Публикация службы FTP при помощи ISA Server 2006 очень ординарна. ISA Server имеет встроенного мастера для публикации FTP сервера, но как на счет безопасности? FTP – это очень опасный протокол, который передает данные без шифрования, потому внедрение этого протокола может быть небезопасным. Более неплохим методом является внедрение FTPS (FTP over SSL) протокола, который обеспечивает шифрование передаваемых данных. Настройка ISA Server 2006 для FTP публикации мало труднее, так как вам нужно вручную создавать дефиницию протокола для FTPS и указывать спектр портов для FTPS подключений.
Давайте начнем с конфигурации правила публикации ISA Server 2006. Запускаем консоль ISA Server 2006 MMC, перебегаем в узел политики брандмауэра и создаем новое правило публикации сервера.
Необходимо задать этому правилу имя вроде FTPS-Server.
Набросок 1: Имя правила протокола FTPS
Введите IP адресок сервера FTP, который желаете опубликовать. Публикуемый FTP сервер должен быть клиентом Secure NAT.
Набросок 2: IP адреса публикуемого сервера
Так как ISA Server 2006 не имеет интегрированной дефиниции протокола, нужной для FTPS протокола, нам необходимо вручную сделать дефиницию протокола. Нам нужна дефиниция протокола для стандартного порта протокола FTP и спектр портов для FTP подключений, который должен быть этим же спектром, который настроен в параметрах поддерживаемых брандмауэром протоколов для FTP сервера.
Набросок 3: Выбор протокола
Жмем Новенькая (New) для сотворения нужной дефиниции протокола и задаем ей имя.
Набросок 4: Новенькая дефиниция протокола FTPS
Типом протокола будет FTP, направление будет Входящим (Inbound), а дефиниция портов будет с 21 по 21.
Набросок 5: Спектр портов протокола FTPS
В качестве второго спектра протокола вводим тот же IP спектр для спектра портов, который указан в свойствах брандмауэра для конфигурации FTP сервера.
Набросок 6: Полная дефиниция протокола
Не надо указывать дополнительное подключение.
Укажите приемник (Listener) для сети, на котором ISA Server 2006 будет слушать FTP трафик. Это, обычно, дефиниция наружной сети. Если интерфейсу Наружной сети присвоено более 1-го IP адреса, нужно очевидно указать IP адресок, на котором ISA Server будет слушать трафик.
Набросок 7: Выбор приемника ISA Server
Нажмите Дальше, потом Готово и Применить.
Примечание: FTP-Filter не надо включать для новейшей дефиниции FTPS протокола, потому удостоверьтесь, что эта функция не отмечена в дефиниции протокола.
После опции всех характеристик на веб-сайте ISA Server, необходимо настроить составляющие FTP сервера в конфигурации брандмауэра.
Я предполагаю, что вы уже настраивали нужные составляющие FTP сервера на внедрение FTPS протокола. Для дополнительной инфы о том, как настраивать FTPS на сервере FTP я предоставлю вам ссылки в конце статьи.
Пожалуйста, направьте внимание, что если вы используете Windows Server 2008, вам нужно вручную загрузить и установить Microsoft FTP службу со последующего интернет веб-сайта: http://www.iis.net/.
Windows Server 2008 R2 идет с правильной версией FTP Server, которая встроена в настройку ролей Windows Server 2008 R2 Server Manager Roles, как показано на последующем рисунке.
Набросок 8: Установка FTP службы
Так как мы желаем использовать FTPS (FTP over SSL) на собственном сервере FTP, нам необходимо указать спектр портов для канала данных FTP. Вводимый тут спектр портов должен быть схож дефиниции протокола на веб-сайте ISA Server. Также нужно указать наружный IP адресок брандмауэра, который обычно представляет собой IP адресок, с которого брандмауэр подключается конкретно к вебу. Нажмите Применить, чтоб активировать новые характеристики конфигурации в настройках IIS.
Прирастить
Набросок 9: Поддержка FTP в брандмауэре
Сейчас вы обязаны иметь возможность подключения из веба к собственному внутреннему FTPS серверу через ISA Server 2006 со собственного возлюбленного клиентского приложения FTP, поддерживающего FTP over SSL (FTPS). Если вы не сможете подключиться, два раза перепроверьте характеристики подключения FTP клиента в конфигурации FTP для IIS, и если защищенное FTP подключение все еще нереально, нужно проверить журнальчик мониторинга ISA Server 2006 в реальном времени на предмет блокируемого трафика.
Заключение
В этой статье я попробовал показать вам, как неопасно публиковать FTP сервер на Windows Server 2008 при помощи ISA Server 2006. ISA Server 2006 имеет интегрированные способности публикации FTP сервера, но по дефлоту не имеет мастера для публикации неопасного FTPS протокола. Для публикации Microsoft FTPS-Server нужно настроить дополнительные характеристики в Windows Server 2008 и некие характеристики на веб-сайте ISA Server 2006.
Дополнительные ссылки
Publishing FTP Server on ISA
IIS resources from Microsoft
Publish FTP Server on ISA Server 2004
FTP service for Windows Server 2008