一、使用服务器安全狗后,导致ftp连接、上传出现问题,应该如何设置?
1、进行过一键优化,且通过tcp与udp监听功能将端口加入安全策略,这种情况下可以进行如下设置:
安全策略开启宽松模式:
Serv-u被动模式设置
服务器狗体检扫描结果:
点击体检结果的【手动修复】跳转到【tcp与udp监听】页面,此时被动模式端口显示未加入安全策略
选择上图端口,选择加入安全策略,结果如下图,安全狗默认所有ip一律拒绝,用户可以通过下图设置,设置这些被动模式端口为所有ip接受,或者所有ip拒绝但是指定特定的ip允许访问:
主动模式的端口在安全策略中的设置:
2、安全策略开启严格模式:
Pasv被动模式安全策略规则设置:
图中20、21端口如果有进行修改,则要将修改后的ip加入安全策略
主动模式安全策略设置:
图中20、21端口如果有进行修改,则要将修改后的ip加入安全策略
2、未通过服务器狗进行优化,端口也未加入安全策略,未开启安全模式情况下,无法连接或者无法上传文件问题:
1)是否使用iis自带的ftp软件,确认是否开启了pasv模式:
CSCRIPT.exe C:\Inetpub\AdminScripts\adsutil.vbs get /MSFTPSVC/PassivePortRange;
2)如果已开启,请检查ftp客户端连接是否启用了ftp被动模式
3)如果查询结果是未开启,则客户端连接请改为主动模式连接。
3、如果使用的是g6ftp软件,同上面第1点,检查ftp相关端口是否在安全策略中正确设置
4、如果正确设置还存在问题,此时需要排除是否开启系统防火墙,防火墙是否开放相应的ftp端口;
二、ftp连接被当成ddos攻击,设置方法:
可以通过防护日志查看是那种类型的ddos攻击,是tcp连接攻击还是扫描攻击,一般情况下可能是扫描攻击,如果是,建议以下设置:
1)建议调大ddos攻击的拦截规则;
2)建议缩小ftp的pasv(被动模式)端口的范围,比如设置的是10000-10100,有可能这100个链接同时连接成功,这种情况就有可能触发服务器狗的ddos扫描攻击规则,因此建议缩小范围,正常一般10000-10005,5个端口足够使用。