FileZilla server使用说明

admin

　Filezilla Server 使用说明

　　一、简介

　　Filezilla是一个非常流行的开源的免费的FTP客户端、服务器端的项目，Filezilla的主要优势在于：高安全、高性能。Filazilla的安全性是来自于其开放源代码的。Filezilla的高性能来自于其代码的开发平台是C/C++，自身基础就好于其它VB/Dephi平台开发的应用程序，因此Filezilla具有可媲美IIS的性能。在千兆网络带宽上，可轻松满足数百用户同时高速下载。目前Filezilla也存在一些不足，主要缺点就是不支持配额，即本身不提供上传、下载总文件大小配额的功能。

　　Filezilla Server服务器的程序看成两部份，第一部份是FTP的Service服务，他是提供其它计算机透过FTP通讯协议联机进来存取档案用的网络服务，这部份的功能可以让他随着计算机自动开机启动。而服务器启动后我们并不会看到什么窗口或图标，它会在Windows系统的背景执行，只有在检视「工作管理员」时，才可以看得到。

　　另外一步部份是[FileZilla Server Interface]服务器管理接口，这个管理接口是管理FTP服务器、新增或移除FTP账户时才会用到。只要安装时设定好FileZilla Server的Service与组态、账户之后，其它时候可以不用开启服务器管理接口，FTP也可以正常运作。(因为FTP服务器会在安装好之后，开机自动执行)。

　　二、安装

　　1.选用版本，这里我们选用FileZilla_Server-0_9_39。双击FileZilla_Server-0_9_39.exe，会弹出

　　

　　点击 I Agree,

　　

　　选择安装功能，选择默认，点击 next,

　　

　　选择安装路径，强烈推荐安装到非默认路径，以增加安全系数。点击 next,

　　

　　选择安装后自启动或手工启动，并选择监听端口号。设置管理端口“14147”，强烈推荐修改此端口，例如：改成38121端口。(注意不要和常见服务如80端口冲突)点击next，

　　

　　选择 server interface 启动方式，然后点击 Install,等弹出close选择框，点击，完成安装。

　　启动Filezilla Interface，弹出

　　

　　我们可以在[Administrator password:]中输入本服务器Filezilla服务的密码，输入管理端口号(管理端口到底是多少，请参考前文安装过程中填写的具体数字是多少)，然后钩选[Always connect to this server]再按下[OK]。建议选中“总是连接到本服务器”的选项，即表示每次启动管理控制台，都是管理本机的Filezilla服务。

　　注意：修改端口和密码非常重要，这是确保Filezilla安全的重点，必须修改端口，必须设置密码!密码建议足够复杂!可以在管理界面中进行修改。

　　然后会弹出Filezilla服务器管理接口

　　

　　如果有出现[Logged on]或[Server online]的字样，表示已经顺利上线。我们可以随时点按上方的闪电图示切换上线、离线，即可手动开启或关闭FTP站。

　　三、服务器设置

　　第1步 进行服务器全局参数设置：

　　点“Edit”菜单，选“Settings”

　　

　　General settings(常规设置)：

　　Listen on Port：监听端口，其实就是FTP服务器的连接端口。

　　Max.Number of users：允许最大并发连接客户端的数量。

　　Number of Threads：处理线程。也就是CPU优先级别。数值调得越大优先级越高，一般默认即可。

　　timeout setting：超时设置，自上至下分别为：连接超时、传输空闲超时、登入超时。单位为秒。

　　Welcome message页面设置：客户端登录成功以后显示的Welcome信息。建议不要用软件默认的，因为任何软件都不能保证没有什么漏洞，如果在这里暴露软件名称的话，一旦这个FTP Server软件有什么安全漏洞，别有用心的人知道了服务器软件的名称就可能针对性地发起攻击。所以建议这里设置的信息不要包含任何服务器资料。强烈建议修改默认的欢迎信息为“Welcom to Serv-U FTP Server”，这样Filezilla在欢迎消息中就会“欢迎来到我的服务器”字样，以达到欺骗攻击者的目的。

　　注意：本步骤非常重要!

　　

　　IP bindings(IP绑定)页面：把服务器与IP地址绑定，使用*以绑定到所有地址。

　　

　　IP Filter(IP过滤器)页面：设置IP过滤规则，在上面栏目中的IP是被禁止与FTP服务器连接的，下面的是允许的。格式：可以是单个IP地址、IP地址段，可以使用通配符、使用IP/subnet语法或正则表达式(以“/”结尾)来过滤主机名。

　　

　　第2步 Passive mode settings(被动传输模式设置)：

　　这个页面要重点关注。

　　如果服务器本身直接拥有公网IP，可以选软件默认的“Default”。

　　如果服务器是在局域网里面，在一个网关后面，那么就要选择第二项“Use the follwoing IP”，并且在下面的输入栏填写公网的IP地址;否则，客户端用PASV被动模式可能无法连接FTP服务器。因为服务器是在内网中，在客户端使用PASV模式连接服务器的时候，服务器收到连接请求之后需要把自身的IP地址告诉客户端，由于服务器在内网中，它侦测到的IP地址是内网的(如192.168.0.5)，它把这个IP地址交给客户端，客户端自然无法连接。在这里设置了指定的IP地址后，服务器就会把这个公网合法的IP地址提交给客户端，这样才能正常建立连接。

　　如果服务器是动态IP的，那么可以选择下面的“Retrieve external IP address from”，利用Filezilla官方网站免费提供的IP查询页面获取当时的公网合法IP，然后服务器把这个公网合法IP地址提交给客户端。当然静态IP也可以用这个，只不过没有必要。

　　这个设置页面对服务器位于内网的情况非常重要。有些FTP服务器端没有这个设置项目，客户端就只能用Port主动模式连接。当然有些客户端软件针对这个问题有专门的设置，如FlashFXP的站点设置中只要选中“被动模式使用站点IP”就可以了。

　　

　　第3步 Security settings(安全设置)：

　　这里的两个选项关系到能否FXP。软件默认状态“Block incoming server-to-server transfers”和“Block outgoing server-to-server transfers”两项都是选中的，前面那项是禁止连入的服务器对传，后面是禁止传出的服务器对传。也就是说默认状态不允许FXP，如果需要使用FXP，那么就把这两个项目取消选择。注意FXP传输除了跟这个页面的设置有关，还跟IP过滤器有关。

　　说明：如果启用，IP过滤器在传输开始时检查远端IP，如果IP不符合控制通道中的远端IP，传输将被取消。

　　FXP经常被用来传输非法盗版软件，反弹攻击亦可被用来发起对服务器的Dos攻击，因为恶意用户可以发起多个服务器到服务器传输，这将对服务器的带宽和可用性造成很大影响。

　　如果设置了严格过滤IP，整个IP将与控制通道中的IP进行比较，但此选项可能会对使用了多个IP的代理服务器引发问题。

　　为了避免此问题，可以禁用严格IP过滤，这样只检查IP地址的前三部分，但这会使对FXP/反弹攻击的安全都降低。因此，你需要在安全和兼容性之间做选择，要想达到最佳效果，你可以阻止所有的FXP传输并且仅对传入的传输启用严格过滤。

　　

　　第4步 Admin Interface setting(管理员界面设定)：

　　这个就是登录配置服务器界面的一些参数。端口号的设置在安装的时候也出现过。下面两栏可以定义允许远程登录配置的网络界面和IP地址，第一个空白可以设置把管理界面绑定到IP地址，使用*以绑定所有IP地址，127.0.0.1是默认绑定，它一直存在且不可被移除;第二个空白设置允许连接到管理界面的IP地址，可以使用通配符(例如：123.234.120.*)，127.0.0.1总是被允许连接到管理界面的。在最下面更改管理员口令。

　　注意：修改端口和密码非常重要，这是确保Filezilla安全的重点，必须修改端口，必须设置密码!密码建议足够复杂!

　　

　　第5步 Logging(日志)：

　　设定是否启用日志记录功能以及日志文件大小和文件名。

　　

　　第6步 Speed Limits(速度限制)：

　　这个是全局参数，默认状态不限速。可以选中“Constant Speed Limit of”并填写限速数值来实现速度限制，下载(传出)和上传(传入)可以分别设置。还可以根据时段自定义限速规则——“Use Speed Limit Rules”，比如这台服务器或者网络连接除了做FTP服务器之外还有别的用途，需要根据时间调度，不能让FTP传输挤占所有网络带宽影响其它的网络服务;就可以通过这里设置。

　　

　　

　　第7步 Filetransfer compression(文件传输压缩设置)：

　　MODE Z FTP协议是一种实时压缩的传输协议。在这种模式下，发送方的数据在发出之前先进行压缩，再送到网络链路中传输，接收方将收到数据实时解包，在本地还原重组成原文件。这种模式可以大幅度减少网络中的数据流量，提升传输效率(速度)。当然对于已经压缩过的文件，就几乎没有效果了。要使用这种传输模式，需要服务器端和客户端都支持MODE Z协议。

　　勾选“Enable MODE Z support”就可以启用本服务器的MODE Z支持功能，这样，只要客户端也支持MODE Z就可以获得它带来的性能提升。“Minimum allowed compression level”和“Maximum allowed compression level”分别设置最小压缩率和最大压缩率。最下面可以输入不启用MODE Z功能的目标IP。

　　

　　第8步 设置“SSL/TLS settings”

　　

　　点击 “Generate new certificate”,

　　

　　第9步 加固权限，找到Filezilla的配置文件，格式是xml格式，鼠标右键点击之，并选择属性。

　　

　　加入Guest组禁止读写的权限，设置为拒绝。

　　

　　点击确定后，系统会弹出提示，询问拒绝权限优先级高于允许权限，是否要继续，点击是通过即可。

　　四、匿名FTP配置

　　首先打开管理控制台，点击左起第四个图标

进入系统设置。

　　

　　打开ftp用户管理界面，点击右侧的

按钮，添加新用户。

　　

　　在新增用户的对话框中，输入“anonymous”这个名字，即FTP的匿名用户。

　　

　　点击确认，添加用户完成，返回用户管理界面。

　　

　　点击左侧的“Shared folders”菜单。点击Add按钮，添加一个目录。

　　

　　打开浏览文件夹的选项，选择要设置FTP的目录。

　　

　　点击确定，添加用户完成。

　　

　　现在用户FTP客户端连接到Filezilla Server上，可以看到匿名FTP已经配置完成。

　　

　　五、标准FTP用户配置

　　设定流程：开新账户→ 设定密码→ 选定数据夹→ 设定完成。

　　第1步 进行的是用户组(Group Settings)设置

　　在主界面点击第五个按钮或者由“Edit”——“Groups”菜单进入。

　　组设置是为了便于用户归类管理，相同权限的用户归属到同一个组里面，这样就不用重复多次设置每个用户的权限等参数，简化配置和管理工作。点击右边的“Add”按钮创建新组。

　　

　　组创建完成以后，点“Shared folders”进入目录权限设置页面。点击中间区域的“Add”按钮添加目录。默认状态添加的第一个目录即为该组用户登录之后看到的主目录(Home Directory)，主目录前面有个粗体的“H”标识。目录列表右侧分别是对该目录的操作权限设置，上面是文件权限设置，下面是目录权限设置。如果要改变主目录，只要在列表中选中需要设置为主目录的那个，然后点击“Set as home dir”按钮即可。

　　

　　权限说明：

　　文件：

　　Files → Read：可下载档案。

　　Files → Write：可上传档案。

　　Files → Delete：可删除档案。

　　Files → Append：即把文件下载到本地副本并打开编辑，在关闭时再上传到服务器。(问题：不知道是不是在服务器端进行执行编辑。)

　　目录：

　　Directories → Creat：可新增子资料夹。

　　Directories → Delete：可删除子数据夹。

　　Directories → List：可列出数据夹中的档案。

　　Directories → +subdirs：列出文件夹中的子文件夹。

　　注意：在Filezilla Server里设置的对文件、目录的权限，需要依赖Windows操作系统中SYSTEM帐号对文件、目录的权限设置。

　　第2步 设置用户(Users)

　　点击主界面第四个按钮或者由“Edit”——“Users”菜单进入。

　　

　　点击右边的“Add”按钮创建用户，输入用户名admin 。

　　

　　选中Password前边的多选框，然后输入密码123456

　　

　　然后从“Group membership”栏选择该用户所属的组(Group)，这样该用户将继承该组的所有属性/权限，不用再单独一一设置这些参数了。这也是设置组体现的方便性，在用户比较多的时候使用组来分类会使得管理工作更加方便、高效。当然，也可以设置一个不属于任何组的用户，这样的话，就得单独定制该用户的权限。对于少量特殊用户，可以用这种方式设置。

　　返回到用户管理界面，点击设置文件夹目录，点击Add添加目录。

　　

　　添加一个目录到admin用户。

　　

　　添加完成，再右侧选中admin用户对这个目录的权限，然后点击左侧的OK按钮，配置完成。现在可以使用客户端来测试登录了。

　　

　　至此，Filezilla Server的基本设置就完成并可以运行了。