【实验目的】

1.了解FTP服务器的作用

2.掌握搭建FTP服务器的方法

3.掌握FTP服务器的配置

【实验原理】

FTP服务器（File Transfer Protocol Server）是在互联网上提供文件存储和访问服务的计算机，它们依照FTP协议提供服务。FTP是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器。基于IIS组件的FTP服务器，操作方便，运行稳定，是普通用户的首选方案。安装IIS过程中，默认没有安装FTP服务，用户需要手动添加。FTP服务主要为用户提供上传和下载功能，客户端既可以从服务器下载文件到客户端，也可以从客户端将文件上传到服务器，利用FTP的功能，可以实现软件的下载、文件的交换与共享以及Web站点的维护等。FTP服务支持主动模式和被动模式两种类型，采用何种模式取决于客户端的指定。主动模式是由客户端管理连接的，客户端向服务器发送PORT命令，请求服务器使用TCP20端口和客户机的临时端口进行通信。被动模式是由服务器管理连接的，客户端向服务器发送PASV命令，服务器会打开它的一个临时端口响应此PASV命令，服务器不再使用TCP20端口与客户端通信，而是开启一个临时端口与客户端进行通信。

【软件工具】

操作系统：Windows2016

【实验目标】

搭建FTP

服务器并配置，使用客户端进行连接访问。

【实验步骤】

1.部署架设

FTP服务器的需求和环境首先需要确保两台机器防火墙已经关闭。设置FTP服务器的TCP/IP属性，手动指定IP地址、子网掩码、默认网关和DNS服务器IP地址等。

2.安装Web服务器和FTP服务器角色服务

单击“开始”→“Windows管理工具”→“服务器管理器”→“仪表板”选项的“添加角色和功能”，持续单击“下一步”按钮，直到出现“选择服务器角色”窗口时勾选“Web服务器”和“FTP服务器”复选框。

持续单击“下一步”，在角色服务处选择相应的角色，点击“下一步”。

最后单击“安装”，完成安装

3.FTP站点的创建与访问

下面创建使用IP地址访问的FTP站点。准备FTP主目录。在C盘上新建“C:\ftp”文件夹作为FTP主目录，并在其文件夹中存放一个“test.txt”，供用户在客户端计算机上下载和上传测试。

创建FTP

站点打开“IIS管理器”，右击“网站”，选择添加FTP站点。

进入“添加FTP站点”界面，“FTP站点名称”文本框中输入“ftp”，物理路径为“C:\ftp”。

单击“下一步”按钮，打开如下图所示的“绑定和SSL设置”对话框，在“IP地址”文本框中输“192.168.1.2”，端口为“21”，在“SSL”选择下面选中“无”单选按钮

单击“下一步”按钮，打开如下所示的“身份验证和授权信息”对话框，输入相应信息。本例允许匿名登录，也允许特定用户访问。

下面在FTP站点上创建虚拟目录“xunimulu”的具体步骤。准备虚拟目录内容。以管理员账户登录到DNS服务器windows2016-1上，创建文件夹“C:\xuni”，作为FTP虚拟目录的主目录，在该文件夹下存入一个文件“xuni.txt”供用户在客户端计算机上下载。

创建虚拟目录。在“Internet信息服务管理器”控制台树中，依次展开FTP服务器和“FTP站点”，右

键单击刚才创建的站点“ftp”，在弹出的快捷菜单中选择“添加虚拟目录”。

打开“添加虚拟目录”对话框。在“别名”处输入“xunimulu”，在“物理路径”处输入“C:\xuni”。

验证FTP站点的访问可用性

用户在客户端计算机windows2016-2上，打开浏览器或资源管理器，输入ftp://192.168.1.2，就可以访问刚才建立的FTP站点了

测试FTP站点的虚拟目录。用户在客户端计算机windows2016-2上，打开文件资源管理器和浏览器，输入ftp://192.168.1.2/xuni就可以访问刚才建立的FTP站点的虚拟目录了

4.FTP身份验证

进入服务器192.168.1.2，在IIS管理器中打开FTP身份验证。

发现“基本身份验证”和“匿名身份验证”均已开启，这是因为在创建FTP站点时，默认开启了这两种身份验证，现在选中“基本身份验证”将其禁用

在客户机打开浏览器或资源管理器，输入ftp://192.168.1.2，可以直接匿名访问

进入服务器192.168.1.2，将“基本身份验证”开启，“匿名身份验证”禁用

在客户机打开浏览器或资源管理器，输入ftp://192.168.1.2，需要进行登录访问，输入用户和密码：administrator/com.1234。

点击登录，可以访问。

进入服务端，把“基本身份验证”和“匿名身份验证”都禁用，会发现在客户端无法访问。

可以发现FTP服务可以实现用户身份验证功能，加强资源的保护。

5. FTP用户隔离

建立FTP用户（即系统用户），可以到计算机管理中添加用户，这里以命令的形式直接添加，建立两个用户test1和test2，密码都为com.1234。右键单击开始，选择运行，输入cmd，输入命令即可，net user可查看创建用户.

在C盘的ftp文件夹下建立LocalUser文件夹，在其中建立两个站点文件夹test1，test2，并在test1下创建test1文件，test2下创建test2文件

设置用户test1对test1文件夹有完全控制权限，test2对test2文件夹有完全控制权限。此处以test1用户为例，右键test1文件夹选择“属性→安全→编辑→添加→高级→立即查找”，选择test1用户，点两次“确定”按钮，添加test1用户成功后，点击test1用户，选中允许下的完全控制

连续点击确定按钮，文件夹test1设置完成。用户test2对test2文件夹的权限设置和test1一样，此处不做详细描述。

进入服务器192.168.1.2，在IIS管理器中打开FTP隔离，选中用户隔离下的用户名目录，点击“应用”。

重新将基本身份认证选项开启

在客户机，重新打开浏览器或资源管理器，输入ftp://192.168.1.2，会弹出登录身份界面，输入test1用户名和密码。

点击“登录”，会显示test1文件夹下的test1文件。

在客户机，重新打开浏览器或资源管理器，输入ftp://192.168.1.2，弹出登录身份界面，输入test2用户名和密码，点击“登录”，会显示test2文件夹下的test2文件。

可以发现两个用户能够访问的文件不一样，即用户隔离，可以通过此项权限的细分，保护资源的安全。

6.FTP IP地址和域限制

进入服务器192.168.1.2端，在IIS管理器中打开“FTP IP地址和域限制”，选择添加拒绝条目，输入IP地址，点击“确定”。

在客户机，打开浏览器或资源管理器，输入ftp://192.168.1.2，会弹出登录身份界面，分别输入test1和test2用户，点击登录，都无法登录。

可以发现FTP服务可以拒绝指定IP或IP段的访问FTP资源，加强对资源的保护。