當前，局域網(wǎng)搭建文件服務器，并且共享文件供局域網(wǎng)用戶訪問的現(xiàn)象極為普遍。通過文件服務器，一方面可以大容量存儲文件，防止終端分散存儲共享文件的丟失、泄露；另一方面也可以隨時為用戶訪問共享文件提供便利，便于局域網(wǎng)用戶協(xié)同辦公的需要。

而目前企業(yè)內網(wǎng)電子信息的共享主要有兩種形式：UNC方式和FTP方式。UNC方式基于Windows操作系統(tǒng)的共享功能，有著較強的易用性，但是安全性十分低，而且沒有日志功能，發(fā)生特殊事件時沒有可追溯性。FTP方式需要架設專用的服務器，并在服務器端設置用戶名和密碼，客戶端用IE瀏覽器訪問。Windows Server中自帶的FTP服務在口令傳輸?shù)倪^程中未進行加密措施，存在被監(jiān)聽軟件截獲用戶口令的可能性。本文將論述如何架設安全的FTP服務器，并完全導入原FTP服務器中的用戶配置與存儲文件。

2 架設文件服務器前準備工作

2.1 安裝操作系統(tǒng)

在安裝操作系統(tǒng)前需確認服務器的配置滿足Windows Server 2003 R2（64位）英文版的最低配置需求。如果不滿足，需安裝32位版本的Windows系統(tǒng)或者更換服務器。

2.2 檢查硬件兼容性

在確認硬件配置已經(jīng)符合Windows Server 2003 R2版的最低需求之后，還必須確保現(xiàn)有硬件與Windows Server 2003兼容。如果硬件不兼容，在日后的服務器運作中很可能發(fā)生不穩(wěn)定的情況。因此，查清硬件兼容性是在升級前需要考慮的最重要的一個問題之一?？梢酝ㄟ^Windows server 2003安裝CD中的自帶檢測程序來檢查系統(tǒng)的兼容性。

3 實施方案

3.1 安裝FTP軟件

拷貝Serv-U 9.0.2.1的安裝文件到服務器的硬盤上，然后雙擊啟動安裝程序，選擇安裝語言為中文（簡體），點擊下一步進入安裝向導，安裝路徑選擇C：＼jyftp，一直點擊下一步完成安裝。如果安裝中使用默認的路徑，服務器就很容易受到黑客軟件的攻擊。

3.2 配置FTP服務器

3.2.1 新建FTP管理域

打開Serv-U管理控制臺，點擊新建域，進入域向導（這里的域是FTP專用域，與Windows域無關）。通過域向導的第一步設置域的名稱為JYFTP，第二步設置域應用的協(xié)議為FTP、FTPS和HTTPS，端口號分別為21、990和443。設置好服務器的IP地址，密碼加密模式為單向加密后即可完成FTP管理域的建立工作。

3.2.2 更改用戶文件夾名稱

域設置完畢后，需對系統(tǒng)文件夾名稱進行修改。經(jīng)測試，當Serv-U運行在英文版系統(tǒng)時，如果目錄中出現(xiàn)中文，在客戶端用IE登陸FTP服務器并進行文件夾拷貝的時候會提示警告消息。故必須將原FTP用戶文件夾中的中文名重命名為英文或阿拉伯數(shù)字，為了便于管理，文件夾名稱為各下屬部門簡稱的第一個拼音字母。此外，應考慮單獨建立個人用戶文件夾以滿足個人重要資料的備份需求。

3.2.3 創(chuàng)建用戶群組

在Serv-U管理控制臺的主頁點擊“創(chuàng)建、修改和刪除用戶群組”完成域群組的設置。設置管理員群組時一定要確定其登錄的IP訪問范圍以保證安全性。

3.2.4 創(chuàng)建用戶賬號

在Serv-U管理控制臺的主頁點擊“創(chuàng)建、修改和刪除用戶賬戶”完成用戶的設置。

3.2.5 SSL證書設置

為了加強FTP的安全性，應該為FTP服務器開啟SSL功能并創(chuàng)建密鑰。當用戶用過FTPS來訪問FTP服務器的時候，必須要獲得密鑰證書來可以進行登陸。

進入Serv-U管理控制臺的主頁，點擊“創(chuàng)建并指定SSL和SSH證書以及配置加密設置”進入FTP的加密設置，點擊“創(chuàng)建證書”，設置名稱和密碼，密碼應為十位以上字符數(shù)字和字母組合的強密碼。

創(chuàng)建證書完畢后，根據(jù)提示點立即啟用，F(xiàn)TP服務器會在指定路徑生成自簽署證書（.crt）、證書請求文件（.csr）和私鑰文件（.key）然后點擊“查看證書”，檢查證書是否有誤，其中公用名稱必須和IP地址一致，否則會導致FTP客戶端提示出錯的信息。

3.3 測試FTP登錄的三種方式

3.3.1 通過21端口登陸

21端口是FTP協(xié)議的默認端口，用戶可以在FTP客戶端或者IE瀏覽器上輸入ftp：//服務器的IP地址來登錄FTP，輸入正確的用戶名和密碼就可進入用戶可以訪問的文件夾。

3.3.2 通過443端口登陸

443端口是HTTPS協(xié)議的默認端口，用戶可以在FTP客戶端或者IE瀏覽器上輸https：//服務器的IP地址或https：//192.9.100.2來登錄FTP，彈出安全提示的時候，點查看證書按鈕后點選“安裝證書”進行證書的安裝，然后點“是”即可進入登錄界面，輸入正確的用戶名和密碼就可進入用戶可以訪問相應的文件夾。

3.3.3 通過990端口登陸

990端口是FTPS協(xié)議的默認端口，用戶必須使用FTP客戶端來登錄FTP。以FlashFXP為例，在快速連接對話框輸入服務器的IP地址、端口號、用戶名和密碼，在SSL標題欄的安全socket層選擇絕對SSL，點擊連接按鈕，如圖1所示。

圖1 SFTP客戶端設置（二）

連接后顯示證書驗證對話框，點“接受并保存”即可登陸FTP服務器了。

3.4 建議

架設文件服務器后應及時發(fā)放證書并制作安全服務器使用教程，在普及安全服務器使用方法后在服務器限制中關閉21端口，只開啟990端口和443端口，即只能采用后兩種訪問方式登錄FTP服務器以保證安全性。

       3.5 UNC方式和FTP方式訪問共享文件的安全性問題

       搭建好文件服務器后就需要對文件服務器進行一定的安全防護，尤其是要保護服務器共享文件的安全，畢竟很多單位的文件服務器上往往存儲單位重要的無形資產和商業(yè)機密。一旦被局域網(wǎng)用戶越權使用或不適當使用，將威脅共享文件的安全。特別是員工可以輕松通過各種管道將服務器上共享文件發(fā)送出去，從而造成共享文件的泄密。為此，我們需要加強對UNC和FTP方式所搭建的文件服務器的安全管控。

       對于UNC搭建的文件服務器，由于是借助于操作系統(tǒng)自身的文件共享權限設置功能，而操作系統(tǒng)自身的用戶權限和文件權限設置功能比較簡單，也沒有具體的日志記錄，不便于共享文件的管理。尤其是還無法實現(xiàn)對共享文件訪問行為的全方位、細粒度的控制，不能實現(xiàn)諸如只讓打開共享文件而禁止另存為本地、只讓讀取共享文件而禁止復制、只讓修改共享文件而禁止刪除，這就需要借助于一些共享文檔管理工具來實現(xiàn)。例如通過“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html）。系統(tǒng)只需要在共享文件服務器上安裝之后，就可以掃描到所有共享的文件和用戶，點點鼠標就可以設置共享文件訪問權限了，可以實現(xiàn)上述操作系統(tǒng)無法實現(xiàn)的功能。如下圖所示：

而對于FTP文件服務器，則由于FTP軟件自身的權限較為單一，無法詳細記錄FTP文件服務器的上傳和下載情況，也不能只允許FTP文件上傳而禁止FTP文件下載；或者只讓下載FTP文件而禁止上傳FTP文件，這種情況也可以借助于“大勢至FTP服務器管理軟件”（下載地址：http://www.grablan.com/ftpjk.html）來實現(xiàn)。如下圖所示：

總之，在企事業(yè)單位局域網(wǎng)中搭建文件服務器存儲文件或共享文件，對于企業(yè)內部文件保全和協(xié)同辦公具有非常重要的意義；但同樣也必須采取有效的舉措來保護服務器共享文件的安全，否則搭建好的文件服務器在某些程度也為用戶不適當使用，甚至泄露、惡意損毀共享文件提供了便利。

最新評論