通过ISA2004使用其他端口发布FTP站点

　　有许多原因让人考虑到使用其他端口来发布ftp站点，特别是有些管理员从安全角度考虑，想使用非标准的21端口来访问发布ftp服务器。但是ISA2000不支持使用其他端口来发布ftp站点，因为ftp是一个需要在isa2000防火墙上使用应用过滤器的复杂协议。如果是在isa2000上使用其他端口发布ftp站点，你必须在ftp服务器上使用防火墙客户端，并且编辑wspcfg.ini以设置ftp服务器的程序目录，但是这个令人讨厌的，并且也不可靠。

过程是很简单的，在这篇文章中，只需要以下步骤就可以完成使用其他端口来发布ftp站点：

1、安装并且配置ftp站点；

2、建立ftp服务器发布策略；

3、建立ftp连接；

下图为本次实验所使用的基本网络：

首先是安装ftp服务器和在ftp服务器上配置ftp站点。在本次实验中，我们将在一台windows2003服务器上安装ftp站点（使用IIS自带的ftp服务器），包含以下步骤：

1、安装ftp服务，通过“开始”菜单的“控制面板”中的“添加/删除windows程序”，来添加“windows组件”，安装IIS下的ftp服务；

2、配置默认站点：

（1)打开“开始”菜单中的“管理工具”里的“Internet信息服务”管理工具；

（2)展开ftp站点，在“默认站点”上点右键，选择“属性”

（3)在ftp站点的属性对话框中，点击ftp站点页，然后在IP地址栏，选择ftp站点的实际IP；

（4)在信息页，输入服务器的标志信息（注：为了便于确认服务器）；

（5)在主目录页，输入默认本地ftp目录，在此例中我们使用默认的c:\interpub\ftproot目录，并勾选Write ，以便可以上传文件，

（6)点击应用，并点击OK关闭ftp站点属性对话框，使用按钮条上的按钮来重启ftp服务。

建立服务器发布策略

在ftp服务器设置好后（注：可在本地网络中加以验证），我们来在isa2004中建立ftp服务器发布策略。这条策略将会演示在使用isa2004的服务器发布时协议行为的可扩展性。

执行以下步骤以建立一条使用TCP 99端口来发布ftp服务器的策略：

1、打开Microsoft Internet Security and Acceleration Server 2004管理界面，展开你的服务器，点击Firewall Policy。

2、右击Firewall Policy，指向New 并且点击Server Publishing Rule。

3、在Welcome to the New Server Publishing Rule Wizard页，在Server publishing rule name 输入策略的名称，在这儿我们起名为FTP Server TCP Port 99 ，点击Next。

4、在Select Server页，在Server IP address 输入内部ftp服务器的IP地址，点击 Next。

5、在Select Protocol 页，从Selected protocol 列表中选择FTP Server，然后点击Ports 按钮。

6、在Ports 对话框，在Firewall Ports 框里面选择 Publish on this port instead of the default port 选项，然后输入端口号99，点击OK。

7、在Select Protocol 页点击Next。

8、在IP Addresses页，选择External ，然后点击Address 按钮。

9、在External Network Listener IP Selection 对话框，选择Selected IP addresses in this network Selected IP addresses in this network 选项，在 Available IP Addresses 中选择你想在ISA Server 2004外部接口上侦听进入的ftp连接的IP地址，然后点击Add，这个IP将会在Selected IP Addresses 列表中显示出来，点击OK。

10、在IP Addresses 页点击Next 。

11、在Completing the New Server Publishing Rule Wizard 页点击Finish 。

12、点击Apply 以保存修改并且更新防火墙策略。

13、你现在将可以在细节面板中看见FTP服务器发布策略。

建立ftp连接

现在我们来测试刚才发布的ftp站点，我已经建立好了一个名叫ftplog 的文件，用于上传到ftp站点上。执行以下步骤建立连接：

1、打开一个命令提示符窗口，输入ftp 并回车（注：因为不是使用ftp标准的21端口，只能先进入ftp命令，再使用open子命令来建立连接），然后输入open 192.168.1.70 99 （ISA Server 2004的外部接口）并回车，用户名为anonymous，并且随意输入一个密码，此时，我们已经成功的连接上去了。你可以使用get 命令来下载文件，但是，如果此时你使用put 命令来上传文件，你会看见拒绝访问的错误信息，因为你的ISA Server拒绝了这个操作。下图是详细的过程：

2、发生错误的原因是，你没有在FTP发布策略中允许上传。你可以在ftp服务发布策略中允许它。回到ISA Server管理界面，在ftp服务发布策略上点击右键，选择Configure FTP。

3、在Configures FTP protocol policy 对话框，去掉Read Only 的选择，然后点击Apply ，再点击OK 。

4、点击Apply 保存并更新防火墙策略。

5、回到命令提示符下，重复上传文件的动作，你会看见，现在可以上传文件到ftp站点了。

6、如果你在ISA Server 2004的实时监控中观察，你会看看一些有趣的事情。虽然外部客户是连接到是TCP端口99，然后实时监控显示的却是外部客户直接连接到内部电脑的TCP 21端口，不过你可以从log文件的字段中看出，它们和FTP Server TCP Port 99 策略是相关的。

7、关闭Microsoft Internet Security and Acceleration Server 2004 管理界面。

注：除了ftp，只要在ISA Server 2004中有对应应用程序过滤器的协议，如RDP等，都可以使用此办法发布到非标准端口，这样可以提高网络的安全性。目前ISA Server 2004存在一个很大的bug：如果要发布内部本来就不是使用21端口进行ftp的连接的ftp服务器，那么要么使用应用程序过滤器来发布该服务器，但是这样只能是只读，不能上传文件；或者另外定义一个协议来使用，这样可以写，但是这样只能让客户端和ftp服务器进行PASV连接，不能使用port模式连接。已经在beta2和RC版上测试，都未能解决这个问题。

具体如何发布使用非标准21的ftp服务器，会在以后的帖子中介绍。