公司FTP服務平臺建設探討

南車資陽機車有限公司綜合技術部 林 武

Internet信息服務(IIS)英文全稱是Internet Information Services，是一個全部包容WWW server、Gopher server和FTP server，由微軟公司提供的基于運行Microsoft Windows的互聯網基本服務。最初是Windows N T版本的可選包，隨后內置在Windows Server 2000、Windows XP Professional、Windows Server 2003、Windows Server 2008一起發行。

Serv-U是基于Microsoft Windows平臺的FTP服務器軟件之一。通過使用Serv-U，用戶能夠將任何一臺PC設置成一個FTP服務器，用戶或其他使用者就能夠使用FTP協議，通過在同一網絡上的任何一臺PC與FTP服務器連接，進行文件或目錄的復制、移動、創建和刪除等。

1.用Interner信息服務（IIS）架設FTP服務

Internet信息服務（IIS）在Windows操作平臺下屬于非默認安裝內容，所以要應用Internet信息服務（IIS）服務首先需要安裝IIS。通過“控制面板”—“添加/刪除程序”—“添加/刪除Windows組件”安裝IIS，安裝過程中可能需要系統對應的安裝光盤。[注：添加/刪除Windows組件時一定要手動將“Internet信息服務（IIS）”中的“文件傳輸協議（FTP）服務”勾選上。如圖1、圖2。

IIS安裝成功后，計算機管理中服務和應用程序中將增加“Internet信息服務”如圖3，接下來開始用Internet信息服務（IIS）架設FTP服務。對于第一個FTP服務站點，可以通過默認FTP站點修改完成。進入“FTP站點”下面的“默認FTP站點”屬性頁面進行修改如圖4、圖5、圖6。

默認FTP站點修改完成后，最基本的FTP服務已經架設完成。此時提供的FTP服務沒有限制，而且僅允許管理員（Administrator）和匿名用戶（Anonymous）登陸，如果要給部分用戶名提供特殊訪問權限需要在系統用戶組里面增加相應的用戶名，同時對提供FTP服務的文件夾授與該用戶名相應的權限。

2.通過Serv-U架設FTP服務

Serv-U支持所有版本的Windows操作系統，可以設定多個FTP服務器，可以限定登錄用戶的權限、登錄目錄及服務器空間大小，功能非常完善。下面以Serv-U漢化版為例，簡單說明如何通過Serv-U架設FTP服務。

首先下載安裝Serv-U，運行，將出現“設置向導”窗口，第一個FTP站點可以直接通過設置向導完成。設置Serv-U的IP地址與域名（Serv-U中的域同等于Internet信息服務（IIS）中的FTP站點）如圖7、圖8。

接下來的步驟按照默認方式進行，包括端口號“21”，系統服務選項“是”，一直到向導完成。這個時候我們FTP服務基本架設已經完成。但是目前服務是空的，任何人都無法訪問和登陸，需要對FTP服務增加訪問用戶和訪問目錄。現在以匿名訪問為例開通訪問FTP訪問權限，匿名訪問就是允許用戶以Anonymous為用戶名，無需特定密碼即可連接服務器并拷貝文件，如圖9；允許匿名登錄之后就要為匿名賬戶指定FTP上傳或下載的主目錄，這是匿名用戶登錄到你的FTP服務器后看到的目錄。設定后，向導還會繼續詢問你是否將匿名用戶鎖定于此目錄中，從安全的角度考慮，建議選“是”。這樣匿名登錄的用戶將只能訪問你指定的主目錄及以下的各級子目錄，而不能訪問上級目錄，便于保證硬盤上其他文件的安全，圖10。

此時已經完成了FTP服務匿名用戶（Anonymous）的登陸和訪問，如果要給部分用戶名提供特殊訪問權限需要在“用戶”窗口中新建用戶，進入圖9“用戶名稱”設置，填入你制定的賬號名稱，而后在“賬號密碼”窗口輸入該賬號的密碼。單擊“下一步”，會要求你指定FTP主目錄，并詢問是否將用戶鎖定于主目錄中，選“是”，作用與匿名賬戶設定基本相同。緊接著要設置該賬戶的遠程管理員權限，分為“無權限”、“組管理員”、“域管理員”、“只讀管理員”和“系統管理員”五種選項，每項的權限各不相同，根據具體情況進行設置。

3.Internet信息服務（IIS）和Serv-U架設FTP進行比較

Internet信息服務（IIS）和Serv-U都能實現架設FTP服務的功能。

Internet信息服務（IIS）是Windows自帶的附屬功能，但是在Windows Server 2003及以上版本的操作系統上通過Internet信息服務（IIS）部署FTP服務，需要對提供FTP服務的文件夾進行授權，同時必須在系統用戶組里面增加相應的FTP訪問用戶，隨著授權用戶的增加系統用戶組中的用戶數量同樣增加如圖11，而系統用戶組中的所有用戶都可以登陸操作系統，這將對提供FTP服務的服務器帶來一定風險。Internet信息服務（IIS）里面的配置信息，包括文件夾和用戶權限不能實現遷移，一旦更換系統將重新配置。

Serv-U構架FTP服務，不需要對提供FTP服務的文件夾進行單獨授權，也不用在操作系統中增加系統用戶，只用在Serv-U中的用戶中增加相應FTP訪問用戶如圖11，在Serv-U用戶管理中可以對具體用戶授予指定文件夾的相應權限，權限包括有“讀取”“寫入”“追加”“刪除”“執行”，可以通過簡單的配置給予相應用戶權限。Serv-U雖然是基于Microsoft Windows平臺的FTP服務器軟件，但是需要一套獨立的服務軟件，需要單獨購買。

4.公司各部門應用需求現狀

目前公司提供的FTP服務包括有為全公司范圍內訪問的資源共享服務、為電視臺提供的網站及圖文審批庫服務、為公司辦提供的公文庫服務、金蝶K3系統備份數據庫服務。在具體的單獨服務中特別是提供全公司范圍內訪問的資源共享服務中，需要實現不同FTP登陸用戶對文件夾有不同的訪問權限，比如匿名用戶（Anonymous）不能對公司FTP服務中的特殊文件夾進行訪問，只能是指定授權用戶才能訪問，對于辦公室公文庫服務和金蝶K3數據備份服務需要實現只能對指定的IP地址和特定用戶授權訪問。

圖1圖2圖3

圖4圖5圖6

圖7

圖8

圖9

圖10

圖11

公司FTP從2004年左右開始提供服務，而提供服務的服務器隨著服務時間的增長設備的故障率也將隨著升高，從數據安全方面考慮FTP

服務遷移是必然的。原來提供FTP服務的操作系統是Windows Server 2000，而現在主流的服務器操作系統是Windows Server 2003和Windows Server 2008，根據前面介紹通過Internet信息服務（IIS）架設FTP服務，Internet信息服務（IIS）里面的配置信息，包括文件夾和用戶權限發不能實現遷移，一旦更換系統將重新配置，所以要在新的操作系統中架設FTP服務必須全部重新部署和配置。

5.建議

用兩個用戶名為例進行FTP服務架設配置說明：

用戶：匿名用戶（Anonymous），授權用戶(Demo)。

文件夾：提供FTP服務的文件為OFFICE，OFFICE下面有兩個文件夾，分別為“公共資源”和“授權訪問”。

權限：提供給Anonymous訪問“公共資源”下面的內容，但是不能訪問“授權訪問”下面的內容；提供給Demo訪問“公共資源”和“授權訪問”下面的內容。

Internet信息服務（IIS）架設的FTP服務首先需要在系統用戶組里面添加用戶“Demo”，然后在文件夾“OFFICE”“公共資源”“授權訪問”的屬性—安全中添加Demo的讀寫權限，同時在“OFFICE”“公共資源”的屬性—安全中增加用戶“Users”的讀寫權限（這一步實現提供Anonymous訪問“公共資源”下面的內容），在“授權訪問”文件夾的屬性—安全中去掉“Users”的讀權限（這一步是阻止Anonymous訪問“授權訪問”下面的內容）。Windows Server 2000下面可以通過Internet信息服務（IIS）中對應FTP站點屬性中的帳號安全里面的“FTP站點操作員”進行配置，但是Windows Server 2003、Windows Server 2008已經取消帳號安全里面的“FTP站點操作員”選項，只能通過文件夾授權。但是FTP服務需要遷移或者系統重做后這些配置需要重新做。

Serv-U架設的FTP服務只需在對應的F T P站點用戶中添加用戶“Anonymous”和“Demo”，然后將兩者的上傳或下載的主目錄都指向“OFFICE”文件夾.，這時已經實現了“Anonymous”和“Demo”訪問“公共資源”和“授權訪問”下面的內容，現在再選中Anonymous用戶并在其“目錄訪問”添加“授權訪問”文件夾同時去掉“讀取”“寫入”“追加”“刪除”“執行”的復選勾，此步就完成了阻止“Anonymous”訪問“授權訪問”文件夾下面的內容。Serv-U架設的FTP服務可以隨時遷移，不受操作系統的影響。

本著架設易操作、易管理、易遷移的FTP服務站點，在提供沒有或只有少數特殊訪問用戶的FTP服務站點時建議使用Internet信息服務（IIS）架設，在提供出現較多特殊訪問用戶的FTP服務站點時建議使用Serv-U架設。

6.結束語

隨著公司信息化建設項目的推進和公司三大平臺建設的啟動，FTP服務將為公司提供更多更豐富的資源共享，同時更多的人員將應用到FTP服務，也就是FTP服務將在公司覆蓋的范圍越來越廣、囊括的內容將越來越多，所以通過架設易操作、易管理、易遷移的FTP服務站點將會為公司提供更專業、更規范、更安全的資源共享服務。