架设【jià shè】FTP服务器【fú wù qì】，一向是【yī xiàng shì】😣把安全放在首位🍩，特别是【tè bié shì】利用IIS之类工具建立起来的【de】➡FTP服务器【fú wù qì】更是如🖤此。如果设置不当🌙遭受到📥恶意攻击【jī】🅾，那造成整个服【zhěng gè fú】🐔务器系统崩溃也绝不是危言【shì wēi yán】耸听的【de】💇! 因此【yīn cǐ】💬，采取合理【lǐ】、周全的【de】💇安全管【ān quán guǎn】理【lǐ】是很有必要🚆的【de】💇。

我们就从IIS的安全说起。

IIS，从【cóng】🍾NT系统内核开始成为自【chéng wéi zì】🔈带的重【dài de chóng】要信息🙏发布载体【tǐ】🕣，但其不可避免的漏洞🐶也在不少的资🍐料里提及【jí】👛。IIS用作FTP服务器架设，主要是其简单【qí jiǎn dān】易懂的【yì dǒng de】设置赢得不少人青睐【rén qīng lài】;因此，要用好IIS，我们得从【cóng】🍾下面这些方😋面来考【miàn lái kǎo】🦏虑其安🔄全问题：

1.安装系【ān zhuāng xì】统补丁👫。微软网站经常在其官方网发🤦布最新的【de】🥃系统安全补丁【quán bǔ dīng】，大家可以用系【yǐ yòng xì】🐃统自带【tǒng zì dài】🌌的【de】🥃windows update程序随时更新。

2.FTP目录的设定。比较常见的就【jiàn de jiù】是将主目录指⚫定到逻😢辑盘⏯，再对每【zài duì měi】🛃个细目录按不【lù àn bú】同的用户设置【hù shè zhì】🏟不同的【bú tóng de】访问权限【xiàn】，并关闭【bìng guān bì】一些不🚴需要的服务，这可以对不良🥔人士利【rén shì lì】♟用IIS溢出漏【yì chū lòu】洞访问到系统盘作个第一级防护🈵。

3.尽量不【jìn liàng bú】要使用21这个默认端口【rèn duān kǒu】号👛，并启用【bìng qǐ yòng】📇日志🌻，以便🎢FTP服务出现异常时检查【shí jiǎn chá】。

另一款FTP架设软件Serv_U。

软件界【ruǎn jiàn jiè】🦔面如下🤽图所示。感觉此款软件【kuǎn ruǎn jiàn】在安全性方面🚋做得比较好，其设置也不易🌒出错，笔者用🐒过一段【guò yī duàn】时间感觉其速度也比【dù yě bǐ】🛍IIS要快得多【duō】。即使这【jí shǐ zhè】样🍁，同样【tóng yàng】🍁也应注意其正【yì qí zhèng】确的配置🍠：

1.有关域中服务器密码设定。

Serv_U提供了📑三种安全密码【quán mì mǎ】类📦型⛽：规则密💣码、OTPS/KEY MD4和📒OTPS/KEY MD5，不言而【bú yán ér】🏌喻【yù】，规则密💣码的安全性是最低的【zuì dī de】。一般我们设置【men shè zhì】好了有【hǎo le yǒu】管理权🍧限的账【xiàn de zhàng】户后，再在“常规”选项卡下打开📈“密码类📦型⛽”下拉框【xià lā kuàng】，从中选【cóng zhōng xuǎn】🌄择后两种类型⛽相对要【xiàng duì yào】安全得🕦多。

2.选中⛪“拦截【lán jié】FTP_bounce攻击【gōng jī】和FXP”。FXP也称跨【yě chēng kuà】服务器🔤攻击【gōng jī】，简单的🥃说：

当恶意用户通【yòng hù tōng】〽过在PORT命令中加入特【jiā rù tè】定的地址信息【zhǐ xìn xī】🙈，会使FTP服务器【fú wù qì】🦈与其它【yǔ qí tā】💣非客户【fēi kè hù】端的机器建立连接⛴，而如果FTP服务器【fú wù qì】🦈有权访问那些非客户【fēi kè hù】端的电【duān de diàn】脑时，那就可【nà jiù kě】🍽以通过FTP服务器【fú wù qì】🦈这个【zhè gè】🐮“中介机构”，实现与目标服【mù biāo fú】🗳务器的连接⛴!

3.跟🙊IIS一样，最好也【zuì hǎo yě】将主目🏸录移到其它分【qí tā fèn】🕎区【qū】，同时在👯为用户设置权👜限时最【xiàn shí zuì】好先设🐜低点，等需要【děng xū yào】时再设定写入、修改等权限【quán xiàn】;并将服务日志🌕以文件形式保存，以便日【yǐ biàn rì】后查阅【hòu chá yuè】🎢。

说了架设软件，再来说操作系统本身。

考虑到FTP服务器【fú wù qì】的安全🆎性，所以最【suǒ yǐ zuì】好是采【hǎo shì cǎi】🥦用🤝Win2000服务器【fú wù qì】版【bǎn】、winxp或是Windows2003企业版【qǐ yè bǎn】🐉，并注意随时下载安全补丁升🐁级。

1.可以用系统自👗带的【dài de】📘“Internet连接防【lián jiē fáng】火墙”功能进【gōng néng jìn】行安全设置🐰。打开📖“本地连【běn dì lián】接”属性对话框🏁，进入【rù】“高级🐢”选项卡【xuǎn xiàng kǎ】，将【jiāng】“通过限🐆制或阻止来自🌧Internet的【de】对此🍨计算机的访问【de fǎng wèn】来保护我的【de】计算机和【suàn jī hé】💝网络【wǎng luò】”打勾;然后点【rán hòu diǎn】右下角🎴的【de】“设置🐰”按钮进【àn niǔ jìn】入【rù】“高级设【gāo jí shè】🌘置”，选中“FTP服务器”再点编📮辑🤶，如图所示【shì】，除了【chú le】IP地址一🥓栏外🕎，其余选项都不能更改【néng gèng gǎi】🍿。如果你【rú guǒ nǐ】预先设置🐰的【de】FTP服务器端口不🤰是其默认的【de】21，请返回💥上一步在🚙“服务”选项卡【xuǎn xiàng kǎ】下方点【xià fāng diǎn】“添加🎷”，输入服【shū rù fú】务器名称和【chēng hé】💼IP地址，并将【jiāng】外部内部端口号填入【rù】你的【de】预设值即可【zhí jí kě】。

2.“TCP/IP筛选【shāi xuǎn】”功能。依次进入🏊“本地连📡接【jiē】”---“常规【cháng guī】🅰”---“Internet协议(TCP/IP)”，然后双🏪击打开，再点“高级”按钮【àn niǔ】，切换到“选项⚾”即可开【jí kě kāi】始设置🖥。如下图所示♋，这里我🐴们可以【men kě yǐ】设置系【shè zhì xì】🏵统只允【tǒng zhī yǔn】许开放的端口【de duān kǒu】，这种筛选【shāi xuǎn】设置可以有【kě yǐ yǒu】🍁效防止最常见的如😃139端口【duān kǒu】的入侵🛑，但该方💙法缺点【fǎ quē diǎn】同样明显🎑：功能过于简单，只能设【zhī néng shè】置允许开放的端口【de duān kǒu】，不能自定义要【dìng yì yào】关闭的端口【de duān kǒu】，如需开🕛放多个【fàng duō gè】端口还【duān kǒu hái】🖲要一一手工添加✂，比较麻【bǐ jiào má】烦。

服务器安全是【ān quán shì】🛎个永远也说不完的话题，关键还是要大家在实际管理中多多👪总结经【zǒng jié jīng】验⏳，不断累积🔦。通过以【tōng guò yǐ】上的基【shàng de jī】本管理【běn guǎn lǐ】🌡设置后，你的💂FTP应该具🥐备了一✡定的安【dìng de ān】全保障【quán bǎo zhàng】，可以放【kě yǐ fàng】心的投【xīn de tóu】入使用了🥕!