Bagikan melalui

Mengonfigurasi Pengaturan Firewall FTP di IIS 7

oleh Robert McMurray

Kompatibilitas

Versi Catatan
IIS 7.5 Layanan FTP 7.5 dikirim sebagai fitur untuk IIS 7.5 di Windows 7 dan Windows Server 2008 R2.
IIS 7.0 Layanan FTP 7.0 dan FTP 7.5 dikirim di luar band untuk IIS 7.0, yang memerlukan pengunduhan dan penginstalan layanan dari URL berikut: https://www.iis.net/download/FTP.

Pengantar

Microsoft telah membuat layanan FTP baru yang telah ditulis ulang sepenuhnya untuk Windows ServerĀ® 2008. Layanan FTP ini menggabungkan banyak fitur baru yang memungkinkan penulis web menerbitkan konten lebih baik dari sebelumnya, dan menawarkan administrator web lebih banyak opsi keamanan dan penyebaran.

Dokumen ini memandu Anda mengonfigurasi pengaturan firewall untuk server FTP baru.

Prasyarat

Item berikut ini harus diinstal untuk menyelesaikan prosedur dalam artikel ini:

  1. IIS 7 harus diinstal pada Server Windows 2008 Anda, dan Manajer Layanan Informasi Internet (IIS) harus diinstal.

  2. Layanan FTP baru. Anda dapat mengunduh dan menginstal layanan FTP dari https://www.iis.net/ situs web menggunakan salah satu tautan berikut:

    • FTP 7.5 untuk IIS 7 (x64)
    • FTP 7.5 untuk IIS 7 (x86)

  3. Anda harus membuat folder akar untuk penerbitan FTP:

    • Membuat folder di %SystemDrive%\inetpub\ftproot

    • Atur izin untuk mengizinkan akses anonim:

      • Buka prompt perintah.

      • Ketik perintah berikut:

        ICACLS "%SystemDrive%\inetpub\ftproot" /Grant IUSR:R /T

      • Buka perintah.

Catatan Penting:

  • Pengaturan yang tercantum dalam panduan ini menentukan %SystemDrive%\inetpub\ftproot sebagai jalur ke situs FTP Anda. Anda tidak diharuskan untuk menggunakan jalur ini; namun, jika Anda mengubah lokasi untuk situs Anda, Anda harus mengubah jalur terkait situs yang digunakan di seluruh panduan ini.

  • Setelah mengonfigurasi pengaturan firewall untuk layanan FTP, Anda harus mengonfigurasi perangkat lunak atau perangkat keras firewall untuk mengizinkan koneksi melalui firewall ke server FTP Anda.

Gunakan Panduan Situs FTP untuk Membuat Situs FTP Dengan Autentikasi Anonim

Di bagian ini Anda, buat situs FTP baru yang dapat dibuka untuk akses Baca-saja oleh pengguna anonim. Untuk melakukannya, gunakan langkah-langkah berikut:

  1. Buka Manajer IIS 7. Di panel Koneksi ions, klik simpul Situs di pohon.

  2. Klik kanan simpul Situs di pohon dan klik Tambahkan Situs FTP, atau klik Tambahkan Situs FTP di panel Tindakan .

    Cuplikan layar Manajer I S. Tambahkan Situs F T P disorot di menu konteks Situs di panel Koneksi ions.

  3. Saat wizard Tambahkan Situs FTP muncul:

    • Masukkan "Situs FTP Baru Saya" di kotak nama situs FTP, lalu navigasikan ke %SystemDrive%\inetpub\ftproot folder yang Anda buat di bagian Prasyarat.

      Catatan

      Jika Anda memilih untuk mengetik jalur ke folder konten, Anda dapat menggunakan variabel lingkungan di jalur Anda.

    • Klik Berikutnya.

      Cuplikan layar memperlihatkan kotak dialog Tambahkan Situs F T P untuk Informasi Situs.

  4. Pada halaman panduan berikutnya:

    • Pilih alamat IP untuk situs FTP Anda dari menu drop-down Alamat IP, atau pilih untuk menerima pilihan default "Semua Tidak Ditetapkan." Karena Anda akan mengakses situs FTP ini dari jarak jauh, Anda ingin memastikan bahwa Anda tidak membatasi akses ke server lokal dan memasukkan alamat IP loopback lokal untuk komputer Anda dengan mengetik "127.0.0.1" di kotak Alamat IP.

    • Anda biasanya akan memasukkan port TCP/IP untuk situs FTP di kotak Port . Untuk panduan ini, Anda akan memilih untuk menerima port default 21.

    • Untuk panduan ini, Anda tidak menggunakan nama host, jadi pastikan kotak Host Virtual kosong.

    • Pastikan bahwa drop-down Sertifikat diatur ke "Tidak Dipilih" dan opsi Izinkan SSL dipilih.

    • Klik Berikutnya.

      Cuplikan layar memperlihatkan kotak dialog Tambahkan Situs F T P untuk Pengikatan dan Pengaturan S S L.

  5. Pada halaman panduan berikutnya:

    • Pilih Anonim untuk pengaturan Autentikasi .

    • Untuk pengaturan Otorisasi, pilih "Pengguna anonim" dari menu drop-down Izinkan akses ke. Pilih Baca untuk opsi Izin .

    • Klik Selesai.

      Cuplikan layar memperlihatkan kotak dialog Tambahkan Situs F T P untuk Autentikasi dan Informasi Resmi.

  6. Buka Manajer IIS 7. Klik simpul untuk situs FTP yang Anda buat. Ikon untuk semua fitur FTP ditampilkan.

    Cuplikan layar yang memperlihatkan panel Beranda Situs F T P Baru Saya.

Ringkasan

Untuk merekap item yang Anda selesaikan dalam langkah ini:

  1. Anda membuat situs FTP baru bernama "Situs FTP Baru Saya", dengan akar konten situs di %SystemDrive%\inetpub\ftproot.
  2. Anda mengikat situs FTP ke alamat loopback lokal untuk komputer Anda pada port 21, memilih untuk tidak menggunakan Secure Sockets Layer (SSL) untuk situs FTP.
  3. Anda membuat aturan default untuk situs FTP untuk memungkinkan pengguna anonim "Baca" akses ke file.

Langkah 1: Mengonfigurasi Rentang Port Pasif untuk Layanan FTP

Di bagian ini, Anda mengonfigurasi rentang port tingkat server untuk koneksi pasif ke layanan FTP. Gunakan langkah-langkah berikut:

  1. Buka Manajer IIS 7. Di panel Koneksi ions, klik simpul tingkat server di pohon.

    Cuplikan layar yang memperlihatkan panel Beranda SERVER SAYA.

  2. Klik dua kali ikon Dukungan Firewall FTP dalam daftar fitur.

    Cuplikan layar yang memperlihatkan panel Beranda SERVER SAYA dengan Dukungan Firewall F T P disorot.

  3. Masukkan rentang nilai untuk Rentang Port Saluran Data.

    Cuplikan layar yang memperlihatkan panel Dukungan Firewall F T P.

  4. Setelah Anda memasukkan rentang port untuk layanan FTP Anda, klik Terapkan di panel Tindakan untuk menyimpan pengaturan konfigurasi Anda.

Catatan

  1. Rentang yang valid untuk port adalah 1024 hingga 65535. (Port dari 1 hingga 1023 dicadangkan untuk digunakan oleh layanan sistem.)

  2. Anda dapat memasukkan rentang port khusus "0-0" untuk mengonfigurasi server FTP untuk menggunakan rentang port dinamis Windows TCP/IP.

  3. Untuk informasi tambahan, silakan lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:

  4. Rentang port ini perlu ditambahkan ke pengaturan yang diizinkan untuk server firewall Anda.

  5. Setelah membuat perubahan konfigurasi, mulai ulang Layanan Microsoft FTP melalui Start>>Runservices.msc dan temukan layanan FTP.

Langkah 2: Mengonfigurasi Alamat IPv4 eksternal untuk Situs FTP Tertentu

Di bagian ini, Anda mengonfigurasi alamat IPv4 eksternal untuk situs FTP tertentu yang Anda buat sebelumnya. Gunakan langkah-langkah berikut:

  1. Buka Manajer IIS 7. Di panel Koneksi ions, klik situs FTP yang Anda buat sebelumnya di pohon, Klik dua kali ikon Dukungan Firewall FTP dalam daftar fitur.

    Cuplikan layar yang memperlihatkan panel Beranda Situs F T P Baru Saya dengan Dukungan Firewall F T P disorot.

  2. Masukkan alamat IPv4 alamat eksternal server firewall Anda untuk pengaturan Alamat IP Eksternal Firewall .

    Cuplikan layar yang memperlihatkan panel Dukungan Firewall F T P, dengan Alamat I P dimasukkan di bidang Alamat I P Eksternal atau Firewall.

  3. Setelah Anda memasukkan alamat IPv4 eksternal untuk server firewall Anda, klik Terapkan di panel Tindakan untuk menyimpan pengaturan konfigurasi Anda.

Ringkasan

Untuk merekap item yang Anda selesaikan dalam langkah ini:

  1. Anda mengonfigurasi rentang port pasif untuk layanan FTP Anda.
  2. Anda mengonfigurasi alamat IPv4 eksternal untuk situs FTP tertentu.

(Opsional) Langkah 3: Mengonfigurasi Pengaturan Windows Firewall

Windows Server 2008 berisi layanan firewall bawaan untuk membantu mengamankan server Anda dari ancaman jaringan. Jika Anda memilih untuk menggunakan Windows Firewall bawaan, Anda harus mengonfigurasi pengaturan Anda sehingga lalu lintas FTP dapat melewati firewall.

Ada beberapa konfigurasi berbeda yang perlu dipertimbangkan saat menggunakan layanan FTP dengan Windows Firewall - apakah Anda akan menggunakan koneksi FTP aktif atau pasif, dan apakah Anda akan menggunakan FTP yang tidak terenkripsi atau menggunakan FTP melalui SSL (FTPS). Masing-masing konfigurasi ini dijelaskan di bawah ini.

Catatan

Anda harus memastikan bahwa Anda mengikuti langkah-langkah di panduan bagian ini saat masuk sebagai administrator. Ini dapat dicapai dengan salah satu metode berikut:

  • Masuk ke server Anda menggunakan akun aktual bernama "Administrator".
  • Masuk menggunakan akun dengan hak istimewa administrator dan membuka prompt perintah dengan mengklik kanan item menu Prompt Perintah yang terletak di menu Aksesori untuk program Windows dan memilih "Jalankan sebagai administrator".

Salah satu langkah di atas diperlukan karena komponen keamanan Kontrol Akun Pengguna (UAC) di sistem operasi Windows Vista dan Windows Server 2008 mencegah akses administrator ke pengaturan firewall Anda. Untuk informasi selengkapnya tentang UAC, silakan lihat dokumentasi berikut:

Catatan

Meskipun Windows Firewall dapat dikonfigurasi menggunakan applet Windows Firewall di Windows Panel Kontrol, utilitas tersebut tidak memiliki fitur yang diperlukan untuk mengaktifkan semua fitur untuk FTP. Windows Firewall dengan utilitas Keamanan Tingkat Lanjut yang terletak di bawah Alat Administratif di Windows Panel Kontrol memiliki semua fitur yang diperlukan untuk mengaktifkan fitur FTP, tetapi demi kepentingan kesederhanaan, panduan ini akan menjelaskan cara menggunakan baris perintah Netsh.exe utilitas untuk mengonfigurasi Windows Firewall.

Menggunakan Windows Firewall dengan lalu lintas FTP yang tidak aman

Untuk mengonfigurasi Windows Firewall untuk mengizinkan lalu lintas FTP yang tidak aman, gunakan langkah-langkah berikut:

  1. Buka perintah: klik Mulai, lalu Semua Program, lalu Aksesori, lalu Prompt Perintah.

  2. Untuk membuka port 21 pada firewall, ketik sintaks berikut lalu tekan enter:

    netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow protocol=TCP dir=in localport=21

  3. Untuk mengaktifkan pemfilteran FTP stateful yang akan membuka port secara dinamis untuk koneksi data, ketik sintaks berikut lalu tekan enter:

    netsh advfirewall set global StatefulFtp enable

Catatan Penting:

  • Koneksi FTP aktif tidak selalu dicakup oleh aturan di atas; koneksi keluar dari port 20 juga perlu diaktifkan di server. Selain itu, komputer klien FTP harus memiliki pengaturan pengecualian firewall sendiri untuk lalu lintas masuk.
  • FTP melalui SSL (FTPS) tidak akan dicakup oleh aturan ini; Negosiasi SSL kemungkinan besar akan gagal karena filter Windows Firewall untuk inspeksi FTP stateful tidak akan dapat mengurai data terenkripsi. (Beberapa filter firewall pihak ketiga mengenali awal negosiasi SSL, misalnya perintah AUTH SSL atau AUTH TLS, dan mengembalikan kesalahan untuk mencegah negosiasi SSL dimulai.)

Menggunakan Windows Firewall dengan lalu lintas FTP aman melalui SSL (FTPS)

Inspeksi paket FTP stateful di Windows Firewall kemungkinan besar akan mencegah SSL berfungsi karena filter Windows Firewall untuk inspeksi FTP stateful tidak akan dapat mengurai lalu lintas terenkripsi yang akan membuat koneksi data. Karena perilaku ini, Anda harus mengonfigurasi pengaturan Windows Firewall untuk FTP secara berbeda jika Anda ingin menggunakan FTP melalui SSL (FTPS). Cara term mudah untuk mengonfigurasi Windows Firewall untuk mengizinkan lalu lintas FTPS adalah dengan mencantumkan layanan FTP pada daftar pengecualian masuk. Nama layanan lengkapnya adalah "Layanan Microsoft FTP", dan nama layanan pendeknya adalah "ftpsvc". (Layanan FTP dihosting dalam host proses layanan generik (Svchost.exe) sehingga tidak mungkin untuk meletakkannya di daftar pengecualian meskipun pengecualian program.)

Untuk mengonfigurasi Windows Firewall untuk mengizinkan FTP aman melalui lalu lintas SSL (FTPS), gunakan langkah-langkah berikut:

  1. Buka perintah: klik Mulai, lalu Semua Program, lalu Aksesori, lalu Prompt Perintah.

  2. Untuk mengonfigurasi firewall agar layanan FTP dapat mendengarkan semua port yang dibukanya, ketik sintaks berikut lalu tekan enter:

    netsh advfirewall firewall add rule name="FTP for IIS7" service=ftpsvc action=allow protocol=TCP dir=in

  3. Untuk menonaktifkan pemfilteran FTP stateful sehingga Windows Firewall tidak akan memblokir lalu lintas FTP, ketik sintaks berikut lalu tekan enter:

    netsh advfirewall set global StatefulFtp disable

Informasi Selengkapnya tentang Bekerja dengan Firewall

Seringkali menantang untuk membuat aturan firewall agar server FTP berfungsi dengan benar, dan akar penyebab tantangan ini terletak pada arsitektur protokol FTP. Setiap klien FTP memerlukan dua koneksi yang harus dipertahankan antara klien dan server:

  • Perintah FTP ditransfer melalui koneksi utama yang disebut Saluran Kontrol, yang biasanya merupakan port FTP terkenal 21.
  • Transfer data FTP, seperti daftar direktori atau pengunggahan/pengunduhan file, memerlukan koneksi sekunder yang disebut Saluran Data.

Membuka port 21 di firewall adalah tugas yang mudah, tetapi ini berarti bahwa klien FTP hanya akan dapat mengirim perintah, bukan mentransfer data. Ini berarti bahwa klien akan dapat menggunakan Saluran Kontrol untuk berhasil mengautentikasi dan membuat atau menghapus direktori, tetapi klien tidak akan dapat melihat daftar direktori atau dapat mengunggah/mengunduh file. Ini karena koneksi data untuk server FTP tidak diizinkan untuk melewati firewall hingga Saluran Data diizinkan melalui firewall.

Catatan

Ini mungkin tampak membingungkan bagi klien FTP, karena klien tampaknya akan berhasil masuk ke server, tetapi koneksi mungkin tampak habis atau berhenti merespons saat mencoba mengambil daftar direktori dari server.

Tantangan bekerja dengan FTP dan firewall tidak berakhir dengan persyaratan koneksi data sekunder; untuk mempersulit hal-hal lebih banyak lagi, sebenarnya ada dua cara berbeda tentang cara membuat koneksi data:

  • Koneksi Data Aktif: Dalam koneksi data aktif, klien FTP menyiapkan port untuk mendengarkan saluran data dan server memulai koneksi ke port; ini biasanya dari port server 20. Koneksi data aktif digunakan untuk menjadi cara default menyambungkan ke server FTP; namun, koneksi data aktif tidak lagi direkomendasikan karena tidak berfungsi dengan baik dalam skenario Internet.
  • Koneksi Data Pasif: Dalam koneksi data pasif, server FTP menyiapkan port untuk mendengarkan saluran data dan klien memulai koneksi ke port. Koneksi pasif bekerja jauh lebih baik dalam skenario Internet dan direkomendasikan oleh RFC 1579 (Firewall-Friendly FTP).

Catatan

Beberapa klien FTP memerlukan tindakan eksplisit untuk mengaktifkan koneksi pasif, dan beberapa klien bahkan tidak mendukung koneksi pasif. (Salah satu contohnya adalah utilitas Ftp.exe baris perintah yang dikirim dengan Windows.) Untuk menambah kebingungan, beberapa klien mencoba untuk secara cerdas bergantian antara dua mode ketika kesalahan jaringan terjadi, tetapi sayangnya ini tidak selalu berfungsi.

Beberapa firewall mencoba memperbaiki masalah dengan koneksi data dengan filter bawaan yang memindai lalu lintas FTP dan secara dinamis mengizinkan koneksi data melalui firewall. Filter firewall ini dapat mendeteksi port apa yang akan digunakan untuk transfer data dan membukanya sementara pada firewall sehingga klien dapat membuka koneksi data. (Beberapa firewall dapat memungkinkan pemfilteran lalu lintas FTP secara default, tetapi tidak selalu terjadi.) Jenis pemfilteran ini dikenal sebagai jenis Stateful Packet Inspection (SPI) atau Stateful Inspection, yang berarti bahwa firewall mampu secara cerdas menentukan jenis lalu lintas dan secara dinamis memilih cara merespons. Banyak firewall sekarang menggunakan fitur-fitur ini, termasuk Windows Firewall bawaan.