安全FTP访问功能配置案例

目 录

1     网络拓扑

2     客户需求

3     网络配置

3.1          内网网络端口配置

3.2          内网管理端口地址

3.3          外网网络端口配置

3.4          外网网关配置

3.5          外网管理端口地址

4     网闸具体配置

4.1          代理模式配置

4.1.1       内网模块配置

4.1.2       外网模块配置

4.1.3       内网客户端主机访问FTP服务器设置

4.2          透明模式配置

4.3          混合模式配置

1       网络拓扑

说明：

       1网闸的内外网管理端口地址分别默认为：内网：10.0.0.1，外网：10.0.0.2，建议不要进行更改，如果与已有网络冲突可以在管理界面上进行更改。

       2管理主机与网闸的内外网管理端口相连接，分别以https://10.0.0.1和https://10.0.0.2访问，用户名和密码为：admin。

网闸FTP工作原理：

FTP是常用的文件传输手段，我们只是分别在内外网的FTP客户端模块中设置了监听网闸接口的IP地址和端口号，就可以通过代理方式，透明方式，混合模式访问内网或外网的FTP服务器。可以使用LeapFTP、FlashFXP等FTP软件和命令行方式，顺利进行访问和数据操作。在百兆网络的测试环境中，FTP的平均传输速率可达91.2Mbps。对于FTP服务端所在网络只是FTP代理服务器的情况，提供了很好的解决方案，仅需添加代理FTP服务器的IP地址和端口即可。

2       客户需求

内网做为客户端，外网做为服务器端，实现内网用户可通过网闸访问到外网的FTP服务器，并且内网用户对FTP服务器的

上传、下载等操作正常运行。

对访问的服务器进行目的地址控制。

对访问ftp的用户进行源地址控制。

隐藏真实服务器地址。

1、在网闸内网配置FTP代理监听并启用FTP客户端服务

2、在网闸外网启用FTP服务

3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作

3       网络配置

3.1   内网网络端口配置

修改地址为：192.168.2.100

3.2   内网管理端口地址

如与网络接口不冲突，可以为默认。

3.3   外网网络端口配置

修改地址为：192.168.10.100，如此为公网地址请直接指定。

3.4   外网网关配置

此处网关为：192.168.10.254，如此为公网地址请直接指定。

3.5   外网管理端口地址

如与网络接口不冲突，可以为默认。

4       网闸具体配置

4.1   代理模式配置

1、  在网闸内网配置FTP代理监听并启用FTP客户端服务

2、  通过允许服务器控制用户访问的目的地址

3、  通过访问控制对访问ftp的用户源地址进行控制

4、  通过重定向隐藏真实服务器地址

5、  在网闸外网启用FTP服务

6、  内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作

4.1.1   内网模块配置

4.1.1.1        安全FTP客户端代理监听服务配置

安全ftp→客户端→基本配置

     运行方式：代理模式

      本地地址：192.168.2.100

      本地端口：21

         其它参数项默认不修改即可。

4.1.1.2        启动设置

安全FTP→客户端→启动设置

     点击启动服务按钮，启用FTP客户端模块

4.1.1.3        目的地址访问控制

客户要求只允许通过网闸访问指定的FTP服务器，即192.168.10.250和192.168.10.28两台，其他ftp服务器不允许访问。

通过配置允许的服务器可以进行目的地址控制。

点击安全ftp—客户端—允许的服务器，添加允许用户访问的服务器地址即可。

注意：默认不填，为全部都允许；如果添加了允许的服务器，未添加的就都不允许；在添加允许的服务器时，首先应该将网闸FTP访问的监听地址允许访问，否则就全部都无法访问了。

4.1.1.4        源地址访问控制

通过配置客户端的访问控制规则，可以对使用安全ftp访问的用户的源地址进行控制，例如只允许192.168.2.0这个网段的用户使用该模块，配置如下：

点击安全FTP—客户端—访问控制；

选择默认禁止，初一下配置策略外的其他任何地址都是禁止访问的；

添加允许访问的客户端地址段，格式如下；

客户端端口为任意；

动作为允许；

4.1.1.5        重定向

通过配置重定向，可以隐藏用户的实际服务器地址。

比如用户要求访问ftp服务器的终端不知道实际服务器的地址，只告诉他们一个虚拟的访问地址，192.168.10.250虚拟成为192.168.2.100，192.168.10.28虚拟成为192.168.2.200；

配置如下：

点击安全FTP—客户端—重定向；

添加虚拟服务器地址和真实服务器地址；

用户通过网闸访问时访问方式不变，但是只需访问虚拟地址就可以重定向到真实的服务器地址；

4.1.2   外网模块配置

4.1.2.1        安全FTP服务端启动设置

安全FTP→基本设置→启动设置

 点击启动服务按钮，启用FTP服务端模块

4.1.3   内网客户端主机访问FTP服务器设置

4.1.3.1        命令行方式一

内网用户主机（192.168.2.56),通过命令行方式访问FTP数据库

   1. ftp 192.168.2.100

   2.用户名输入：root@192.168.10.250

4.1.3.2         命令行方式二

       内网用户主机（192.168.2.46),通过命令行方式访问FTP数据库

           1. ftp 192.168.2.100

           2.用户名输入：a@192.168.10.28:2121

4.1.3.3         使用FTP客户端软件方式

 内网用户主机（192.168.2.56),FTP客户端软件访问FTP服务器

1.添加代理服务器

2.运行快速连接

     服务器：192.168.10.250

代理服务器：安全ftp代理模式（上一步添加的代理服务器名称）

点击“连接”，连接成功。

3．在使用FlashFXP软件时，可以不设置代理服务器。配置方式如下图。

4.2   透明模式配置

1、在网闸内网配置FTP透明模式并启用FTP客户端服务

2、在网闸外网启用FTP服务

3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作，直接访问真实服务器地址即可。不需要先访问代理服务器，或者设置代理服务器。

4、内网客户端机器的网关指向网闸，或者路由可达。透明模式下，外网服务器地址不能与网闸内网地址在同一网段。

       基本配置中的运行方式选择“透明方式”。其余配置方式与代理模式一致。

客户端机器的网关指向网闸（192.168.2.100），直接访问外网服务器。如下图所示

4.3   混合模式配置

1、在网闸内网配置FTP混合模式并启用FTP客户端服务

2、在网闸外网启用FTP服务

3、内网用户可通过DOS命令行方式和使用FTP客户端软件方式实现对外网FTP服务器的正常访问及操作。

4、用户可采用代理模式访问外网ftp服务器，或者使用透明模式访问。

5、基本配置中运行方式中选择“混合模式”，使用方式见4.1，4.2