從 ISA Server 網路存取 FTP 用戶端

本頁内容

概觀
概念和程序
實用文章

概觀

Microsoft® Internet Security and Acceleration (ISA) Server 電腦或 ISA Server 電腦後方的內部用戶端電腦,可能必須存取外部檔案傳輸通訊協定 (FTP) 中的資源,才能取得文件或更新軟體 (例如防毒程式)。在設定這類 FTP 的存取方式時,請考慮下列問題:

  • 您是從內部電腦或 ISA Server 電腦來存取外部 FTP 資源?

  • ISA Server 電腦是否在整合模式或快取模式中進行設定?

  • 用戶端電腦是設定為防火牆用戶端、SecureNAT 用戶端、Web Proxy 用戶端,或是用戶端組合?

  • 特定 FTP 用戶端是否有任何限制?

以下章節將討論存取外部 FTP 資源的方法及設定指示。為了幫助您疑難排解特定 FTP 用戶端的問題,請參考本文件後面<實用文章>一節所提供的 Microsoft 知識庫文件連結。

概念和程序

本節包括:

  • ISA Server 電腦所提出的 FTP 要求

  • 從內部用戶端電腦存取 FTP

ISA Server 電腦所提出的 FTP 要求

若要允許 ISA Server 電腦所提出的外部 FTP 資源要求,您可以:

  • 透過 Web Proxy 服務傳送 FTP 要求。

  • 在 ISA Server 電腦上設定封包篩選器。

透過 Web Proxy 服務傳送 FTP 要求

您可以透過 ISA Server 電腦上的 Web Proxy 服務來傳送 FTP 要求,但僅限於 FTP 下載。只要將 FTP 用戶端 (例如 Internet Explorer、指令行 FTP 工具或 GUI 工具) 設定在做為 Proxy 伺服器的 ISA Server 電腦中的內部 IP 位址即可。如果您是以快取模式安裝 ISA Server,則只能使用瀏覽器,透過 Web Proxy 服務來傳送 FTP 要求。使用 Internet Explorer 提出 FTP 要求時,請注意下列問題:

  • 如果您已經啟用 FTP 站台的資料夾檢視,那麼 Internet Explorer 用戶端就不會使用 Web Proxy 服務傳送 FTP 連線要求,而是會嘗試直接將要求傳送到網際網路。但是,如果用戶端電腦只設定為 Web Proxy 用戶端,這樣的做法就會行不通。如需有關如何在 Internet Explorer 中停用 FTP 站台的資料夾檢視的詳細資料和指示,請參閱「Microsoft 知識庫」文件編號 814473<內部用戶端無法透過 Internet Security and Acceleration Server 2000 存取 FTP 站台>。

在 ISA Server 電腦上設定封包篩選器

為了能夠運用 ISA Server 電腦中的完整功能來處理 FTP 要求,您必須具備封包篩選器。請注意,如果 ISA Server 是以快取模式安裝,便無法使用封包篩選器。

若要為輸出 FTP 建立封包篩選器

  1. 在 [ISA Server Management] 的 [Access Policy] 節點中,用滑鼠右鍵按一下 [IP Packet Filters],指向 [New],然後按一下 [Filter]。

  2. 在 [New IP Packet Filter Wizard] 中,輸入封包篩選器的名稱,然後按一下 [Next]。

  3. 在 [Filter Mode] 中,選取 [Allow packet transmission],然後按一下 [Next]。

  4. 在 [Filter Type] 中,選取 [Custom],然後按一下 [Next]。

  5. 在 [Filter Settings] 中,選取下列選項:

    • 在 [IP Protocol] 中,選取 [TCP]。

    • 在 [Direction] 中,選取 [Outbound]。

    • 在 [Local Port] 中,選取 [Dynamic]。

    • 在 [Remote Port] 中,選取 [Fixed port],然後指定連接埠號碼 21。

  6. 按一下 [Next]。

  7. 在 [Local Computer] 中,為 ISA Server 電腦上的每個外部介面選取預設的 IP 位址,然後按一下 [Next]。

  8. 在 [Remote Computers] 中,選取 [All remote computers],以允許 FTP 對所有目的地提出的要求。選取 [Only this remote computer],然後輸入外部 FTP 伺服器的 IP 位址,限制 FTP 只能對特定目的地傳出要求。

若要為輸入 FTP 建立封包篩選器

若要允許輸入存取,請重複上述程序,並使用下面的設定:

  • 在 [Direction] 中,選取 [Inbound]。

  • 在 [Local Port] 中,選取 [Any]。

  • 在 [Remote Port] 中,選取 [Fixed port],然後指定連接埠號碼 20。

從內部用戶端電腦存取 FTP

您可以允許 ISA Server 電腦後方的內部用戶端電腦,以存取外部 FTP 伺服器, 並根據內部電腦的用戶端設定,設定 FTP 功能:

  • Web Proxy 用戶端。如果電腦只設定做為 Web Proxy 用戶端,則只能下載 FTP。您可以透過 Internet Explorer 或任何允許您指定 Web Proxy 設定的 FTP 用戶端軟體,來下載 FTP。使用瀏覽器透過 Web Proxy 服務傳送 FTP 要求是快取模式中的唯一選項。

  • Firewall 用戶端或 SecureNAT 用戶端。Firewall 服務會處理從內部網路 Firewall 和 SecureNAT 用戶端提出的外部 FTP 資源要求。若要處理設定為 Firewall 或 SecureNAT 用戶端的電腦所提出的要求,請確認下列事項:

    • 已啟用 FTP 存取篩選器。

    • 具有允許 FTP 通訊協定的通訊協定規則。

    • 具有允許存取目的地網站的網站及內容規則。

    • FTP 用戶端應用程式尚未設定 Web Proxy 設定 (您不必移除 Internet Explorer 中的 Web Proxy 設定)。

啟用 FTP 存取篩選器

ISA Server 所提供的 FTP 存取篩選器會將 FTP 要求從 SecureNAT 用戶端轉送到 Firewall 服務,並採用下列通訊協定定義:

  • FTP 用戶端唯讀

  • FTP 用戶端

  • FTP 伺服器

  • FTP 伺服器唯讀

雖然您可以建立 FTP 的通訊協定定義,但是此通訊協定定義並不會提供 FTP 篩選器所提供的所有功能。使用者定義的 FTP 通訊協定定義和 FTP 存取篩選器是不同的,因為:

  • FTP 篩選器會以動態方式為次要連線開啟特定的連接埠。自訂建立的通訊協定定義會開啟次要的連接埠。

  • FTP 存取篩選器可以執行次要連線所需要的位址轉譯,以保護 SecureNAT 用戶端。自訂通訊協定定義無法執行此類位址轉譯。

  • 由於 FTP 存取篩選器包括唯讀 FTP 通訊協定定義,因此它會區別讀取和寫入權限,讓您可以調整存取權限。

請注意,Firewall 用戶端必須啟用 FTP 存取篩選器,因為 ISA Server 預先定義的通訊協定定義只會定義主要的 FTP 連線,而不會定義次要的資料連線。

若要啟用 FTP 存取篩選器

  1. 在 [ISA Server Management] 的 [Extensions] 節點中,按一下 [Application Filters]。

  2. 在詳細資料窗格中,用滑鼠右鍵按一下 [FTP Access Filter],然後按一下 [Properties]。

  3. 在 [General] 索引標籤中,確定已選取 [Enable this filter]。

建立通訊協定規則,以允許 FTP 通訊協定

啟用篩選器之後,您必須確認是否有個規則,可以用來允許內部 Firewall 用戶端或 SecureNAT 用戶端使用 FTP 通訊協定。

若要建立通訊協定規則

  1. 在 [ISA Server Management] 的 [Access Policy] 節點中,用滑鼠右鍵按一下 [Protocol Rules],指向 [New],然後按一下 [Rule]。

  2. 在 [New Protocol Rule Wizard] 中,輸入規則的名稱,然後按一下 [Next]。

  3. 在 [Rule Action] 中,選取 [Allow],然後按一下 [Allow]。

  4. 在 [Protocols] 的 [Apply this rule to] 中,選取 [Selected Protocols]。在通訊協定清單中,選取您想要允許的 FTP 通訊協定:

    • [FTP]:TCP 連接埠 21,由 FTP 存取篩選器定義,可以在主機之間複製檔案。

    • [FTP Download only]:TCP 連接埠 21,由 FTP 存取篩選器定義,可以從 FTP 伺服器下載檔案至用戶端。

  5. 按一下 [Next]。

  6. 在 [Schedule] 中,選取套用規則的時間。然後按一下 [Next]。

  7. 在 [Client Type] 中,選取下列其中一個選項:

  8. [Any request]:可以規則套用至所有使用者。

  9. [Specific computers]:可以將規則套用至特定的用戶端位址集。

  10. [Specific users and groups]:可以將規則套用至已驗證的使用者。

  11. 按一下 [Next]。

  12. 如果您已經將規則套用至用戶端位址集、使用者或群組帳戶中,請指定設定。按一下 [Finish] 完成精靈。

注意:

  • 您可以設定通訊協定規則設定,以限制用戶端存取 FTP 通訊協定定義。例如,您可以選取 [FTP Download only],限制用戶端只能在 FTP 唯讀的模式中作業。

  • 在啟用 FTP 存取篩選器,並且定義通訊協定規則,以允許所有使用者或特定使用者使用 FTP 通訊協定定義之後,請確定是否已定義允許存取 FTP 目的地的網站及內容規則,並且確認 FTP 用戶端應用程式中並未指定任何 Proxy 設定。

  • 請注意,如果有任何規則需要由特定使用者帳戶驗證,只有 Firewall 用戶端可以驗證。SecureNAT 用戶端無法提供驗證憑證。

實用文章

為了幫助您疑難排解特定 FTP 用戶端的問題,此表格提供 Microsoft 知識庫文件連結清單。

文件編號

標題

詳細資料

294679

如何讓外部用戶端電腦存取檔案傳輸通訊協定伺服器

此文件說明如何設定封包篩選器,以便讓 ISA Server 存取外部 FTP 資源。

313343

ISA Server 防火牆鏈結可能會導致 FTP 存取發生問題

請安裝 ISA Server Service Pack 1 (SP1) 來解決這個問題。

313356

被動模式 FTP 可能會中斷與外部介面上多個 IP 位址的連線

請安裝 ISA Server SP1 來解決這個問題。

817829

被動模式 FTP 可能會中斷與外部介面上多個 IP 位址的連線

SecureNAT 和 Firewall 用戶端可能無法在被動模式 (PASV) 中,建立 FTP 資料與 FTP 伺服器之間的連線。此文件提供相關更新程式的詳細資料。

823261

在 FTP 伺服器傳回「使用者已登入」訊息之後,Web Proxy 服務傳回「不允許使用者名稱」的錯誤訊息

透過 Web Proxy 服務所建立的 FTP 伺服器連線可能不會成功,因為使用 Web Proxy 服務時應該看到的是輸入密碼的提示,而不是收到 FTP 伺服器的 230 (使用者已登入,繼續進行) 訊息。此文件提供相關更新程式的詳細資料。

829892

您無法透過 ISA Server 2000 使用 WRQ Reflection FTP 用戶端與外部 FTP 站台連線

如果您的 WRQ Reflection FTP 用戶端是設定為使用 SOCKS 第 4 版通訊協定,則可能無法透過 ISA Server 2000 與外部 FTP 站台連線。此文件提供相關更新程式的詳細資料。

823646

ISA Server 強制 CERN FTP 與根目錄連線

如果瀏覽器是使用 Web Proxy 服務與 FTP 站台連線,使用者可能會無法與 FTP 伺服器的根目錄連線,或者,如果已經指定 URL 路徑,則可能無法存取目錄。此文件提供相關更新程式的詳細資料。

279347

啟用 ISA Server 上的 IP 路由以提昇效能

此文件提供有關如何啟用 IP 路由,以支援 SecureNAT 用戶端的次要連線的資訊。

300641

透過 Internet Security and Acceleration Server 2000 啟用被動 CERN FTP 連線

依據預設值,Web Proxy 服務會對 FTP 要求使用 PORT 模式。若要透過 PASV 模式中的 Web Proxy 服務允許 FTP 要求,請依照此文件中的指示進行。

814473

內部用戶端無法透過 Internet Security and Acceleration Server 2000 存取 FTP 站台

當您透過 Internet Explorer 存取 FTP 伺服器時,就會顯示下列錯誤訊息:

Windows cannot access this folder (Windows 無法存取此資料夾)。

由於在 Internet Explorer 中啟用 FTP 站台的資料夾檢視會造成 Internet Explorer 試圖略過 Web Proxy 服務,因此可能會發生這種情況。若要停用資料夾檢視,請依照此文件中的指示進行。

818621

當透過 Internet Explorer 存取時,沒有連結可透過 FTP 站台中的目錄層級往上瀏覽

當您使用 Web Proxy 服務在 Internet Explorer 中與 FTP 伺服器連線時,可能無法透過目錄層級往上瀏覽上層目錄。此文件提供相關更新程式的詳細資料。

顯示: