FTP服务器的防火墙通用设置规则

此FTP服务器的防火墙通用设置规则适用于Windows(包括服务器版和桌面版)、Linux服务器以及可能的其他 *** 作系统。
在配置好FTP服务器后将发起FTP服务的程序(如Windows的svchostexe或FileZilla
serverexe)而不仅仅是端口允许通过防火墙，程序(此处特指Windows的svchostexe)不用带参数。
svchostexe这个例外，必须通过控制面板中的
“
允许程序通过
Windows
防火墙通信”
，使得
“Windows
服务主进程”
(
svchostexe
，C:WindowsSystem32svchostexe
)允许通过防火墙才可以。
FileZilla也是如此，但无需仅使用控制面板中的
“
允许程序通过
Windows
防火墙通信”，而也可以使用“高级安全Windows防火墙”进行设置
。

通过打开到 TCP 端口号 21 的“命令通道”连接，标准模式 FTP 客户端会启动到服务器的会话。客户端通过将 PORT 命令发送到服务器请求文件传输。然后，服务器会尝试启动返回到 TCP 端口号 20 上客户端的“数据通道”连接。客户端上运行的典型防火墙将来自服务器的此数据通道连接请求视为未经请求，并会丢弃数据包，从而导致文件传输失败。 Windows Vista 和 Windows Server 2008 中的 高级安全 Windows 防火墙 支持有状态 FTP ，该 FTP 允许将端口 20 上的入站连接请求与来自客户端的先前出站 PORT 命令相匹配。但是，如果您通过 SSL 使用 FTP 来加密和保护 FTP 通信，则防火墙不再能够检查来自服务器的入站连接请求，并且这些请求会被阻止。 为了避免此问题， FTP 还支持“被动” *** 作模式，客户端在该模式下启动数据通道连接。客户端未使用 PORT 命令，而是在命令通道上发送 PASV 命令。服务器使用 TCP 端口号进行响应，客户端应连接到该端口号来建立数据通道。默认情况下，服务器使用极短范围（ 1025 到 5000 ）内的可用端口。为了更好保护服务器的安全，您可以限制 FTP 服务使用的端口范围，然后创建一个防火墙规则：仅在那些允许的端口号上进行 FTP 通信。 本主题将讨论执行以下 *** 作的方法： 1 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 2 配置入站防火墙规则以便仅在允许的端口上进行入站 FTP 连接 以下过程显示在 Internet 信息服务 (IIS) 70 版上配置 FTP 服务的步骤。如果您使用其他 FTP 服务，请查阅产品文档以找到相应的步骤。配置对 SSL 的支持不在本主题的讨论范围之内。有关详细信息，请参阅 IIS 文档。 配置 FTP 服务以便仅将有限数量的端口用于被动模式 FTP 1 在 IIS 70 管理器中的“连接”窗格中，单击服务器的顶部节点。 2 在细节窗格中，双击“FTP 防火墙支持”。 3 输入您希望 FTP 服务使用的端口号的范围。例如，41000-41099 允许服务器同时支持 100 个被动模式数据连接。 4 输入防火墙的外部 IPv4 地址，数据连接通过该地址到达。 5 在“ *** 作”窗格中，单击“应用”保存您的设置。 还必须在 FTP 服务器上创建防火墙规则，以在前一过程中配置的端口上允许入站连接。尽管您可以创建按编号指定端口的规则，但是，创建打开 FTP 服务所侦听的任何端口的规则更为容易。通过按前一过程中的步骤 *** 作，您可限制 FTP 侦听的端口。 配置入站防火墙规则以便仅允许到 FTP 所侦听端口的入站 FTP 连接 1 打开管理员命令提示符。依次单击「开始」、“所有程序”和“附件”，右键单击“命令提示符”，然后单击“以管理员身份运行”。 2 运行下列命令： 复制代码 netsh advfirewall firewall add rule name=”FTP Service” action=allow service=ftpsvc protocol=TCP dir=in 3 最后，禁用有状态 FTP 筛选，以使防火墙不会阻止任何 FTP 通信。 复制代码 netsh advfirewall set global StatefulFTP disable Windows Firewall and non-secure FTP traffic Windows firewall can be configured from command line using netsh command 2 simple steps are required to setup Windows Firewall to allow non-secure FTP traffic 1) Open port 21 on the firewall netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21 2) Activate firewall application filter for FTP (aka Stateful FTP) that will dynamically open ports for data connections netsh advfirewall set global StatefulFtp enable

1、WIN+X调出系统配置菜单，选择控制面板；
2、选择windows 防火墙；
3、点击左侧的“高级设置”选项；
4、设置入站规则（入站规则：别人电脑访问自己电脑；出站规则：自己电脑访问别人电脑），点击“新建规则”，点选“端口”，单击 “下一步”；
5、选择相应的协议，如添加8080端口，我们选择TCP，在我写本地端口处输入8080；
6、选择“允许连接”，点击“下一步”；
7、勾选“域”，“专用”，“公司”，点击“下一步”；
8、输入端口名称，点“完成”即可。
9、具体效果如下，已经在防火墙里开放单独端口。

默认防火墙设置

规划防火墙配置的第一步是确定 *** 作系统的防火墙的当前状态。 如果 *** 作系统是从早期版本升级而来，则可能已保留以前的防火墙设置。 此外，防火墙设置可能已由其他管理员或域中的组策略更改。

注意 注意

打开防火墙将影响访问此计算机的其他程序，例如文件和打印共享以及远程桌面连接。 在调整防火墙设置之前，管理员应对计算机上运行的所有应用程序加以考虑。

用于配置防火墙的程序

有三种配置 Windows 防火墙设置的方式。

“控制面板”中的“Windows 防火墙”项

可以从“控制面板”打开“Windows 防火墙”项。

重要说明 重要提示

在“控制面板”中的“Windows 防火墙”项中所做的更改只会影响当前配置文件。 诸如便携式计算机之类的移动设备不应使用“控制面板”中的“Windows 防火墙”项，因为当以其他配置连接设备时配置文件可能会更改。 这样以前配置的配置文件将失效。 有关配置文件的详细信息，请参阅高级安全 Windows 防火墙入门指南。

使用“控制面板”中的“Windows 防火墙”项可配置基本选项。 其中包括：

打开或关闭“控制面板”中的“Windows 防火墙”项

启用和禁用规则

配置例外的端口和程序

设置一些范围限制

“控制面板”中的“Windows 防火墙”项最适合于防火墙配置经验不足的用户以及要为非移动的计算机配置基本防火墙选项的用户。 也可以采用以下步骤通过 run 命令打开“控制面板”中的“Windows 防火墙”项：

打开“Windows 防火墙”项

在“开始”菜单上，单击“运行”，然后输入 firewallcpl。

单击“确定”。

Microsoft 管理控制台 (MMC)

使用高级安全 Windows 防火墙 MMC 管理单元可以配置更高级的防火墙设置。 此管理单元以一种易于使用的方式呈现大多数防火墙选项，并且会显示所有防火墙配置文件。 有关详细信息，请参阅本主题后面的使用高级安全 Windows 防火墙管理单元。

netsh

管理员可以在命令提示符下使用 netshexe 工具配置和监视基于 Windows 的计算机，也可以使用批处理文件执行此 *** 作。通过使用 netsh 工具，可以将输入的上下文命令定向到相应帮助器，然后由帮助器执行此命令。 帮助器是一个动态链接库 (dll) 文件，它通过对一种或多种服务、实用工具或协议提供配置、监视和支持来扩展 netsh 工具的功能。 所有支持 SQL Server 的 *** 作系统都具有防火墙帮助器。 Windows Server 2008 也具有称作 advfirewall 的高级防火墙帮助器。 本主题不讨论有关使用 netsh 的详细信息。 不过，所述配置选项中的许多选项都可以通过使用 netsh 加以配置。 例如，在命令提示符下运行以下脚本，以打开 TCP 端口 1433：

netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT

使用高级安全 Windows 防火墙帮助器的一个类似示例：

netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN

有关 netsh 的详细信息，请参阅以下链接：

如何使用 Netshexe 工具和命令行开关

如何使用“netsh advfirewall firewall”上下文而非“netsh firewall”上下文控制 Windows Server 2008 和 Windows Vista 中的 Windows 防火墙行为

“netsh firewall”命令及“profile=all”参数不配置基于 Windows Vista 的计算机上的公共配置文件

下面几个表可有助于您确定 SQL Server 所使用的端口。

数据库引擎使用的端口

下表列出了数据库引擎经常使用的端口。

---