，不支持UDP。 与众不同的是FTP使用2个端口，一个数据端口和一个命令端口（也可叫做控制端口）。通常来说这两个端口是命令端口（21）和数据端口（20）。但当我们发现根据（FTP工作）方式的不同数据端口并不总是20时，新的问题就出来了。 　　 　　主动FTP： 　　 　　 主动方式的FTP是这样的：客户端从一个任意的非特权端口N（N;1024）连接到FTP服务器的命令端口，也就是21端口。然后客户端开始监听端口N+1，并发送FTP命令“port N+ 1”到FTP服务器。接着服务器会从它自己的数据端口（20）连接到客户端指定的数据端口（N+1）。 　　 　　 针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP 　　 任何端口到FTP服务器的21端口 （客户端初始化的连接 S） 　　 FTP服务器的21端口到大于1023的端口（服务器响应客户端的控制端口 S-C） 　　 FTP服务器的20端口到大于1023的端口（服务器端初始化数据连接到客户端的数据端口 S-C） 　　 大于1023端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口 S） 　　 　　 主动方式FTP的主要问题实际上在于客户端。FTP的客户端并没有实际建立一个到服务器数据端口的连接，它只是简单的告诉服务器自己监听的端口号，服务器再回来连接客户端这个指定的端口。对于客户端的防火墙来说，这是从外部系统建立到内部客户端的连接，这是通常会被阻塞的。 　　 　　被动FTP 　　 　　 为了解决服务器发起到客户的连接的问题，人们开发了一种不同的FTP连接方式。这就是所谓的被动方式，或者叫做PASV，当客户端通知服务器它处于被动模式时才启用。在常用的FTP传输软件中也均有相关设置，例如FlashFXP的在选项-》参数设置-》代理里面就有相关选项。 　　 　　 　　 　　 在被动方式FTP中，命令连接和数据连接都由客户端，这样就可以解决从服务器到客户端的数据端口的入方向连接被防火墙过滤掉的问题。当开启一个FTP连接时，客户端打开两个任意的非特权本地端口（N ; 1024和N+1）。第一个端口连接服务器的21端口，但与主动方式的FTP不同，客户端不会提交PORT命令并允许服务器来回连它的数据端口，而是提交PASV命令。这样做的结果是服务器会开启一个任意的非特权端口（P ; 1024），并发送PORT P命令给客户端。然后客户端发起从本地端口N+1到服务器的端口P的连接用来传送数据。 　　 　　 对于服务器端的防火墙来说，必须允许下面的通讯才能支持被动方式的FTP: 　　 从任何端口到服务器的21端口 （客户端初始化的连接 S） 　　 服务器的21端口到任何大于1023的端口 （服务器响应到客户端的控制端口的连接 S-C） 　　 从任何端口到服务器的大于1023端口 （入；客户端初始化数据连接到服务器指定的任意端口 S） 　　 　　 服务器的大于1023端口到远程的大于1023的端口（出；服务器发送ACK响应和数据到客户端的数据端口 S-C） 　　 　　 　　下面简要总结一下主动与被动FTP优缺点： 　　 　　 主动FTP对FTP服务器的管理有利，但对客户端的管理不利。因为FTP服务器企图与客户端的高位随机端口建立连接，而这个端口很有可能被客户端的防火墙阻塞掉。被动FTP对FTP客户端的管理有利，但对服务器端的管理不利。因为客户端要与服务器端建立两个连接，其中一个连到一个高位随机端口，而这个端口很有可能被服务器端的防火墙阻塞掉。 　　 　　 幸运的是，有折衷的办法。既然FTP服务器的管理员需要他们的服务器有最多的客户连接，那么必须得支持被动FTP。我们可以通过为FTP服务器指定一个有限的端口范围来减小服务器高位端口的暴露。这样，不在这个范围的任何端口会被服务器的防火墙阻塞。虽然这没有消除所有针对服务器的危险，但它大大减少了危险。 　　 　　 在安装Serv-U并初次运行的时候，防火墙会提示提示是否允许Serv-U连接网络，这里我们选择允许。这样ServUDaemon.exe就在防火墙的信任的程序当中了。 　　 　　 再在防火墙中添加端口，注意如果你的FTP端口是默认的21，那么需要添加两个端口，21和20。如果你的FTP端口是1000，那么还要添