第14节 IIS之FTP服务器——用于文件传输

0 引言

本节首先介绍了FTP服务器的相关概念、利用win2003自带IIS软件部署FTP服务器以及利用第三方软件部署FTP服务器。最后还讲解了FTP的主动和被动工作模式的工作原理以及防火墙设置对FTP访问的影响。

1 概述

（1）FTP：File Transfor Protocol，文件传输协议。
（2）FTP服务器常用发布软件:微软IIS、server_u
（3）端口号:TCP20和TCP21.
（4）FTP工作模式

• 主动模式：当FTP服务开启时，TCP21端口号开启，该端口号称为控制端口。 TCP20端口号在数据传输过程中开启，称为数据端口。
• 被动模式：TCP21控制端口+随机端口号作为数据传输端口。

（5）服务器端：win2003、win2008等自带IIS服务器软件，winXP、win7等需要安装其他ftp服务端软件。 默认站点：“C:\inetpub\ftproot”.

2 部署FTP服务器

2.1 利用IIS部署FTP服务器—以win2003为例

该方法的优点是稳定性高，适用于生产环境中，不过部署稍微麻烦。
（1）配置静态IP地址。
（2）安装IIS-FTP软件。打开我的电脑→打开运行光驱→安装可选的windows组件→双击打开应用程序服务器→双击打开Internet（信息服务IIS）→勾选FTP服务，确定。（万维网是上节学习内容）

（3）开始→管理工具→Internet（信息服务IIS）。软件安装完成后自带默认网站，默认网站的路径为C:\inetpub\ftproot.

（4）在win2003中，新建一个文件夹，命名为FTP，该文件夹下新建三个子文件夹，一个命名为“作业上传”，一个命名为“笔记”，一个命名为“software"。
（5）新建一个FTP站点(可删除或停用默认站点）。右键FTP站点→新建→站点→命名（FTP不同于万维网，一般没有域名）→输入FTP站点使用的IP地址→一般选择不隔离用户→指定FTP站点主目录（FTP内容子目录的根目录,此实验可选上一步建立得FTP文件）→设置FTP权限。


（6）右键该站点→属性→取消匿名访问。

（7）新建两个用户，方便设置权限。cmd输入net user a 1 /add ,net user admin 1 /add。其中a对”笔记“和“software"文件夹只具有下载权限，对“作业上传”文件夹只具有上传权限，admin对这三个文件夹具有完全控制权。分别给这三个文件夹设置ntfs权限，可参考《第9节 NTFS安全权限—给文件/文件夹设权限》。
（8）在客户机winxp访问FTP服务器，可以在浏览器输入ftp://10.1.1.1，或在文件管理器的地址栏输入该命令。用a用户登录，对这三个文件夹都进行下载与写入操作，验证权限设置是否符合要求。

（9）在客户机登录的FTP文件夹页面，可以右键→登录→更换用户。用admin用户登录，对这三个文件夹都进行下载、写入和删除操作，验证权限设置是否符合要求。

2.2 利用第三方ftpserver软件进行文件传输

（1）利用第三方ftpserver软件文件传输。优点：设置用户和权限独立于系统本身，方便控制。缺点：不能同时提供太多人访问，不如上述IIS来得稳定，不适用与生产环境。

2.3 利用serv_U部署FTP服务器—以win2008为例

稳定性比较高，适用于生产环境中。
目标：在win8系统中采用serv_U部署FTP服务器，要求对AB两班学员提供服务器，文件夹A对应A班，B对应B班，各文件下设有子文件笔记（下载）、software（下载）、作业（上传），另外与AB文件夹平行的有共享文件夹，要求该文件夹可以被AB两班的学员下载。
（1）将利用IIS安装好的FTP服务器中的站点删除或停止。（TCP21端口号关闭，否则等下安装serv_U时尝试打开TCP21端口号会失败）
（2）安装serv_U。
（3）按提示设置域信息，包括IP、开启服务类型等。设置可用参考《Serv-U 15 虚拟路径详解》

（5）设置用户信息。针对每一个用户均需设置对应的访问目录及权限等。

（6）将FTP-A的平行文件夹ISO映射到FTP-A文件夹内（失败，暂时未找明原因）。该文件夹ISO位于FTP-A文件夹外，即不在用户a的访问范围内，需要创建虚拟路径，将文件夹ISO映射到FTP-A文件夹内。创建虚拟路径后，将ISO的物理地址所在的文件夹添加到a用户的目录访问中。

3 FTP服务器工作原理

采用哪种工作模式的选择权在客户机，在访问服务器时已确定；而在数据传输过程中看服务器是主动拨号还是被动拨号来确定是采用哪种工作模式。若服务器主动向客户机拨号，待客户机确认后再向客户机传输数据，属于主动模式；若由客户机向服务器拨号，服务器确认后向客户机传输数据，属于被动模式。（主被动模式阐述的是数据传输过程。主被动模式，选择权在客户机上。主被动模式，所谓主或被是站在服务器的角度。）

3.1 主动模式（活动模式）

控制过程中，客户机首先生成一个1024以上的随机端口号，并以随机端口号主动访问服务器TCP21端口，访问服务器时客户机就确定采用主动模式；数据传输过程中，服务器开启的TCP20端口号主动向客户机拨号，待客户机确认后再向客户机生成的另一个随机端口号传输数据，具体流程如下：

3.2 被动模式

控制过程中，客户机首先生成一个1024以上的随机端口号，并以随机端口号主动访问服务器TCP21端口，访问服务器时客户机就确定采用被动模式；数据传输过程中，客户机生成的另一个随机端口号主动向服务器开启的随机端口号拨号，服务器确认后向客户机传输数据，具体流程如下：

3.3 FTP传输中防火墙对选择工作模式的影响

• 防火墙可以设置允许固定端口号开放，而随机端口号不开放。
• 当客户机启用防火墙时 ，若采用主动模式，服务器向客户机随机端口号拨号时被阻止，无法建立数据传输通道，而若服务器向客户机随机端口号回包的话，则不会被阻止。
• 当服务器启用防火墙时 ，若采用被动模式，客户机向服务器随机端口号拨号时被阻止，无法建立数据传输通道。
• 由于客户机自己可以控制，因此若服务器没开防火墙，采用哪种模式都可以，不过采用主动模式时，客户机需要关闭防火墙，若服务器开了防火墙，则只能采用主动模式。

3.4 服务器设置防火墙对部分端口号开放—以win2003为例

（1）开始→控制面板→防火墙
（2）设置启用。

（3）点击“例外”，选择添加端口，设置对对TCP21、TCP20进行开放，名称可以自己起。注意，设置后客户机只能采用主动模式访问服务器。

（4）采用ftp客户端先尝试用被动模式访问服务器，访问失败。


（5）采用ftp客户端改为采用主动模式访问服务器，数据传输成功，由数据列表。

4 练习

（1）使用IIS实现FTP服务器（其中a用户对”笔记“和“software"文件夹只具有下载权限，对“作业上传”文件夹只具有上传权限，admin用户对这三个文件夹具有完全控制权）的访问效果。

参考文献

[1] IIS之FTP服务器——以win2003为例
[2] FTP服务器的原理