當(dāng)前，局域網(wǎng)搭建文件服務(wù)器，并且共享文件供局域網(wǎng)用戶訪問(wèn)的現(xiàn)象極為普遍。通過(guò)文件服務(wù)器，一方面可以大容量存儲(chǔ)文件，防止終端分散存儲(chǔ)共享文件的丟失、泄露；另一方面也可以隨時(shí)為用戶訪問(wèn)共享文件提供便利，便于局域網(wǎng)用戶協(xié)同辦公的需要。

而目前企業(yè)內(nèi)網(wǎng)電子信息的共享主要有兩種形式：UNC方式和FTP方式。UNC方式基于Windows操作系統(tǒng)的共享功能，有著較強(qiáng)的易用性，但是安全性十分低，而且沒(méi)有日志功能，發(fā)生特殊事件時(shí)沒(méi)有可追溯性。FTP方式需要架設(shè)專用的服務(wù)器，并在服務(wù)器端設(shè)置用戶名和密碼，客戶端用IE瀏覽器訪問(wèn)。Windows Server中自帶的FTP服務(wù)在口令傳輸?shù)倪^(guò)程中未進(jìn)行加密措施，存在被監(jiān)聽(tīng)軟件截獲用戶口令的可能性。本文將論述如何架設(shè)安全的FTP服務(wù)器，并完全導(dǎo)入原FTP服務(wù)器中的用戶配置與存儲(chǔ)文件。

2 架設(shè)文件服務(wù)器前準(zhǔn)備工作

2.1 安裝操作系統(tǒng)

在安裝操作系統(tǒng)前需確認(rèn)服務(wù)器的配置滿足Windows Server 2003 R2（64位）英文版的最低配置需求。如果不滿足，需安裝32位版本的Windows系統(tǒng)或者更換服務(wù)器。

2.2 檢查硬件兼容性

在確認(rèn)硬件配置已經(jīng)符合Windows Server 2003 R2版的最低需求之后，還必須確保現(xiàn)有硬件與Windows Server 2003兼容。如果硬件不兼容，在日后的服務(wù)器運(yùn)作中很可能發(fā)生不穩(wěn)定的情況。因此，查清硬件兼容性是在升級(jí)前需要考慮的最重要的一個(gè)問(wèn)題之一?？梢酝ㄟ^(guò)Windows server 2003安裝CD中的自帶檢測(cè)程序來(lái)檢查系統(tǒng)的兼容性。

3 實(shí)施方案

3.1 安裝FTP軟件

拷貝Serv-U 9.0.2.1的安裝文件到服務(wù)器的硬盤上，然后雙擊啟動(dòng)安裝程序，選擇安裝語(yǔ)言為中文（簡(jiǎn)體），點(diǎn)擊下一步進(jìn)入安裝向?qū)В惭b路徑選擇C：＼jyftp，一直點(diǎn)擊下一步完成安裝。如果安裝中使用默認(rèn)的路徑，服務(wù)器就很容易受到黑客軟件的攻擊。

3.2 配置FTP服務(wù)器

3.2.1 新建FTP管理域

打開(kāi)Serv-U管理控制臺(tái)，點(diǎn)擊新建域，進(jìn)入域向?qū)Вㄟ@里的域是FTP專用域，與Windows域無(wú)關(guān)）。通過(guò)域向?qū)У牡谝徊皆O(shè)置域的名稱為JYFTP，第二步設(shè)置域應(yīng)用的協(xié)議為FTP、FTPS和HTTPS，端口號(hào)分別為21、990和443。設(shè)置好服務(wù)器的IP地址，密碼加密模式為單向加密后即可完成FTP管理域的建立工作。

3.2.2 更改用戶文件夾名稱

域設(shè)置完畢后，需對(duì)系統(tǒng)文件夾名稱進(jìn)行修改。經(jīng)測(cè)試，當(dāng)Serv-U運(yùn)行在英文版系統(tǒng)時(shí)，如果目錄中出現(xiàn)中文，在客戶端用IE登陸FTP服務(wù)器并進(jìn)行文件夾拷貝的時(shí)候會(huì)提示警告消息。故必須將原FTP用戶文件夾中的中文名重命名為英文或阿拉伯?dāng)?shù)字，為了便于管理，文件夾名稱為各下屬部門簡(jiǎn)稱的第一個(gè)拼音字母。此外，應(yīng)考慮單獨(dú)建立個(gè)人用戶文件夾以滿足個(gè)人重要資料的備份需求。

3.2.3 創(chuàng)建用戶群組

在Serv-U管理控制臺(tái)的主頁(yè)點(diǎn)擊“創(chuàng)建、修改和刪除用戶群組”完成域群組的設(shè)置。設(shè)置管理員群組時(shí)一定要確定其登錄的IP訪問(wèn)范圍以保證安全性。

3.2.4 創(chuàng)建用戶賬號(hào)

在Serv-U管理控制臺(tái)的主頁(yè)點(diǎn)擊“創(chuàng)建、修改和刪除用戶賬戶”完成用戶的設(shè)置。

3.2.5 SSL證書設(shè)置

為了加強(qiáng)FTP的安全性，應(yīng)該為FTP服務(wù)器開(kāi)啟SSL功能并創(chuàng)建密鑰。當(dāng)用戶用過(guò)FTPS來(lái)訪問(wèn)FTP服務(wù)器的時(shí)候，必須要獲得密鑰證書來(lái)可以進(jìn)行登陸。

進(jìn)入Serv-U管理控制臺(tái)的主頁(yè)，點(diǎn)擊“創(chuàng)建并指定SSL和SSH證書以及配置加密設(shè)置”進(jìn)入FTP的加密設(shè)置，點(diǎn)擊“創(chuàng)建證書”，設(shè)置名稱和密碼，密碼應(yīng)為十位以上字符數(shù)字和字母組合的強(qiáng)密碼。

創(chuàng)建證書完畢后，根據(jù)提示點(diǎn)立即啟用，F(xiàn)TP服務(wù)器會(huì)在指定路徑生成自簽署證書（.crt）、證書請(qǐng)求文件（.csr）和私鑰文件（.key）然后點(diǎn)擊“查看證書”，檢查證書是否有誤，其中公用名稱必須和IP地址一致，否則會(huì)導(dǎo)致FTP客戶端提示出錯(cuò)的信息。

3.3 測(cè)試FTP登錄的三種方式

3.3.1 通過(guò)21端口登陸

21端口是FTP協(xié)議的默認(rèn)端口，用戶可以在FTP客戶端或者IE瀏覽器上輸入ftp：//服務(wù)器的IP地址來(lái)登錄FTP，輸入正確的用戶名和密碼就可進(jìn)入用戶可以訪問(wèn)的文件夾。

3.3.2 通過(guò)443端口登陸

443端口是HTTPS協(xié)議的默認(rèn)端口，用戶可以在FTP客戶端或者IE瀏覽器上輸https：//服務(wù)器的IP地址或https：//192.9.100.2來(lái)登錄FTP，彈出安全提示的時(shí)候，點(diǎn)查看證書按鈕后點(diǎn)選“安裝證書”進(jìn)行證書的安裝，然后點(diǎn)“是”即可進(jìn)入登錄界面，輸入正確的用戶名和密碼就可進(jìn)入用戶可以訪問(wèn)相應(yīng)的文件夾。

3.3.3 通過(guò)990端口登陸

990端口是FTPS協(xié)議的默認(rèn)端口，用戶必須使用FTP客戶端來(lái)登錄FTP。以FlashFXP為例，在快速連接對(duì)話框輸入服務(wù)器的IP地址、端口號(hào)、用戶名和密碼，在SSL標(biāo)題欄的安全socket層選擇絕對(duì)SSL，點(diǎn)擊連接按鈕，如圖1所示。

圖1 SFTP客戶端設(shè)置（二）

連接后顯示證書驗(yàn)證對(duì)話框，點(diǎn)“接受并保存”即可登陸FTP服務(wù)器了。

3.4 建議

架設(shè)文件服務(wù)器后應(yīng)及時(shí)發(fā)放證書并制作安全服務(wù)器使用教程，在普及安全服務(wù)器使用方法后在服務(wù)器限制中關(guān)閉21端口，只開(kāi)啟990端口和443端口，即只能采用后兩種訪問(wèn)方式登錄FTP服務(wù)器以保證安全性。

       3.5 UNC方式和FTP方式訪問(wèn)共享文件的安全性問(wèn)題

       搭建好文件服務(wù)器后就需要對(duì)文件服務(wù)器進(jìn)行一定的安全防護(hù)，尤其是要保護(hù)服務(wù)器共享文件的安全，畢竟很多單位的文件服務(wù)器上往往存儲(chǔ)單位重要的無(wú)形資產(chǎn)和商業(yè)機(jī)密。一旦被局域網(wǎng)用戶越權(quán)使用或不適當(dāng)使用，將威脅共享文件的安全。特別是員工可以輕松通過(guò)各種管道將服務(wù)器上共享文件發(fā)送出去，從而造成共享文件的泄密。為此，我們需要加強(qiáng)對(duì)UNC和FTP方式所搭建的文件服務(wù)器的安全管控。

       對(duì)于UNC搭建的文件服務(wù)器，由于是借助于操作系統(tǒng)自身的文件共享權(quán)限設(shè)置功能，而操作系統(tǒng)自身的用戶權(quán)限和文件權(quán)限設(shè)置功能比較簡(jiǎn)單，也沒(méi)有具體的日志記錄，不便于共享文件的管理。尤其是還無(wú)法實(shí)現(xiàn)對(duì)共享文件訪問(wèn)行為的全方位、細(xì)粒度的控制，不能實(shí)現(xiàn)諸如只讓打開(kāi)共享文件而禁止另存為本地、只讓讀取共享文件而禁止復(fù)制、只讓修改共享文件而禁止刪除，這就需要借助于一些共享文檔管理工具來(lái)實(shí)現(xiàn)。例如通過(guò)“大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html）。系統(tǒng)只需要在共享文件服務(wù)器上安裝之后，就可以掃描到所有共享的文件和用戶，點(diǎn)點(diǎn)鼠標(biāo)就可以設(shè)置共享文件訪問(wèn)權(quán)限了，可以實(shí)現(xiàn)上述操作系統(tǒng)無(wú)法實(shí)現(xiàn)的功能。如下圖所示：

而對(duì)于FTP文件服務(wù)器，則由于FTP軟件自身的權(quán)限較為單一，無(wú)法詳細(xì)記錄FTP文件服務(wù)器的上傳和下載情況，也不能只允許FTP文件上傳而禁止FTP文件下載；或者只讓下載FTP文件而禁止上傳FTP文件，這種情況也可以借助于“大勢(shì)至FTP服務(wù)器管理軟件”（下載地址：http://www.grablan.com/ftpjk.html）來(lái)實(shí)現(xiàn)。如下圖所示：

總之，在企事業(yè)單位局域網(wǎng)中搭建文件服務(wù)器存儲(chǔ)文件或共享文件，對(duì)于企業(yè)內(nèi)部文件保全和協(xié)同辦公具有非常重要的意義；但同樣也必須采取有效的舉措來(lái)保護(hù)服務(wù)器共享文件的安全，否則搭建好的文件服務(wù)器在某些程度也為用戶不適當(dāng)使用，甚至泄露、惡意損毀共享文件提供了便利。

最新評(píng)論