Microsoft ISA Server 2006 — публикация защищенного FTP-сервера (FTPS) с помощью Windows Server 2008

Опубликовано: 9 Апреля, 2023

Начнем…

Публикация службы FTP с помощью ISA Server 2006 очень проста. В ISA Server есть встроенный мастер для публикации FTP-сервера, но как насчет безопасности? FTP — очень небезопасный протокол, который передает данные без шифрования, поэтому использование этого протокола может быть опасным. Лучше использовать протокол FTPS (FTP через SSL), который обеспечивает шифрование протокола для передаваемых данных. Настройка ISA Server 2006 для публикации на FTP немного сложнее, потому что вам нужно вручную создать определение протокола для FTPS и диапазон портов, используемых для соединения FTPS.


Получите вашу копию «Microsoft ISA Server 2006 — Das Handbuch» на немецком языке.

Начнем с настройки правила публикации ISA Server 2006. Запустите MMC ISA Server 2006, перейдите к узлу политики брандмауэра и создайте новое правило публикации сервера.

Вы должны дать правилу имя, например, FTPS-сервер.


Рисунок 1: Имя правила протокола FTPS

Введите IP-адрес FTP-сервера, который вы хотите опубликовать. Опубликованный FTP-сервер должен быть клиентом Secure NAT.



Рисунок 2: IP-адрес сервера для публикации

Поскольку ISA Server 2006 не имеет встроенного определения протокола для необходимого протокола FTPS, мы должны создать определение протокола вручную. Нам нужно определение протокола для стандартного порта протокола FTP и диапазон портов для FTP-соединения, который должен совпадать с диапазоном портов, настроенным в настройках поддержки протокола брандмауэра на FTP-сервере.


Рисунок 3: Выбор протокола

Нажмите «Создать», чтобы создать требуемое определение протокола, и присвойте новому определению протокола имя.


Рисунок 4: определение нового протокола FTPS

Тип протокола — FTP, направление — входящее, определение порта — от 21 до 21.


Рисунок 5: Диапазон портов протокола FTPS

В качестве второго диапазона протоколов введите тот же диапазон IP-адресов для диапазона портов, указанного в свойствах брандмауэра конфигурации FTP-сервера.


Рисунок 6: Полное определение протокола

Вам не нужно указывать вторичное соединение.

Укажите Прослушиватель для сети, в которой ISA Server 2006 должен прослушивать FTP-трафик. Обычно это определение внешней сети. Если к внешнему сетевому интерфейсу привязано более одного IP-адреса, вы должны явно ввести IP-адрес, на котором ISA Server должен прослушивать трафик.


Рисунок 7: Выберите прослушиватель ISA Server

Нажмите «Далее», затем «Готово» и «Применить».

Важный:
 FTP-фильтр не обязательно должен быть включен для нового определения протокола FTPS, поэтому вы должны убедиться, что эта опция не отмечена в определении протокола.

После того, как мы завершили все настройки на сайте ISA Server, пришло время настроить часть FTP-сервера для конфигурации брандмауэра.

Я уже предполагаю, что вы настроили необходимые части FTP-сервера, два из которых используют протокол FTPS. Для получения дополнительной информации о том, как настроить FTPS на FTP-сервере, я даю вам ссылку в конце этой статьи.

Пожалуйста, обрати внимание:
 Если вы используете Windows Server 2008, вам необходимо вручную загрузить и установить службу Microsoft FTP со следующего веб-сайта: http://www.iis.net. Встроенная служба FTP в стандартной установке Windows Server 2008 поставляется почти с 7

Windows Server 2008 R2 поставляется с правильной версией FTP-сервера, которая встроена в конфигурацию ролей диспетчера сервера Windows Server 2008 R2, как показано на следующем снимке экрана.


Рисунок 8: Установка службы FTP

Поскольку мы хотим использовать FTPS (FTP через SSL) на нашем FTP-сервере, мы должны указать диапазон портов для канала данных FTP. Диапазон портов, который вы вводите здесь, должен совпадать с вашим определением протокола на сайте ISA Server. Вы также должны указать внешний IP-адрес брандмауэра, который обычно является IP-адресом брандмауэра, напрямую подключенного к Интернету. Щелкните Применить, чтобы активировать новые параметры конфигурации в конфигурации IIS.


Рисунок 9: Поддержка брандмауэра FTP

Теперь вы должны быть в состоянии подключиться из Интернета к вашему внутреннему серверу FTPS через ISA Server 2006 с помощью вашего любимого клиентского приложения FTP, которое поддерживает FTP через SSL (FTPS). Если ваше подключение не удалось, сначала дважды проверьте параметры подключения FTP-клиента с конфигурацией FTP в IIS, и если безопасное FTP-соединение по-прежнему невозможно, вам следует посмотреть в мониторинге ISA Server 2006 в реальном времени, чтобы увидеть, не блокируется ли что-то.

Вывод

В этой статье я попытался показать вам, как безопасно опубликовать FTP-сервер, работающий на Windows Server 2008, с помощью ISA Server 2006. ISA Server 2006 имеет встроенные возможности для публикации FTP-сервера, но по умолчанию нет мастеров для публикации более безопасных FTPS. протокол. Чтобы опубликовать Microsoft FTPS-сервер, вам необходимо настроить некоторые дополнительные параметры на Windows Server 2008 и некоторые параметры на сайте ISA Server 2006.

Ссылки по теме

  • Публикация FTP-сервера на ISA
  • Ресурсы IIS от Microsoft
  • Публикация FTP-сервера на ISA Server 2004
  • Служба FTP для Windows Server 2008
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023