Condividi tramite

IP Security <FTPSicurezza>

Panoramica

L'elemento <ipSecurity> definisce un elenco di restrizioni di sicurezza basate su IP in FTP 7. Queste restrizioni possono essere basate sull'indirizzo IP versione 4, su un intervallo di indirizzi IP versione 4 o su un nome di dominio DNS.

Compatibilità

Versione Note
IIS 10.0 L'elemento <ipSecurity> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <ipSecurity> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <ipSecurity> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <ipSecurity> dell'elemento <system.ftpServer/security> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <ipSecurity> dell'elemento <system.ftpServer/security> è stato introdotto in FTP 7.0, che era un download separato per IIS 7.0.
IIS 6.0 N/D

Nota

I servizi FTP 7.0 e FTP 7.5 forniti fuori banda per IIS 7.0, che richiedevano il download e l'installazione dei moduli dall'URL seguente:

https://www.iis.net/expand/FTP

Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.

Installazione

Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.

  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.

  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. Autenticazione di appartenenza o autenticazione di Gestione IIS per il servizio FTP, sarà necessario selezionare Estendibilità FTP, oltre al servizio FTP.
    Screenshot che mostra l'opzione F T P Service e F T P Extensibility selezionata per Windows Server 2012. .

  5. Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .

  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot che mostra l'opzione F T P Extensibility e F T P Service selezionata per Windows 8.

  4. Fare clic su OK.

  5. Fare clic su Close.

Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere Server FTP.

  5. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot che mostra l'opzione F T P Service e F T P Extensibility selezionata per Windows Server 2008.

  6. Fare clic su Avanti.

  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  8. Nella pagina Risultati fare clic su Chiudi.

Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi server FTP.

  4. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot che mostra l'opzione F T P Extensibility e F T P Service selezionata per Windows 7.

  5. Fare clic su OK.

Windows Server 2008 o Windows Vista

  1. Scaricare il pacchetto di installazione dall'URL seguente:

  2. Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:

Procedure

Come aggiungere restrizioni IP per consentire o accedere a un sito FTP

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi sito FTP o URL per cui si desidera aggiungere restrizioni IP.

  3. Nel riquadro Home fare doppio clic sulla funzionalità Indirizzi IPv4 FTP e Restrizioni di dominio .
    Screenshot che mostra il riquadro Home di contoso dot com, con L'opzione F T P I P v 4 Address and Domain Restrictions selezionata.

  4. Nella funzionalità Ftp IPv4 Address and Domain Restrictions (Impostazioni indirizzo FTP IPv4 e restrizioni di dominio ) fare clic su Aggiungi voce consenti... o Aggiungi voce nega... nel riquadro Azioni .
    Screenshot che mostra il riquadro F T P I P v 4 Address and Domain Restrictions (Restrizioni di dominio e indirizzi F T P V v 4) nel riquadro I S Manager.

  5. Immettere l'indirizzo IP che si desidera consentire o negare e quindi fare clic su OK.
    Screenshot che mostra la finestra di dialogo Aggiungi regola di restrizione nega.

Come modificare le impostazioni delle funzionalità relative alle restrizioni IP per un sito FTP

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere Siti e quindi sito FTP o URL per cui si desidera configurare restrizioni IP.

  3. Nel riquadro Home fare doppio clic sulla funzionalità Indirizzi IPv4 FTP e Restrizioni di dominio .
    Screenshot che mostra il riquadro Home del punto contoso. È selezionata L'opzione F T P V v 4 Indirizzo e restrizioni di dominio.

  4. Nella funzionalità Indirizzi FTP IPv4 e Restrizioni dominio fare clic su Modifica impostazioni funzionalità... nel riquadro Azioni .
    Screenshot che mostra il riquadro F T P I P v 4 Address and DomainLimitazione.

  5. Scegliere il comportamento di accesso predefinito per i client non specificati, specificare se abilitare le restrizioni in base al nome di dominio e quindi fare clic su OK.
    Screenshot che mostra la finestra di dialogo Modifica impostazioni restrizioni P e dominio. È selezionata l'opzione Consenti.

Configurazione

L'elemento <ipSecurity> è configurato a livello di sito o URL.

Le regole vengono elaborate dall'alto verso il basso, nell'ordine in cui vengono visualizzate nell'elenco. L'attributo allowunlisted viene elaborato l'ultimo. La procedura consigliata per le restrizioni di Internet Protocol Security (IPsec) consiste nell'elencare prima le regole Nega. Non è possibile cancellare l'attributo allowunlisted se è impostato su false.

Attributi

Attributo Descrizione
allowUnlisted Attributo Boolean facoltativo.

Specifica se consentire indirizzi IP non elencati. L'impostazione dell'attributo allowUnlisted su true consente a un indirizzo IP non elencato di accedere al server. L'impostazione dell'attributo allowUnlisted su false blocca il server, impedendo l'accesso a tutti gli indirizzi IP a meno che non siano elencati. Se si imposta questo attributo su false e non si elenca l'indirizzo di loopback locale (127.0.0.1) come indirizzo IP consentito, non sarà possibile accedere al server usando un browser da una console locale.

Il valore predefinito è true.
enableReverseDns Attributo Boolean facoltativo.

Specifica se abilitare o disabilitare le ricerche DNS (Domain Name System) inverso per il server FTP. Le ricerche inversa comportano la ricerca del nome di dominio quando l'indirizzo IP è noto.

Attenzione: le ricerche DNS inversa useranno risorse e tempo significative.

Il valore predefinito è false.

Elementi figlio

Elemento Descrizione
add Elemento facoltativo.

Aggiunge una restrizione IP alla raccolta di restrizioni degli indirizzi IP.
remove Elemento facoltativo.

Rimuove un riferimento a una restrizione dalla <ipSecurity> raccolta.
clear Elemento facoltativo.

Rimuove tutti i riferimenti alle restrizioni dalla <ipSecurity> raccolta.

Esempio di configurazione

L'esempio seguente illustra diverse impostazioni di configurazione correlate alla sicurezza nell'elemento <system.ftpServer> per un sito FTP. In particolare, le <location> impostazioni in questo esempio illustrano come:

  • Specificare una regola di autorizzazione FTP per l'accesso in lettura e scrittura per il gruppo administrators.
  • Specificare le opzioni di filtro delle richieste FTP che negano *.exe, *.bat e file *.cmd.
  • Specificare i limiti delle richieste FTP per una lunghezza massima del contenuto di 1000000 byte e una lunghezza massima di URL pari a 1024 byte.
  • Bloccare l'accesso FTP alla directory virtuale _vti_bin, usata con le estensioni del server FrontPage.
  • Specificare le opzioni di filtro IP FTP che consentono l'accesso da 127.0.0.1 e negare l'accesso dall'intervallo di indirizzi IP 169.254.0.0/255.0.0.0.
<location path="ftp.example.com">
  <system.ftpServer>
    <security>
      <authorization>
        <add accessType="Allow" roles="administrators" permissions="Read, Write" />
      </authorization>
      <requestFiltering>
        <fileExtensions allowUnlisted="true">
          <add fileExtension=".exe" allowed="false" />
          <add fileExtension=".bat" allowed="false" />
          <add fileExtension=".cmd" allowed="false" />
        </fileExtensions>
        <requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
        <hiddenSegments>
          <add segment="_vti_bin" />
        </hiddenSegments>
      </requestFiltering>
      <ipSecurity enableReverseDns="false" allowUnlisted="true">
        <add ipAddress="127.0.0.1" allowed="true" />
        <add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
      </ipSecurity>
    </security>
  </system.ftpServer>
</location>

Codice di esempio

Gli esempi seguenti configurano la sicurezza IP FTP per consentire indirizzi IP non elencati, quindi specificare restrizioni IP che consentono l'accesso da 127.0.0.1 e negare l'accesso dall'intervallo 169.254.0.0/255.255.0.0.0 dell'intervallo di indirizzi IP.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /allowUnlisted:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='127.0.0.1',allowed='True']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/ipSecurity /+"[ipAddress='169.254.0.0',subnetMask='255.255.0.0']" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection ipSecuritySection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site");
         ConfigurationElementCollection ipSecurityCollection = ipSecuritySection.GetCollection();

         ipSecuritySection["allowUnlisted"] = true;

         ConfigurationElement addElement = ipSecurityCollection.CreateElement("add");
         addElement["ipAddress"] = @"127.0.0.1";
         addElement["allowed"] = true;
         ipSecurityCollection.Add(addElement);

         ConfigurationElement addElement1 = ipSecurityCollection.CreateElement("add");
         addElement1["ipAddress"] = @"169.254.0.0";
         addElement1["subnetMask"] = @"255.255.0.0";
         ipSecurityCollection.Add(addElement1);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration


Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim ipSecuritySection As ConfigurationSection = config.GetSection("system.ftpServer/security/ipSecurity", "Default Web Site")
      Dim ipSecurityCollection As ConfigurationElementCollection = ipSecuritySection.GetCollection

      ipSecuritySection("allowUnlisted") = True

      Dim addElement As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement("ipAddress") = "127.0.0.1"
      addElement("allowed") = True
      ipSecurityCollection.Add(addElement)

      Dim addElement1 As ConfigurationElement = ipSecurityCollection.CreateElement("add")
      addElement1("ipAddress") = "169.254.0.0"
      addElement1("subnetMask") = "255.255.0.0"
      ipSecurityCollection.Add(addElement1)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var ipSecurityCollection = ipSecuritySection.Collection;

ipSecuritySection.Properties.Item("allowUnlisted").Value = true;

var addElement = ipSecurityCollection.CreateNewElement("add");
addElement.Properties.Item("ipAddress").Value = "127.0.0.1";
addElement.Properties.Item("allowed").Value = true;
ipSecurityCollection.AddElement(addElement);

var addElement1 = ipSecurityCollection.CreateNewElement("add");
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0";
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0";
ipSecurityCollection.AddElement(addElement1);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set ipSecuritySection = adminManager.GetAdminSection("system.ftpServer/security/ipSecurity", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set ipSecurityCollection = ipSecuritySection.Collection

ipSecuritySection.Properties.Item("allowUnlisted").Value = True

Set addElement = ipSecurityCollection.CreateNewElement("add")
addElement.Properties.Item("ipAddress").Value = "127.0.0.1"
addElement.Properties.Item("allowed").Value = True
ipSecurityCollection.AddElement(addElement)

Set addElement1 = ipSecurityCollection.CreateNewElement("add")
addElement1.Properties.Item("ipAddress").Value = "169.254.0.0"
addElement1.Properties.Item("subnetMask").Value = "255.255.0.0"
ipSecurityCollection.AddElement(addElement1)

adminManager.CommitChanges()
  • Last updated on