ISA下FTP的解決辦法（2）

我們回到ISA的情況，如果采用被動模式，由于IIS是完全隨機的選擇一個端口，并告知客戶，然后客戶進行主動連接，這就意味著在ISA上，你要讓所有的端口都允許動態入站連接才行，這樣肯定不行，因為太危險了，等于打開了所有的端口連接。

如果采用主動模式（PORTMode)，IIS選擇好端口后，主動與客戶進行連接，這時候不需要像PASV模式那樣打開所有的動態入站連接，而且正好相反，我們需要打開所有的動態出站連接即可，安全性增加很多。而且由ISA的IPPACKETFILTER只對ISA本機起作用，不會造成局域網內的客戶“放了羊”。

所以，我個人這樣做的：

（1）由于IIS和ISA都在一臺機器上，所以它倆都在偵聽21號端口（IIS默認情況下會偵聽所有地址的21端口），所以我們首先要讓IIS只偵聽內網地址的PORT21，在DOS下，你可以通過NETSTAT-NA>abc.txt，然后打開這個文件，你會看到0.0.0.021LISTENING字樣。

輸入如下命令：

netstopmsftpsvc（停止FTP服務）

進入\Inetpub\adminscripts\目錄

cscriptadsutil.vbssetmsftpsvc/disablesocketpoolingtrue（停止偵聽）

netstartmsftpsvc（啟動FTP服務）

（2）在IIS控制臺里面，ftp->Property->FTPSite->IPAddress改為內網地址。現在，FTP服務只偵聽內網IP的21號端口了。

（3）大家可能這時候有疑問，如果是IIS主動連接客戶端，那客戶端的防火墻是不是會阻止這個連接（PASV模式不存在這個問題）。為了防止這種情況，我們可以強制IIS不能與客戶端的任意端口進行連接，而只有客戶端連接IIS的端口進行數據傳輸。這樣就可以解決PORTMODE與客戶端防火墻的沖突。方法：修改注冊表，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msftpsvc\Parameters\，將EnablePortAttack的值由0改為1，然后重新啟動FTP服務。

（4）在ISA里面，使用SERVERPUBLISH的方法發布FTP服務，其中：IPaddressofinternalserver填寫ISA的內部網卡的IP，IPaddressofexternalserver填寫ISA的外部網卡的IP，Mappedserverprotocol選擇FTPServer。

（5）然后在IPPacketFilter建立一條新RULES，Protocol->TCP,Direction->Outbound,LocalPort->Dymanic,RemotePort->All。

這是我的解決辦法，但是并不完美，主要是：

（1）客戶不能使用PASV方法進行連接，原因上面已經講了。

（2）由于第五條，所以ISA服務器隨著保證了對外部訪問的限制，卻無法限制ISA本機對外部的訪問。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]