从 ISA Server 网络执行 FTP 客户端访问-From MS
从 ISA Server 网络执行 FTP 客户端访问
为了获取文档或更新软件(如:防病毒程序等),Microsoft Internet Security and Acceleration (ISA) Server 计算机或位于 ISA Server 计算机之后的内部客户端计算机可能需要访问外部文件传输协议(File Transfer Protocol,FTP)资源。当配置此类 FTP 访问时,您需要考虑以下问题;
• 您是从内部计算机还是从 ISA Server 计算机访问外部 FTP 资源?
• ISA Server 计算机是以集成模式还是只以高速缓存模式进行配置。
• 客户端计算机被配置成防火墙(Firewall)客户端计算机、安全网络地址转换(SecureNAT)客户端计算机、Web 代理客户端计算机还是三者的结合?
• 对于特定 FTP 客户端计算机是否存在限制?
以下章节讨论了访问外部 FTP 资源的方法和配置指导。为了帮助您解决特定 FTP 客户端计算机的问题,本文后面的“实用文章”部分提供了访问 Microsoft 知识库文章的链接。
概念与步骤
本节的内容包括:
• 来自 ISA Server 计算机的请求
• 来自内部客户端计算机的 FTP 访问
来自 ISA Server 计算机的 FTP 请求
要想允许 ISA Server 计算机向外部 FTP 资源发出请求,您可以:
• 通过 Web 代理服务发送 FTP 请求。
• 在 ISA Server 计算机上配置数据包过滤器。
通过 Web 代理服务发送 FTP 请求
FTP 请求可以通过 ISA Server 计算机上的 Web 代理服务发出,但是这仅限于 FTP 下载。要想完成这项工作,您需要配置 FTP 客户端计算机(可能是 Internet Explorer、命令行 FTP 工具或 GUI 工具),以便作为代理服务器使用 ISA Server 计算机的内部 IP 地址。当 ISA Server 以高速缓存模式安装时,您只能使用浏览器通过 Web 代理服务发送 FTP 请求。当使用 Internet Explorer 发送 FTP 请求时,注意以下问题:
• 如果您拥有所支持的 FTP 站点的文件夹视图,Internet Explorer 客户端计算机可以绕过 Web 代理服务,尝试直接向 Internet 发送 FTP 连接请求。如果客户端计算机只被配置作为 Web 代理客户端计算机,这种尝试将不会成功。要想了解有关禁用 Internet Explorer 中的 FTP 站点文件夹视图的更多详细信息和指令,请参阅 814473Microsoft 知识库中的“Internal 客户端计算机不能通过 Internet Security and Acceleration Server 2000 访问 FTP 站点”一文。
在 ISA Server 计算机上配置数据包过滤器
对于来自 ISA Server 计算机的全功能 FTP 请求,需要使用数据包过滤器。注:当 ISA Server 以高速缓存模式进行安装时,数据包过滤器便不可用。
为输出 FTP 创建数据包过滤器
1.
在 ISA Server Management 的“访问策略”节点中,右击“IP 数据包过滤器”,指向“新建”,然后点击“过滤器”。
2.
在“新建 IP 数据包过滤器向导”中,输入该数据包过滤器的名称,然后点击“下一步”。
3.
在“过滤器模式”中,选择“允许数据包传输”,然后点击“下一步”。
4.
在“过滤器类型”中,选择“自定义”,然后点击“下一步”。
5.
在“过滤器设置”中,选择以下选项:
1.
在“IP 协议”中,选择“TCP”。
2.
在“方向”中,选择“输出”。
3.
在“本地端口”中,选择“动态”。
4.
在“远程端口”中,选择“固定端口”,然后指定端口号21。
6.
点击“下一步”。
7.
在“本地计算机”中,选择“ISA Server 计算机上的各个外部接口使用默认 IP 地址”,然后点击“下一步”。
8.
在“远程计算机”中,要想使 FTP 输出请求到达所有目的地,选择“所有远程计算机”。要想限制 FTP 请求,使它们只能到达特定目的地,选择“仅限此远程计算机”,然后输入外部 FTP 服务器的 IP 地址。
为输入 FTP 创建数据包过滤器
要想允许输入访问,重复以上过程,并采用以下设置:
• 在“方向”中,选择“输入”。
• 在“本地端口”中,选择“任意”。
• 在“远程端口”中,选择“固定端口”,然后指定端口号20。
来自 Internet 客户端计算机的 FTP 访问
您可能希望允许位于 ISA Server 计算机之后的内部客户端计算机访问外部 FTP 服务器。FTP 功能依赖于内部计算机的客户端配置:
• Web 代理客户端计算机。如果计算机只被配置作为 Web 代理客户端计算机,则它只能进行 FTP 下载。您可以通过 Internet Explorer 或任何允许您指定 Web 代理设置的 FTP 客户端软件来进行 FTP 下载。在高速缓存模式中,只能使用浏览器通过 Web 代理访问发送 FTP 请求。
• 防火墙(Firewall)客户端计算机或 SecureNAT 客户端计算机。从内部网中的防火墙和 SecureNAT 客户端计算机发出的访问外部 FTP 资源的请求由防火墙服务进行处理。为了支持从配置作为防火墙或 SecureNAT 客户端计算机的计算机发出的此类请求,您需要确保以下条件:
• FTP 访问过滤器启用。
• 拥有一个支持 FTP 协议的协议规则。
• 拥有一个支持访问目的地站点的站点和内容规则。
• FTP 客户端应用程序没有配置 Web 代理设置。(您无需删除 Internet Explorer 中的 Web 代理设置。)
启用 FTP 访问过滤器
FTP 访问过滤器(与 ISA Server 一起提供)把来自 SecureNAT 客户端计算机的 FTP 请求转发给防火墙服务,并使用了以下协议定义:
• FTP 客户端只读
• FTP 客户端
• FTP 服务器
• FTP 服务器只读
虽然您可以为 FTP 创建一个协议定义,但是协议定义可能不会提供 FTP 过滤器所提供的全部能力。用户定义的 FTP 协议定义与 FTP 访问过滤器是不同的,因为:
• FTP 过滤器动态地为辅助连接打开特定端口;而用户定义的协议定义将打开一组辅助端口。
• FTP 访问过滤器可以通过执行辅助连接所需要的地址转换,保护 SecureNAT 客户端计算机。用户定义的协议定义不能执行此类地址转换。
• 因为 FTP 访问过滤器包括一个只读的 FTP 协议定义,所以它可以区分读、写许可,使您能够精确调整访问许可。
注:防火墙客户端计算机要求启用 FTP 访问过滤器,因为 ISA Server 预定义协议定义只定义了主 FTP 连接,而没有定义辅助数据连接。
启用 FTP 访问过滤器
1.
在“ISA 服务器管理”的“扩展”节点中,点击“应用程序过滤器”。
2.
在详细信息窗格中,右击“FTP 访问过滤器”,然后点击“属性”。
3.
在“常规”选项卡上,确定已经选择了“启用此过滤器”。
创建协议规则以允许使用 FTP 协议
在过滤器启用之后,您需要确保有一个规则可用以允许内部防火墙客户端计算机或 SecureNAT 客户端计算机使用 FTP 协议。
创建一个协议规则
1.
在“ISA 服务器管理”的“访问策略”节点中,右击“协议规则”,指向“新建”,然后点击“规则”。
2.
在“新建协议规则向导”中,输入规则名称,然后点击“下一步”。
3.
在“规则*作”中,选择“允许”,然后点击“下一步”。
4.
在“此规则应用于”内的“协议”中,选择“已选定的协议”。在协议列表中,选择您希望允许使用的 FTP 协议:
• “FTP”。TCP 端口 21,由 FTP 访问过滤器定义,用于在主机间复制文件。
• “只允许 FTP 下载”。TCP 端口 21,由 FTP 访问过滤器定义,用于从 FTP 服务器向客户端计算机下载文件。
5.
点击“下一步”。
6.
在“计划”中,选择应用规则的时间。然后点击“下一步”。
7.
在“客户端类型”中,选择以下选项之一:
8.
“任意请求”。对所有用户应用规则。
9.
“指定计算机”。对特殊的客户端计算机地址组应用规则。
10.
“指定的用户和组”。对经过身份验证的用户应用规则。
11.
点击“下一步”。
12.
如果您已经对客户端计算机地址组、用户或组账户应用了规则,请指定这些设置。点击“完成”来结束向导。
注:
• 您可以配置协议规则,以限制客户端计算机访问 FTP 协议定义。例如,您可以选择“只允许 FTP 下载”,限制客户端计算机只进行 FTP 读取*作。
• 当您启用了 FTP 访问过滤器,并创建了一个协议规则(允许对所有用户或指定用户应用 FTP 协议定义)之后,请确保拥有一个允许访问 FTP 目的地的站点和内容规则,并且在 FTP 客户端应用程序中没有指定任何代理设置。
• 注:如果任何规则要求对特定用户账户进行身份验证,只有防火墙客户端计算机能够进行此项*作。SecureNAT 客户端计算机不能发放身份验证证书。
