隨著網(wǎng)絡(luò)信息化的不斷發(fā)展，越來越多的上傳、下載服務(wù)對文件傳輸提出了更高的要求，如何對文件便捷、安全高效的傳輸，成為提升網(wǎng)絡(luò)應(yīng)用的一個新課題。Serv—U是一種跨平臺的FTPH~務(wù)器軟件，它幾乎支持所有的Windows系統(tǒng)，因為其支持實時多用戶連接，斷點續(xù)傳、遠程管理、安全性能出眾等優(yōu)點作為FTP服務(wù)器被廣泛的應(yīng)用。

1 Serv—U概述

    FTP是文件傳輸協(xié)議(File Transfer Protoco1)的簡稱，服務(wù)器通過這個協(xié)議給客戶端提供文件傳輸服務(wù)。Serv—U是一款在Windows中應(yīng)用最為廣泛的FTP)J~務(wù)端軟件，用戶可以通過網(wǎng)絡(luò)中的任何一臺計算機使用FTP協(xié)議與服務(wù)器相連，進行文件或文件夾的創(chuàng)建、復(fù)制、移動或刪除等操作達到資源共享的目的。Serv—U可以給每個用戶添加一個或多個可訪問的目錄，可以根據(jù)需要設(shè)置每個目錄的用戶訪問權(quán)限(Read、Write、Append、Delete、Execute List Create、Remove、Inherit)。

2 FTP工作模式

    FTP是TCP／IP的一種具體應(yīng)用，它工作在OSI模型的應(yīng)用層，通過 三次握手 的過程實現(xiàn)面向連接的、可靠的通信傳輸。FTP需要2個端口，21端口是控制連接端口，用于發(fā)送指令給服務(wù)器以及等待服務(wù)器響應(yīng)；另一個20端口是數(shù)據(jù)傳輸端口，是用來建立數(shù)據(jù)傳輸?shù)耐ǖ馈?/p>

    FTP協(xié)議有兩種工作模式：主動模式(ACTIVE )和被動模式(PASSIVE )，兩種模式下首先都是通過21端口進行Three—Way Handshake建立控制信道，然后再進行數(shù)據(jù)連接傳輸。ACTIVE模式是一種預(yù)設(shè)模式，當兩端需要傳送數(shù)據(jù)時，用戶端用一個port command告知服務(wù)器，用戶端可以用另一個TCP port 做數(shù)據(jù)通道。然后服務(wù)器利用20端口與用戶端建立數(shù)據(jù)連接。連接方向是從服務(wù)器到客戶端，由客戶端返回一個帶ACK flag的確認分組，并完成數(shù)據(jù)連接過程。

    在PASSIVE模式下當兩端需要傳送數(shù)據(jù)的時候，用戶端發(fā)送一個pasv command 給服務(wù)器，要求進入PASSIVE傳輸模式。然后通過服務(wù)器的2O端口與客戶端建立數(shù)據(jù)通道。

3 安全隱患及防范

    3．1禁用匿名賬戶，防范非授權(quán)訪問

    默認隋況下，Serv—U構(gòu)建的FTP服務(wù)器是允許anonymotls匿名訪問，游客不需要申請合法的賬號就可以方便的上傳、下載文件，但同時也伴隨著的極大的安全隱患，游客可以隨意的進行訪問，既占用了服務(wù)器的網(wǎng)絡(luò)帶寬又侵犯了合法用戶的權(quán)限，甚至在安全策略設(shè)置不到位的情況下很容易出現(xiàn)泄密情況，因此禁止匿名訪問是非常有必要的。

    3．2限制登錄次數(shù)，防范口令惡意破解

    不加限制條件下，F(xiàn)TP服務(wù)器允許無數(shù)次的輸入口令，這就為惡意攻擊者提供了可乘之機，攻擊者通過口令字典暴力破解用戶口令，進而攻擊服務(wù)器。對待口令字典的暴力破解我們首先應(yīng)該加強口令的復(fù)雜性，保證口令在8位以上，并目字母、數(shù)字、特殊符號兼有，避免使用簡單或具有特殊意義的單詞。其次要限制用戶口令錯誤登錄的次數(shù)，可以通過Serv—U的“賬戶鎖定策略”來實現(xiàn)。在用戶界面中依次打開“安全設(shè)置一賬戶策略一賬戶鎖定策略”，在右側(cè)框體中找到“賬戶鎖定閾值”項，雙擊打開后，設(shè)置賬號登錄的最大次數(shù)，如果超過此數(shù)值，賬號會被自動鎖定。接著打開“賬戶鎖定時間”項，設(shè)置FTP賬號被鎖定的時間，賬號一旦被鎖定，只有超過這個時間值后，才能可以重新使用。

    3．3訪問IP限制，拒絕非法IP

    為保證FTPN務(wù)器的安全，可以對IP作訪問限制。針對不同的文件目錄設(shè)置IP訪問的范圍，對于單位傳閱的內(nèi)部資料把訪問IP設(shè)置在內(nèi)網(wǎng)的IP范圍內(nèi)，以防外來地址的訪問；對某些已知惡意的IP地址也可單獨進行IP限制，在FTP站點屙}生對話框中，切換到“目錄安全性”標簽頁，選中“授權(quán)訪問”單選項，然后在“以下所列除外”框中點擊“添加”按鈕，彈出“拒絕以下訪問”對話框，這里可以拒絕單個IP地址或一組IP地址的非法訪問。

    3．4合理設(shè)置用戶權(quán)限，避免權(quán)限危機

    在Serv—U中對文件的訪問權(quán)限定義有“讀取、寫入、追加、刪除、執(zhí)行”，針對文件夾的訪問權(quán)限有“列表、創(chuàng)建、移除”，子文件夾還有“繼承”。在日常的管理中每個賬號對應(yīng)文件或文件夾的訪問權(quán)限應(yīng)該是不盡相同的，他們都有各自的訪問權(quán)限。用戶權(quán)限的不合理設(shè)置，將會導(dǎo)致FTPN務(wù)器出現(xiàn)嚴重的安全隱患，需謹慎的對賬號與訪問目錄進行設(shè)置，避免權(quán)限不當引發(fā)的安全危機。

    3．5啟用日志記錄，做到訪問有跡可尋

    在本地安全設(shè)置窗口中，依次展開“安全設(shè)置一本地策略一審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項目，雙擊打開該項目，在設(shè)置對話框中選中“成功”和“失敗”這兩項，最后點擊“確定”按鈕。該策略生效后，F(xiàn)TP用戶的每次登錄都會被記錄到Serv-U的系統(tǒng)曰志中。FTP服務(wù)器日志記錄著所有用戶的訪問信息，如登錄賬號、登陸時間、退出時間、客戶機IP地址等，這些信息：FTP服務(wù)器的穩(wěn)定運行具有重要的意義，一旦服務(wù)器出現(xiàn)問題，就可以查看FTP日志，找到故障所在，及時排除，做到訪問有跡可尋。

4 小結(jié)

    FTP服務(wù)器的安全隱患不限于此，還有很多，應(yīng)對策略既要從全局上規(guī)劃又要從細節(jié)上設(shè)計，必須要針對特殊的環(huán)境、具體的應(yīng)用配合防火墻、IIS等安全手段共同配置才能使文件傳輸起到安全、便捷的目的。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：基于Serv-U的FTP服務(wù)器安全及防范

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112185708.html