防火墙中配置Serv-U(FTP)服务器

要求：外网充许访问内网中的Serv-U(FTP)服务。

考虑：
一、FTP服务一般使用TCP21端口进行主机链接；

二、FTP分为被动模式(PASV)与主动模式(PORT)两种方式，即被动模式与主动模式。在被动模式(PASV)下，当客户端与FTP服务器发生数据传输过程中，采用高于1024的动态端口与服务器链接，而主动模式(PORT)中，只与服务器以TCP20端口进行通信。这两种方式由客户端发起时自由选择。

问题：
无法限制客户端仅使用主动模式(PORT)与FTP服务器进行数据交换，那么，开放整个高于1024的端口，对于安全上，毕竟会造成一定的安全隐痪。如开放：1025、1433、3389、5000、9995、9996等等，都可能会引起内部网络的一些问题。如果一一进行设置，对于防火墙效率等方面，又不得不考虑。

解决：
FTP服务器采用Serv-U 8，而这款FTP服务器提供了PASV的端口范围设置，这样一来就可以做一个相对简单又相对稳定的设置。

方案：
一、在win 2008防火墙高级设置中的“入站规则”设置中，充许用户可以通过TCP访问FTP服务器的2000-2001端口(此为一段端口，也可以开放更多端口)；

二、设置Serv-U 8.0.0.7的PASV端口：管理--服务器限制和设置---设置--PASV端口范围，输入端口范围为2000-2001。

三、启用设置。

测试成功！

后记：
      FTP服务不象其它服务器，如DNS只使用UDP53端口，EMAIL只使用TCP的110和25端口，WEB使用TCP80端口，TFTP使用UDP的69端口，因为它的被动模式(PASV)，服务器必须要提供一定的高于1024的端口供客户端使用。同时，我们也没有办法只要求用户只使用主动模式，因为用户可能并不了解这一情况，很多FTP客户端默认的是使用被动方式。因为，如果防火墙只开放20、21端口，会造成客户端可以进行用户验证，但无法列目录，也无法进行数据传送，并提示“你没有权限”这样的550返回错误。