Ｓｅｒｖ－Ｕ中“封殺”指定ＩＰ的方法

摘要：該文介紹了美國(guó)Rob Beckers公司開(kāi)發(fā)FTP服務(wù)器軟件Serv-U中的一個(gè)典型應(yīng)用，即對(duì)指定IP進(jìn)行禁止訪問(wèn)的方法。

關(guān)鍵詞：服務(wù)器軟件；禁止；訪問(wèn)；規(guī)則

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044(2009)05-1072-02

The Way of Prohibition of Designated IP Access in Serv-U

WAN Ya-jing

(Hebei Institute of Machinery Electricity， Xingtai 054048， China)

Abstract：This paper introduces typical application of a FTP server software named Serv-U ，which developed by the United States Rob Beckers company.As a way to prohibit access Server by designated IP.

Keywords：server software;prohibition;access;regulations

Serv-U是由美國(guó)Rob Beckers公司開(kāi)發(fā)的一款FTP服務(wù)器軟件，它設(shè)置簡(jiǎn)單，功能強(qiáng)大，而且性能穩(wěn)定，不僅能提供簡(jiǎn)單的文件下載，還為用戶的系統(tǒng)安全提供了相當(dāng)全面的保護(hù)。因此用它做FTP 服務(wù)器是很好的選擇。下面我來(lái)介紹一下該軟件的一個(gè)重要的應(yīng)用：如何禁止指定用戶對(duì)服務(wù)器的訪問(wèn)。

1 選擇指定用戶

在使用中，如果想禁止用戶從指定IP的計(jì)算機(jī)上登陸訪問(wèn)FTP服務(wù)器，應(yīng)該怎么設(shè)置呢？首先我們要搞清楚，在Serv-U中禁止指定IP的訪問(wèn)分為兩種情況：一種是面向作用域的，也就是說(shuō)對(duì)域中所有用戶都有效的規(guī)則，在Serv-U中選中作用域“hb”－“設(shè)置”－“禁止IP訪問(wèn)”，如圖1所示。

另外一種情況是面向用戶的禁止，就是說(shuō)在指定IP的計(jì)算機(jī)上禁止該用戶登陸訪問(wèn)FTP服務(wù)器，但允許其他用戶登陸訪問(wèn)。具體操作可以通過(guò)在圖1界面中選擇某一用戶即可完成。例如，在Serv-U中選中作用域“hb”－“用戶”－“hbjd” －“禁止IP訪問(wèn)”。

2 建立規(guī)則

當(dāng)要禁止從指定IP的計(jì)算機(jī)上訪問(wèn)FTP服務(wù)器時(shí)，就要建立相應(yīng)的規(guī)則來(lái)實(shí)現(xiàn)。從圖1可以看出，在Serv-U中可以添加多條“拒絕訪問(wèn)”或“允許訪問(wèn)”的規(guī)則來(lái)滿足使用要求。對(duì)于規(guī)則的執(zhí)行，Serv-U是按從上到下優(yōu)先匹配的原則來(lái)執(zhí)行的，即規(guī)則一旦匹配，程序就會(huì)響應(yīng)執(zhí)行，而其后面的規(guī)則就不起作用了。下面我們以面向作用域禁止從指定IP訪問(wèn)FTP服務(wù)器為例來(lái)進(jìn)行介紹，

在圖1中選擇“拒絕訪問(wèn)”，在“規(guī)則”處輸入“192.168.3.10”，單擊“添加”按鈕，如圖2所示。

建立這條規(guī)則的目的是，讓任何用戶在IP是“192.168.3.10”的這臺(tái)計(jì)算機(jī)上都無(wú)法登陸訪問(wèn)FTP服務(wù)器，但可以在網(wǎng)絡(luò)中的其他計(jì)算機(jī)上正常登陸訪問(wèn)，從而達(dá)到“封IP”的作用。最后單擊“應(yīng)用”，這條拒絕訪問(wèn)的規(guī)則果然生效了。我們來(lái)測(cè)試一下，在192.168.3.10這臺(tái)計(jì)算機(jī)上確實(shí)無(wú)法登陸FTP服務(wù)器，但是讓我們吃驚的是，從網(wǎng)絡(luò)中的其他計(jì)算機(jī)上也無(wú)法訪問(wèn)FTP服務(wù)器了！這是什么原因呢？

3 了解潛規(guī)則

原先正常工作的FTP服務(wù)器在建立了這條拒絕訪問(wèn)的規(guī)則后，為什么所有計(jì)算機(jī)都不能登陸訪問(wèn)了呢？原來(lái)在Serv-U中我們一旦啟用了“編輯規(guī)則”，無(wú)論建立的是“允許訪問(wèn)”還是“拒絕訪問(wèn)”，在“IP訪問(wèn)規(guī)則”中自動(dòng)生成一個(gè)拒絕所有IP（*.*.*.*）訪問(wèn)的規(guī)則，但它在“IP訪問(wèn)規(guī)則”中沒(méi)有顯示出來(lái)，是一條缺省的規(guī)則，且它排在所有規(guī)則的最下面。當(dāng)我們把這條“潛規(guī)則”在圖3明示出來(lái)后，再分析一下為什么網(wǎng)絡(luò)中的所有計(jì)算機(jī)都不能訪問(wèn)FTP。

*是表示1～255中任何一個(gè)數(shù)的通配符， *.*.*.*代表的是所有的IP地址，我們已經(jīng)知道Serv-U是按從上到下優(yōu)先匹配的原則來(lái)執(zhí)行規(guī)則的，當(dāng)我們從IP是192.168.3.10這臺(tái)計(jì)算機(jī)上訪問(wèn)FTP服務(wù)器時(shí)，就會(huì)符合圖3中的第一條規(guī)則，Serv-U執(zhí)行后拒絕其登陸訪問(wèn)。當(dāng)我們從其他計(jì)算機(jī)訪問(wèn)FTP服務(wù)器時(shí)，由于IP地址不是192.168.3.10，與第一條規(guī)則不匹配，該規(guī)則不會(huì)被執(zhí)行。Serv-U往下檢查，第二規(guī)則為拒絕所有IP訪問(wèn)的“潛規(guī)則”，發(fā)出訪問(wèn)請(qǐng)求的計(jì)算機(jī)IP在*.*.*.*的范圍內(nèi)，與這條規(guī)則匹配，則訪問(wèn)FTP被拒絕。因此，網(wǎng)絡(luò)中的所有計(jì)算機(jī)都不能訪問(wèn)FTP。那么怎么做才能只“封殺”192.168.3.10一個(gè)IP，而其他計(jì)算機(jī)仍能正常訪問(wèn)呢？方法很簡(jiǎn)單，我們先建立一條允許所有IP訪問(wèn)的規(guī)則，然后再建一條拒絕192.168.3.10訪問(wèn)的規(guī)則就行啦！為了簡(jiǎn)便，我們直接按照潛規(guī)則的格式在訪問(wèn)規(guī)則中添加一條允許所有IP規(guī)則即可達(dá)到預(yù)期目標(biāo)。也就是當(dāng)我們看到圖3中的第二條規(guī)則為允許即可完成要求。

4 目標(biāo)正確實(shí)現(xiàn)

下面我們來(lái)分析一下所設(shè)置的訪問(wèn)規(guī)則是如何實(shí)現(xiàn)使用要求的。當(dāng)我們從IP是192.168.3.10這臺(tái)計(jì)算機(jī)上訪問(wèn)FTP時(shí)，與第一條規(guī)則匹配，Serv-U執(zhí)行后拒絕其登陸訪問(wèn)。由于匹配了“IP訪問(wèn)規(guī)則”中的第一條規(guī)則并執(zhí)行，設(shè)置的其他規(guī)則就不會(huì)被執(zhí)行了，這就是上面所說(shuō)的“從上到下優(yōu)先匹配的原則”。當(dāng)我們從其他計(jì)算機(jī)訪問(wèn)FTP時(shí)，由于IP地址不是192.168.3.10，與第一條規(guī)則不匹配，該規(guī)則不會(huì)被執(zhí)行。Serv-U往下檢查其他規(guī)則，第二條規(guī)則為允許規(guī)則，通過(guò)上面的分析我們知道，發(fā)出訪問(wèn)請(qǐng)求的計(jì)算機(jī)IP一定包含在*.*.*.*的范圍內(nèi)，則訪問(wèn)FTP被允許。因此網(wǎng)絡(luò)中除IP是192.168.3.10外的所有計(jì)算機(jī)都能訪問(wèn)FTP，從而真正實(shí)現(xiàn)了對(duì)某IP的“封殺”。

面向用戶禁止指定IP計(jì)算機(jī)的訪問(wèn)的設(shè)置方法與上面的操作完全相同，只是適用的對(duì)象有所不同而已。

參考文獻(xiàn):

[1] 王文壽.網(wǎng)管員必備寶典-網(wǎng)絡(luò)組建[M].清華大學(xué)出版社.2006.

[2] [美]WesleyJ.NoonanHandeningNetworkInfrastructure中文版[M].清華大學(xué)出版社.2007.

[3] 王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)應(yīng)用[M]第2版).電子工業(yè)出版社.2007.

[4] 鐘小平，張金石.非常網(wǎng)管——企業(yè)網(wǎng)絡(luò)安全實(shí)戰(zhàn)指南[M].人民郵電出版社.2008.

[5] 王達(dá).網(wǎng)管第一課——網(wǎng)絡(luò)操作系統(tǒng)與配置管理[M].電子工業(yè)出版社.2008.