隨著網(wǎng)絡(luò)信息化的不斷發(fā)展，越來越多的上傳、下載服務(wù)對(duì)文件傳輸提出了更高的要求，如何對(duì)文件便捷、安全高效的傳輸，成為提升網(wǎng)絡(luò)應(yīng)用的一個(gè)新課題。Serv—U是一種跨平臺(tái)的FTPH~務(wù)器軟件，它幾乎支持所有的Windows系統(tǒng)，因?yàn)槠渲С謱?shí)時(shí)多用戶連接，斷點(diǎn)續(xù)傳、遠(yuǎn)程管理、安全性能出眾等優(yōu)點(diǎn)作為FTP服務(wù)器被廣泛的應(yīng)用。

1 Serv—U概述

    FTP是文件傳輸協(xié)議(File Transfer Protoco1)的簡稱，服務(wù)器通過這個(gè)協(xié)議給客戶端提供文件傳輸服務(wù)。Serv—U是一款在Windows中應(yīng)用最為廣泛的FTP)J~務(wù)端軟件，用戶可以通過網(wǎng)絡(luò)中的任何一臺(tái)計(jì)算機(jī)使用FTP協(xié)議與服務(wù)器相連，進(jìn)行文件或文件夾的創(chuàng)建、復(fù)制、移動(dòng)或刪除等操作達(dá)到資源共享的目的。Serv—U可以給每個(gè)用戶添加一個(gè)或多個(gè)可訪問的目錄，可以根據(jù)需要設(shè)置每個(gè)目錄的用戶訪問權(quán)限(Read、Write、Append、Delete、Execute List Create、Remove、Inherit)。

2 FTP工作模式

    FTP是TCP／IP的一種具體應(yīng)用，它工作在OSI模型的應(yīng)用層，通過 三次握手 的過程實(shí)現(xiàn)面向連接的、可靠的通信傳輸。FTP需要2個(gè)端口，21端口是控制連接端口，用于發(fā)送指令給服務(wù)器以及等待服務(wù)器響應(yīng)；另一個(gè)20端口是數(shù)據(jù)傳輸端口，是用來建立數(shù)據(jù)傳輸?shù)耐ǖ馈?/p>

    FTP協(xié)議有兩種工作模式：主動(dòng)模式(ACTIVE )和被動(dòng)模式(PASSIVE )，兩種模式下首先都是通過21端口進(jìn)行Three—Way Handshake建立控制信道，然后再進(jìn)行數(shù)據(jù)連接傳輸。ACTIVE模式是一種預(yù)設(shè)模式，當(dāng)兩端需要傳送數(shù)據(jù)時(shí)，用戶端用一個(gè)port command告知服務(wù)器，用戶端可以用另一個(gè)TCP port 做數(shù)據(jù)通道。然后服務(wù)器利用20端口與用戶端建立數(shù)據(jù)連接。連接方向是從服務(wù)器到客戶端，由客戶端返回一個(gè)帶ACK flag的確認(rèn)分組，并完成數(shù)據(jù)連接過程。

    在PASSIVE模式下當(dāng)兩端需要傳送數(shù)據(jù)的時(shí)候，用戶端發(fā)送一個(gè)pasv command 給服務(wù)器，要求進(jìn)入PASSIVE傳輸模式。然后通過服務(wù)器的2O端口與客戶端建立數(shù)據(jù)通道。

3 安全隱患及防范

    3．1禁用匿名賬戶，防范非授權(quán)訪問

    默認(rèn)隋況下，Serv—U構(gòu)建的FTP服務(wù)器是允許anonymotls匿名訪問，游客不需要申請(qǐng)合法的賬號(hào)就可以方便的上傳、下載文件，但同時(shí)也伴隨著的極大的安全隱患，游客可以隨意的進(jìn)行訪問，既占用了服務(wù)器的網(wǎng)絡(luò)帶寬又侵犯了合法用戶的權(quán)限，甚至在安全策略設(shè)置不到位的情況下很容易出現(xiàn)泄密情況，因此禁止匿名訪問是非常有必要的。

    3．2限制登錄次數(shù)，防范口令惡意破解

    不加限制條件下，F(xiàn)TP服務(wù)器允許無數(shù)次的輸入口令，這就為惡意攻擊者提供了可乘之機(jī)，攻擊者通過口令字典暴力破解用戶口令，進(jìn)而攻擊服務(wù)器。對(duì)待口令字典的暴力破解我們首先應(yīng)該加強(qiáng)口令的復(fù)雜性，保證口令在8位以上，并目字母、數(shù)字、特殊符號(hào)兼有，避免使用簡單或具有特殊意義的單詞。其次要限制用戶口令錯(cuò)誤登錄的次數(shù)，可以通過Serv—U的“賬戶鎖定策略”來實(shí)現(xiàn)。在用戶界面中依次打開“安全設(shè)置一賬戶策略一賬戶鎖定策略”，在右側(cè)框體中找到“賬戶鎖定閾值”項(xiàng)，雙擊打開后，設(shè)置賬號(hào)登錄的最大次數(shù)，如果超過此數(shù)值，賬號(hào)會(huì)被自動(dòng)鎖定。接著打開“賬戶鎖定時(shí)間”項(xiàng)，設(shè)置FTP賬號(hào)被鎖定的時(shí)間，賬號(hào)一旦被鎖定，只有超過這個(gè)時(shí)間值后，才能可以重新使用。

    3．3訪問IP限制，拒絕非法IP

    為保證FTPN務(wù)器的安全，可以對(duì)IP作訪問限制。針對(duì)不同的文件目錄設(shè)置IP訪問的范圍，對(duì)于單位傳閱的內(nèi)部資料把訪問IP設(shè)置在內(nèi)網(wǎng)的IP范圍內(nèi)，以防外來地址的訪問；對(duì)某些已知惡意的IP地址也可單獨(dú)進(jìn)行IP限制，在FTP站點(diǎn)屙}生對(duì)話框中，切換到“目錄安全性”標(biāo)簽頁，選中“授權(quán)訪問”單選項(xiàng)，然后在“以下所列除外”框中點(diǎn)擊“添加”按鈕，彈出“拒絕以下訪問”對(duì)話框，這里可以拒絕單個(gè)IP地址或一組IP地址的非法訪問。

    3．4合理設(shè)置用戶權(quán)限，避免權(quán)限危機(jī)

    在Serv—U中對(duì)文件的訪問權(quán)限定義有“讀取、寫入、追加、刪除、執(zhí)行”，針對(duì)文件夾的訪問權(quán)限有“列表、創(chuàng)建、移除”，子文件夾還有“繼承”。在日常的管理中每個(gè)賬號(hào)對(duì)應(yīng)文件或文件夾的訪問權(quán)限應(yīng)該是不盡相同的，他們都有各自的訪問權(quán)限。用戶權(quán)限的不合理設(shè)置，將會(huì)導(dǎo)致FTPN務(wù)器出現(xiàn)嚴(yán)重的安全隱患，需謹(jǐn)慎的對(duì)賬號(hào)與訪問目錄進(jìn)行設(shè)置，避免權(quán)限不當(dāng)引發(fā)的安全危機(jī)。

    3．5啟用日志記錄，做到訪問有跡可尋

    在本地安全設(shè)置窗口中，依次展開“安全設(shè)置一本地策略一審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項(xiàng)目，雙擊打開該項(xiàng)目，在設(shè)置對(duì)話框中選中“成功”和“失敗”這兩項(xiàng)，最后點(diǎn)擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會(huì)被記錄到Serv-U的系統(tǒng)曰志中。FTP服務(wù)器日志記錄著所有用戶的訪問信息，如登錄賬號(hào)、登陸時(shí)間、退出時(shí)間、客戶機(jī)IP地址等，這些信息：FTP服務(wù)器的穩(wěn)定運(yùn)行具有重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時(shí)排除，做到訪問有跡可尋。

4 小結(jié)

    FTP服務(wù)器的安全隱患不限于此，還有很多，應(yīng)對(duì)策略既要從全局上規(guī)劃又要從細(xì)節(jié)上設(shè)計(jì)，必須要針對(duì)特殊的環(huán)境、具體的應(yīng)用配合防火墻、IIS等安全手段共同配置才能使文件傳輸起到安全、便捷的目的。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：基于Serv-U的FTP服務(wù)器安全及防范

本文網(wǎng)址：http://www.oesoe.com/html/support/1112185708.html