Публикация службы FTP с помощью ISA Server 2006 очень проста. ISA Server имеет встроенного мастера для публикации FTP сервера, но как на счет безопасности? FTP – это очень небезопасный протокол, который передает данные без шифрования, поэтому использование этого протокола может быть опасным. Более хорошим способом является использование FTPS (FTP over SSL) протокола, который обеспечивает шифрование передаваемых данных. Настройка ISA Server 2006 для FTP публикации немного сложнее, поскольку вам необходимо вручную создавать дефиницию протокола для FTPS и указывать диапазон портов для FTPS подключений.
Давайте начнем с конфигурации правила публикации ISA Server 2006. Запускаем консоль ISA Server 2006 MMC, переходим в узел политики брандмауэра и создаем новое правило публикации сервера.
Нужно задать этому правилу имя вроде FTPS-Server.
Рисунок 1: Имя правила протокола FTPS
Введите IP адрес сервера FTP, который хотите опубликовать. Публикуемый FTP сервер должен быть клиентом Secure NAT.
Рисунок 2: IP адреса публикуемого сервера
Поскольку ISA Server 2006 не имеет встроенной дефиниции протокола, необходимой для FTPS протокола, нам нужно вручную создать дефиницию протокола. Нам нужна дефиниция протокола для стандартного порта протокола FTP и диапазон портов для FTP подключений, который должен быть тем же диапазоном, который настроен в параметрах поддерживаемых брандмауэром протоколов для FTP сервера.
Рисунок 3: Выбор протокола
Нажимаем Новая (New) для создания необходимой дефиниции протокола и задаем ей имя.
Рисунок 4: Новая дефиниция протокола FTPS
Типом протокола будет FTP, направление будет Входящим (Inbound), а дефиниция портов будет с 21 по 21.
Рисунок 5: Диапазон портов протокола FTPS
В качестве второго диапазона протокола вводим тот же IP диапазон для диапазона портов, который указан в свойствах брандмауэра для конфигурации FTP сервера.
Рисунок 6: Полная дефиниция протокола
Не нужно указывать дополнительное подключение.
Укажите приемник (Listener) для сети, на котором ISA Server 2006 будет слушать FTP трафик. Это, как правило, дефиниция внешней сети. Если интерфейсу Внешней сети присвоено более одного IP адреса, необходимо явно указать IP адрес, на котором ISA Server будет слушать трафик.
Рисунок 7: Выбор приемника ISA Server
Нажмите Далее, затем Готово и Применить.
Примечание: FTP-Filter не нужно включать для новой дефиниции FTPS протокола, поэтому убедитесь, что эта опция не отмечена в дефиниции протокола.
После настройки всех параметров на сайте ISA Server, нужно настроить компоненты FTP сервера в конфигурации брандмауэра.
Я предполагаю, что вы уже настраивали необходимые компоненты FTP сервера на использование FTPS протокола. Для дополнительной информации о том, как настраивать FTPS на сервере FTP я предоставлю вам ссылки в конце статьи.
Пожалуйста, обратите внимание, что если вы используете Windows Server 2008, вам необходимо вручную загрузить и установить Microsoft FTP службу со следующего веб сайта: http://www.iis.net/.
Windows Server 2008 R2 идет с правильной версией FTP Server, которая встроена в настройку ролей Windows Server 2008 R2 Server Manager Roles, как показано на следующем рисунке.
Рисунок 8: Установка FTP службы
Поскольку мы хотим использовать FTPS (FTP over SSL) на своем сервере FTP, нам нужно указать диапазон портов для канала данных FTP. Вводимый здесь диапазон портов должен быть идентичен дефиниции протокола на сайте ISA Server. Также необходимо указать внешний IP адрес брандмауэра, который обычно представляет собой IP адрес, с которого брандмауэр подключается непосредственно к интернету. Нажмите Применить, чтобы активировать новые параметры конфигурации в настройках IIS.
Увеличить
Рисунок 9: Поддержка FTP в брандмауэре
Теперь вы должны иметь возможность подключения из интернета к своему внутреннему FTPS серверу через ISA Server 2006 со своего любимого клиентского приложения FTP, поддерживающего FTP over SSL (FTPS). Если вы не можете подключиться, дважды перепроверьте параметры подключения FTP клиента в конфигурации FTP для IIS, и если защищенное FTP подключение все еще невозможно, необходимо проверить журнал мониторинга ISA Server 2006 в реальном времени на предмет блокируемого трафика.
Заключение
В этой статье я попытался показать вам, как безопасно публиковать FTP сервер на Windows Server 2008 с помощью ISA Server 2006. ISA Server 2006 имеет встроенные возможности публикации FTP сервера, но по умолчанию не имеет мастера для публикации безопасного FTPS протокола. Для публикации Microsoft FTPS-Server необходимо настроить дополнительные параметры в Windows Server 2008 и некоторые параметры на сайте ISA Server 2006.
Дополнительные ссылки