實現(xiàn)更加安全的文件傳輸服務(wù)

■ 河南 許紅軍

限制登錄次數(shù)

在Windows Server 2012中打開管理工具窗口，然后雙擊Internet Information Service（IIS）管理器，在IIS管理器窗口左側(cè)選擇服務(wù)器名，在窗口中部的“FTP”欄中雙擊“FTP登錄嘗試限制”項，在彈出界面中勾選“啟用FTP登錄嘗試限制”項，在“最大登錄嘗試失敗次數(shù)”欄中設(shè)置登錄失敗上限值，默認為4次。在“時間段”欄中設(shè)置判斷周期，單位為秒，默認為30秒。選擇“基于登錄嘗試失敗次數(shù)拒絕IP地址”項，在右側(cè)的操作欄中點擊“應用”鏈接，激活該功能。

這樣，當在連續(xù)的時間段中登錄嘗試的測試失敗的次數(shù)超過預設(shè)值，F(xiàn)TP服務(wù)器就會拒絕來其登錄企圖。如果選擇“僅寫入日志”項，則僅僅將黑客的可疑登錄行為寫入到FTP日志文件中，而不會對其非法連接進行限制。

為了提高靈活性，可以將該功能和系統(tǒng)的密碼策略配合起來使用。點擊“Windows+R”鍵，執(zhí)行“gpedit.msc”程序，在組策略窗口左側(cè)依次選擇“計算機配置→Windows設(shè)置→安全設(shè)置→賬戶策略→密碼策略”項，在其中可以設(shè)置很多和密碼的相關(guān)安全規(guī)則。例如設(shè)置密碼的復雜度、長度最小值、最長最短使用期限及強制密碼歷史等。

利用篩選功能，限制客戶端行為

出于安全性的考慮，F(xiàn)TP管理員希望對用戶的操作進行合理的限制。例如，禁止其瀏覽、上傳、下載具有潛在風險的文件，禁止其執(zhí)行文件刪除等危險的命令的。這就可以利用FTP請求篩選功能來實現(xiàn)。

在IIS管理器中選擇服務(wù)器名（或者選擇具體的FTP主機名），在窗口中部的“FTP”欄中雙擊“FTP請求篩選”項，在彈出界面的“文件擴展名”面板的右鍵菜單中點擊“拒絕文件擴展名”項，在打開的編輯欄中輸入需要限制文件擴展名。例如，“.exe”等，點擊“確定”按鈕，將其添加到文件擴展名列表中。

這樣，當客戶端使用CuteFTP等工具連接到本FTP服務(wù)器上后，就無法顯示FTP存儲目錄中所有的EXE文件。當用戶試圖上傳EXE文件時，F(xiàn)TP服務(wù)器會對其進行攔截。

按照同樣的方法，可以添加任意文件類型，拒絕客戶端對其進行瀏覽、上傳下載等操作。

在FTP目錄中，往往存在很多文件和目錄，當管理員不希望客戶端查看某些文件，進出某些目錄時，可以對其進行限制。

在“隱藏段”面板的右鍵菜單中點擊“添加隱藏段”項，在彈出窗口中輸入文件名或者目錄名（如“機密”等）。這樣，客戶端雖然可以連接FTP服務(wù)器，但是卻無法查看指定的文件或者目錄，當然無法進入該目錄進行各種操作。

同理，可以添加任意多個文件名和目錄名，禁止客戶端對其進行瀏覽。對于FTP目錄中的有些文件夾來說，管理員希望禁止用戶對其進行更名操作，或者禁止其進入該目錄。

為此，可以在“拒絕的URL序列”面板的右鍵菜單中點擊“添加URL序列”項，在彈出窗口中輸入具體的目錄名（如“共享文檔”等），點擊“確定”按鈕保存設(shè)置。這樣，客戶端試圖對該目錄進行更名或者訪問時，會遭到FTP服務(wù)器的攔截，并顯示警告信息。

為了控制客戶端的具有危險性操作，可以對其操作命令進行攔截。在“命令”面板的右鍵菜單中點擊“拒絕命令”項，在彈出窗口中輸入具體的命令（例如，“dele”“l(fā)ist” “mkd”等），點擊“確定”按鈕保存配置。

這樣，當客戶端試圖刪除FTP服務(wù)器上的文件時，就會遭到服務(wù)器的攔截，同時會收到FTP服務(wù)器發(fā)來的警告信息。

利用規(guī)則分配訪問權(quán)限

為了提高FTP安全性，是不允許采取匿名登錄的。這就需要對用戶的訪問進行授權(quán)，即只能允許用戶使用特定的賬戶來訪問FTP服務(wù)器。

例如，可以在CMD窗口中執(zhí)行“net user ftpuser1 p[]123qwe/add”命令，創(chuàng)建名為“ftpuser1”的賬戶。之后在FTP站點主目錄的屬性窗口中打開“安全”面板，在其中點擊“添加”按鈕，在選擇用戶和組窗口中點擊“高級”按鈕，在彈出面板中點擊“立即查找”按鈕，搜索本機中所有賬戶信息。然后選擇“ftpuser1”賬戶，將其添加到FTP目錄的“組或用戶名”列表中。選擇該賬戶后，在權(quán)限列表中選擇合適的權(quán)限，例如讀取、寫入及修改等。

在為其設(shè)置了合適的權(quán)限后，在IIS管理器中的“FTP”欄中雙擊“FTP授權(quán)規(guī)則”項，在右側(cè)的“操作”欄中點擊“添加允許規(guī)則”項，在彈出窗口中選擇“指定的用戶”項，輸入“ftpuser1”賬戶名，可以輸入多個賬戶，彼此之間以頓號分隔。在“權(quán)限”列表中選擇“讀取”和“寫入”項。

注意，因為FTP的權(quán)限是在Windows用戶權(quán)限的基礎(chǔ)上的實現(xiàn)的，所以僅僅在這里開訪問權(quán)限是不夠的。

必須按照上述方法針對FTP目錄為具體的賬戶添加對應的權(quán)限，否則，在訪問FTP服務(wù)器時會出現(xiàn)權(quán)限不足的問題，點擊“確定”按鈕保存配置信息。這樣客戶端就可以利用該賬戶登錄FTP服務(wù)器，按照預設(shè)的權(quán)限執(zhí)行瀏覽、上傳及修改等操作。

當然，也可以在添加允許授權(quán)規(guī)則窗口中選擇所有用戶、所有匿名用戶、指定的角色或用戶組等對象，為其設(shè)置合理的訪問權(quán)限。

對應地，如果點擊“添加拒絕規(guī)則”鏈接，那么其作用剛好與上述功能相反，可以限制指定的用戶對FTP服務(wù)器的訪問權(quán)限。

限制IP地址，拒絕非法訪問

在某些情況下，限制FTP服務(wù)器只允許來自特定的IP進行訪問，可以有效防范黑客的襲擾。在IIS管理器中選擇服務(wù)器名（或者選擇具體的FTP主機名），在中部的“FTP”欄中雙擊“FTP IP地址和域限制”項，在彈出界面右側(cè)的“操作”欄中點擊“添加允許條目”鏈接，在彈出窗口中可以輸入單個的IP或者指定的IP范圍。點擊“確定”按保存配置。

這樣，當這些IP訪問FTP服務(wù)器時，可以正常連接。

對應地,點擊“添加拒絕條目”鏈接，可以設(shè)置禁止訪問本FTP服務(wù)器的IP或者IP范圍。點擊“編輯功能設(shè)置”鏈接，在彈出窗口中的“未指定的客戶端的訪問權(quán)”列表中如果選擇“拒絕”項，那么當非允許IP范圍外的主機訪問本FTP服務(wù)器時，將禁止其進行連接。如果選擇“允許”項，則情況剛好相反，只要不是禁止列表中的IP，都可以正常訪問本FTP服務(wù)器。如果選擇“啟用域名限制”項，那么在執(zhí)行上述“添加允許條目”和“添加拒絕條目”操作時，可以輸入允許或者禁止的域名信息。例如，在“添加拒絕限制規(guī)則”窗口中選擇“域名”項，輸入“*.xxx.com”的域名，那么本FTP服務(wù)器將拒絕所有后綴為“xxx.com”的主機訪問操作。

管理身份驗證方式

在“FTP”欄中雙擊“FTP身份驗證”項，在彈出界面中顯示基本身份驗證和匿名身份驗證兩種驗證方式。其實在IIS8.0中用來驗證用戶名稱和密碼的方法不止于此，還包括摘要式身份驗證和Windows身份驗證。

對于FTP服務(wù)器來說，一般只使用上述兩種驗證方式。不同的身份驗證方式使用順序是不同的，因為匿名訪問風險較大，最好禁止該身份驗證方式。在“FTP身份驗證窗口”中選擇“基本身份驗證”項，在右側(cè)點擊“啟用”項，激活該身份驗證方式。當客戶端使用該驗證方式連接FTP服務(wù)器時，需要輸入對應的賬戶名和密碼，其安全性有所提高。

當然，這需要管理員在本地安全數(shù)據(jù)庫或者Active Directory數(shù)據(jù)庫中創(chuàng)建好對應的賬戶信息，并針對FTP目錄為不同的賬戶分配不同訪問權(quán)限，同時在“FTP授權(quán)規(guī)則”窗口將其添加進來，客戶端才可以利用對應的賬戶順利訪問FTP服務(wù)器。

不過，客戶端發(fā)送給FTP服務(wù)器的用戶名和密碼沒有經(jīng)過復雜的加密處理，很容易被黑客利用各種嗅探工具攔截。

因此，使用該種身份驗證方式應該和SSL安全連接配合使用，來提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

使用SSL加密傳輸數(shù)據(jù)

為了防止黑客攔截數(shù)據(jù)，需要使用安全加密傳輸，來保證數(shù)據(jù)的安全性。

Windows Server 2012中的FTP服務(wù)支持FTP Over SSL工具，允許FTP客戶端使用SSL安全連接與FTP服務(wù)器進行通訊。當然，前提是必須為FTP服務(wù)器申請和安裝SSL安全連接證書。

當創(chuàng)建了所需的證書后，在IIS管理器中選擇FTP服務(wù)器，在窗口中部雙擊“FTP SSL設(shè)置”項，在彈出界面中的“SSL證書”列表中選擇合適的證書。

選擇“允許SSL連接”項，表示允許客戶端利用SSL方式來連接本FTP服務(wù)器。選擇“將128位加密用于SSL連接”項，表示客戶端需要采用128位加密方式。點擊右側(cè)的“應用”鏈接，激活該功能。如果選擇“需要SSL連接”項，表示客戶端必須使用SSL連接FTP服務(wù)器。選擇“自定義”項，然后點擊“高級”按鈕，在高級SSL策略窗口中可以針對控制通道和數(shù)據(jù)通道，來進行合適的調(diào)整操作。

例如，選擇“允許”項，表示允許使用SSL連接，選擇“要求”項，表示必須使用SSL連接。選擇“拒絕”項，表示拒絕SSL連接。選擇“只有憑證才需要”項，表示當客戶端傳送賬戶名和密碼時才使用SSL加密，該功能只針對控制通道發(fā)揮作用。

上述兩個通道針對的是在客戶端和FTP服務(wù)器之間存在防火墻而言的。

在這種情況下，客戶端和服務(wù)器之間需要建立兩個連接來建立兩個通道：一條通道用來發(fā)送操作命令，稱為控制通道；另一條通道用來發(fā)送數(shù)據(jù)，稱為數(shù)據(jù)通道。

控制通道在服務(wù)器端使用的是21端口，數(shù)據(jù)通道則根據(jù)FTP的連接模式存在不同。當激活了SSL加密功能后，客戶端就可以使用CuteFTP等工具來連接SSL FTP服務(wù)器，在傳輸過程中，數(shù)據(jù)處于加密狀態(tài)，可以有效防御黑客的嗅探操作。

隔離FTP用戶，保證數(shù)據(jù)安全

為了安全起見，可以使用FTP用戶隔離功能，讓不同的用戶擁有其專屬主目錄。這樣，當用戶登錄后，會自動進入其專屬目錄，并且會被限制在其專屬目錄內(nèi)，這就有效降低了FTP服務(wù)器面臨的安全風險。

在FTP站點主目錄中針對不同的用戶，分別創(chuàng)建與之同名的文件夾或或者虛擬目錄，這稱為用戶主目錄。

在IIS管理器中的“FTP”欄中雙擊“FTP用戶隔離”項，在彈出界面選擇“用戶名目錄（禁用全局虛擬目錄）”項，表示用戶擁有自己的專屬主目錄，而且會隔離用戶，即用戶登錄后會被導入到其專屬主目錄中，并且會被限制在其中，無法切換到其他用戶的主目錄中。

假設(shè)FTP站點主目錄為“C:ftproot”，那么對于匿名用戶來說，可以創(chuàng)建名為“C:ftprootLocalUserPublic”的目錄。

本地用戶“ftpuser1”可以建立名為“C:ftprootLocalUserFtpuser1”的目錄，對于名稱為“cklxxx”域中的用戶“ftpyonghu”用戶來說，可以創(chuàng)建名為“C:ftprootcklxxxFtpyonghu”目錄等?？梢愿鶕?jù)用戶性質(zhì)的不同，分別按照特定的規(guī)則創(chuàng)建與之同名的目錄，即對匿名用戶和普通用戶在FTP主目錄下創(chuàng)建名為“LocalUser”的目錄，在其中分別創(chuàng)建與之同名的目錄。

對于匿名用戶來說，其目錄名必須為“Public”。域賬戶需要先在FTP主目錄下創(chuàng)建和域名相同的目錄，在其中分別創(chuàng)建域各自賬戶同名的目錄。

在默認情況下，用戶對其主目錄擁有讀取權(quán)限。當用戶登錄FTP服務(wù)器后，會自動進入各自的主目錄，雖然可以查看其專屬目錄下的虛擬目錄，但是卻無法查看FTP站點之下的虛擬目錄（即全局虛擬目錄）。當然，可以在對應目錄的屬性窗口中打開安全面板，針對不同的用戶設(shè)置更多的訪問權(quán)限。在上述界面中選擇“用戶名物理目錄（啟用全局虛擬目錄）”項，其功能特點與上述“用戶名目錄”基本相同。

所不同的是，這里選擇是用戶名稱物理目錄，即用戶專屬主目錄必須使物理目錄，不能是虛擬目錄。用戶可以訪問FTP站點內(nèi)的全局虛擬目錄，但是卻無法訪問其專屬主目錄中的虛擬目錄。選擇“在Active Directory中配置的FTP主目錄”項，則僅僅針對Active Directory域用戶有效，用戶擁有專屬主目錄，而且會隔離用戶，即用戶登錄后會自動進入其專屬主目錄，并且會被限制在目錄中，無法進入其他用戶的主目錄中。

保護FTP日志安全

針對FTP服務(wù)，Windows提供了詳細完美的日志跟蹤記錄功能。當黑客侵入FTP服務(wù)器后，必然會在系統(tǒng)日志中留下蹤跡，據(jù)此，管理員可以分析黑客的行蹤，及時修補系統(tǒng)漏洞。在IIS管理器中的“FTP”欄中雙擊“FTP日志”項，在“目錄”欄中點擊“瀏覽”按鈕，可以更改自定義日志文件路徑。

雖然修改了日志存放位置，但是只要訪問者擁有足夠的權(quán)限，仍然可以輕松的清除日志信息。我們必須通過Windows文件保護機制，來捍衛(wèi)日志安全。當然，前提條件是日志文件必須存儲在NTFS格式分區(qū)中。

選擇日志存放文件夾，在其屬性窗口中打開“安全”面板，點擊“編輯”按鈕，在彈出窗口中點擊“刪除”按鈕，清除除了“Users”和“SYSTEM”之外的所有賬戶。

如果有些賬戶不能刪除，可以點擊“高級”按鈕，在彈出窗口中點擊“禁止繼承”按鈕，在彈出窗口中選擇“將已繼承的權(quán)限轉(zhuǎn)換為此對象的顯式權(quán)限”項，并取消“從父項繼承那些可以應用到自對象的權(quán)限項目”，在彈出對話框中點擊“刪除”按鈕，就可以清除所需的賬戶。

之后選擇“Users”組，在“允許”欄中只勾選“讀取”項，讓其只擁有讀取日志的能力。選擇“SYSTEM”賬戶，在“允許”欄中勾選除了“完全控制”和“修改”之外的所有權(quán)限。之后點擊“確定”保存。當以后進入事件查看器窗口，試圖刪除日志信息時，系統(tǒng)就會彈出無法刪除日志信息的警告信息。