架設FTP服務器，一向是把安全（quán）放在首位，特別（bié）是利用IIS之類工具建立起來（lái）的FTP服（fú）務器（qì）更（gèng）是如此。如果設置不當遭受到惡意（yì）攻擊，那造成整個服務（wù）器係（xì）統崩潰（kuì）也絕（jué）不是（shì）危言（yán）聳聽的（de）! 因（yīn）此，采取合（hé）理、周全的（de）安全管理是很有必要的。

我們（men）就從（cóng）IIS的安全說起。

IIS，從（cóng）NT係（xì）統（tǒng）內核（hé）開始成為自（zì）帶的重要信息發布載體，但其不可避免的漏洞（dòng）也在不少的（de）資料裏提及。IIS用作FTP服務（wù）器架設，主要是（shì）其簡單易懂的設置贏得不（bú）少人青睞;因此，要（yào）用好IIS，我們（men）得從下麵這（zhè）些方麵來考慮其安全問題：

1.安裝係統補丁。微軟網站經（jīng）常在其官（guān）方網（wǎng）發（fā）布最（zuì）新的係（xì）統安全補丁，大家可以用係統（tǒng）自帶的windows update程序隨時更新。

2.FTP目（mù）錄的設定（dìng）。比較（jiào）常見的就是將（jiāng）主目錄指定到邏輯盤，再對每（měi）個（gè）細目（mù）錄按不同的用戶（hù）設置（zhì）不同的訪問權限，並關閉（bì）一些不（bú）需要的服（fú）務，這（zhè）可以對不良人士（shì）利用IIS溢出漏洞訪問（wèn）到係統盤作（zuò）個第一（yī）級防護。

3.盡（jìn）量（liàng）不要使（shǐ）用21這個默認端口號，並啟用（yòng）日誌，以便（biàn）FTP服（fú）務出現異常時檢查。

另一（yī）款FTP架（jià）設軟件Serv_U。

軟件界麵如下圖所示（shì）。感覺此款軟件在安全性方（fāng）麵做得（dé）比較好，其設置也（yě）不易出（chū）錯，筆（bǐ）者用（yòng）過一段時間感（gǎn）覺其速度也（yě）比（bǐ）IIS要快得多（duō）。即使（shǐ）這樣，同樣也（yě）應注意其正確的配置：

1.有關域中服務器密碼設定。

Serv_U提供了三種安（ān）全密（mì）碼類型：規則密碼（mǎ）、OTPS/KEY MD4和OTPS/KEY MD5，不言（yán）而喻，規（guī）則密碼的安全性是最低的。一般我們設置好了有（yǒu）管理（lǐ）權限（xiàn）的賬戶（hù）後，再（zài）在“常規”選項卡（kǎ）下打開“密碼類型（xíng）”下拉框，從中選擇後兩種類型（xíng）相（xiàng）對要安全得（dé）多。

2.選中“攔截FTP_bounce攻擊和FXP”。FXP也稱（chēng）跨服務器攻擊，簡單的說：

當惡意用戶通（tōng）過在PORT命（mìng）令中加入特定的地址（zhǐ）信息，會使FTP服務器（qì）與其它非（fēi）客戶端的機器建（jiàn）立連接（jiē），而如果（guǒ）FTP服務器有（yǒu）權訪問那些非客戶端的（de）電腦時，那就（jiù）可以（yǐ）通過FTP服（fú）務器這個“中介機構”，實現與目標服務器的連接（jiē）!

3.跟IIS一（yī）樣，最好（hǎo）也將（jiāng）主目錄移到其它分區，同（tóng）時在為用戶設置權限時最好先設低點（diǎn），等需要時再設定寫入、修（xiū）改等權限;並將服務日誌以文件形（xíng）式（shì）保（bǎo）存，以便日（rì）後查閱。

說了架設軟件，再來說操作係統（tǒng）本身。

考慮到FTP服務器（qì）的安全性，所以最好是采用Win2000服（fú）務器版、winxp或是（shì）Windows2003企業（yè）版，並注意隨時下載安（ān）全補丁升級。

1.可以用係（xì）統自（zì）帶的“Internet連接防火牆”功能進（jìn）行（háng）安全設置（zhì）。打（dǎ）開“本地連接”屬性對話框，進入（rù）“高級”選項卡，將“通過限製或阻（zǔ）止來自Internet的對此計算機的訪（fǎng）問來（lái）保護（hù）我的計算機和網絡”打勾;然後點（diǎn）右下角（jiǎo）的“設置（zhì）”按鈕進入（rù）“高級設置”，選（xuǎn）中“FTP服務器”再點編輯（jí），如圖所示，除了（le）IP地址一欄外，其餘選項都不（bú）能更改。如果你預先設置的FTP服務（wù）器端口不是（shì）其默認的21，請返回上一（yī）步在“服務”選項（xiàng）卡下方點“添加”，輸（shū）入服務器名稱和IP地址，並將外部（bù）內（nèi）部端口（kǒu）號填入你的預設值即可。

2.“TCP/IP篩選”功能。依次進入“本地連接”---“常（cháng）規”---“Internet協議(TCP/IP)”，然（rán）後雙擊（jī）打開，再點“高（gāo）級”按鈕，切換到（dào）“選項”即可開始設置（zhì）。如下圖所（suǒ）示（shì），這裏我們可以（yǐ）設置係統隻（zhī）允許開放的端（duān）口，這種（zhǒng）篩選設置可以有（yǒu）效（xiào）防止最常見的如139端口的入侵，但該方法缺點同樣明顯：功能過（guò）於簡（jiǎn）單，隻能設置允許開（kāi）放的端口（kǒu），不能自（zì）定義要關閉的端口，如需開（kāi）放多個端口（kǒu）還要一一手工（gōng）添（tiān）加，比較（jiào）麻煩。

服務（wù）器（qì）安（ān）全是（shì）個永遠也說不完的話題，關鍵還是要（yào）大家在實（shí）際管理中多（duō）多總結經驗，不斷累（lèi）積。通（tōng）過（guò）以上的基本管理設（shè）置後，你的FTP應該具備了一定的（de）安全保障，可以放心的投入使用了!