曹丹++謝躍偉++王振華

摘 要 信息共享是網(wǎng)絡(luò)的重要功能之一，信息的安全傳輸尤為重要。本文著重論述了如何使用Serv-U 9.0版本架設(shè)支持FTP、FTPS、HTTPS三種協(xié)議的安全文件服務(wù)器。同時(shí)，也說明了在FTP服務(wù)器升級過程中需要注意的問題和操作方法，并分析了部分常見錯(cuò)誤設(shè)置的解決途徑。此外，本文還介紹了使用三種網(wǎng)絡(luò)協(xié)議通過各自特定的端口登陸文件服務(wù)器的具體方法以及在新FTP服務(wù)器架設(shè)完畢后需完成的任務(wù)。

關(guān)鍵詞 信息安全；共享；FTP；FTPS；HTTPS；服務(wù)器

中圖分類號：TP393.05 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）19-0082-01

1 概述

信息共享是網(wǎng)絡(luò)的重要功能之一，信息的安全傳輸尤為重要。軍工單位內(nèi)網(wǎng)電子信息的共享主要有兩種形式：UNC方式和FTP方式。UNC方式基于Windows操作系統(tǒng)的共享功能，有著較強(qiáng)的易用性，但是安全性十分低，而且沒有日志功能，發(fā)生特殊事件時(shí)沒有可追溯性。FTP方式需要架設(shè)專用的服務(wù)器，并在服務(wù)器端設(shè)置用戶名和密碼，客戶端用IE瀏覽器訪問。Windows Server中自帶的FTP服務(wù)在口令傳輸?shù)倪^程中未進(jìn)行加密措施，存在被監(jiān)聽軟件截獲用戶口令的可能性。本文將論述如何架設(shè)安全的FTP服務(wù)器，并完全導(dǎo)入原FTP服務(wù)器中的用戶配置與存儲文件。

2 架設(shè)文件服務(wù)器前準(zhǔn)備工作

2.1 安裝操作系統(tǒng)

在安裝操作系統(tǒng)前需確認(rèn)服務(wù)器的配置滿足Windows Server 2003 R2（64位）英文版的最低配置需求。如果不滿足，需安裝32位版本的Windows系統(tǒng)或者更換服務(wù)器。

2.2 檢查硬件兼容性

在確認(rèn)硬件配置已經(jīng)符合Windows Server 2003 R2版的最低需求之后，還必須確?，F(xiàn)有硬件與Windows Server 2003兼容。如果硬件不兼容，在日后的服務(wù)器運(yùn)作中很可能發(fā)生不穩(wěn)定的情況。因此，查清硬件兼容性是在升級前需要考慮的最重要的一個(gè)問題之一?？梢酝ㄟ^Windows server 2003安裝CD中的自帶檢測程序來檢查系統(tǒng)的兼容性。

3 實(shí)施方案

3.1 安裝FTP軟件

拷貝Serv-U 9.0.2.1的安裝文件到服務(wù)器的硬盤上，然后雙擊啟動(dòng)安裝程序，選擇安裝語言為中文（簡體），點(diǎn)擊下一步進(jìn)入安裝向?qū)В惭b路徑選擇C：＼jyftp，一直點(diǎn)擊下一步完成安裝。如果安裝中使用默認(rèn)的路徑，服務(wù)器就很容易受到黑客軟件的攻擊。

3.2 配置FTP服務(wù)器

3.2.1 新建FTP管理域

打開Serv-U管理控制臺，點(diǎn)擊新建域，進(jìn)入域向?qū)Вㄟ@里的域是FTP專用域，與Windows域無關(guān)）。通過域向?qū)У牡谝徊皆O(shè)置域的名稱為JYFTP，第二步設(shè)置域應(yīng)用的協(xié)議為FTP、FTPS和HTTPS，端口號分別為21、990和443。設(shè)置好服務(wù)器的IP地址，密碼加密模式為單向加密后即可完成FTP管理域的建立工作。

3.2.2 更改用戶文件夾名稱

域設(shè)置完畢后，需對系統(tǒng)文件夾名稱進(jìn)行修改。經(jīng)測試，當(dāng)Serv-U運(yùn)行在英文版系統(tǒng)時(shí)，如果目錄中出現(xiàn)中文，在客戶端用IE登陸FTP服務(wù)器并進(jìn)行文件夾拷貝的時(shí)候會提示警告消息。故必須將原FTP用戶文件夾中的中文名重命名為英文或阿拉伯?dāng)?shù)字，為了便于管理，文件夾名稱為各下屬部門簡稱的第一個(gè)拼音字母。此外，應(yīng)考慮單獨(dú)建立個(gè)人用戶文件夾以滿足個(gè)人重要資料的備份需求。

3.2.3 創(chuàng)建用戶群組

在Serv-U管理控制臺的主頁點(diǎn)擊“創(chuàng)建、修改和刪除用戶群組”完成域群組的設(shè)置。設(shè)置管理員群組時(shí)一定要確定其登錄的IP訪問范圍以保證安全性。

3.2.4 創(chuàng)建用戶賬號

在Serv-U管理控制臺的主頁點(diǎn)擊“創(chuàng)建、修改和刪除用戶賬戶”完成用戶的設(shè)置。

3.2.5 SSL證書設(shè)置

為了加強(qiáng)FTP的安全性，應(yīng)該為FTP服務(wù)器開啟SSL功能并創(chuàng)建密鑰。當(dāng)用戶用過FTPS來訪問FTP服務(wù)器的時(shí)候，必須要獲得密鑰證書來可以進(jìn)行登陸。

進(jìn)入Serv-U管理控制臺的主頁，點(diǎn)擊“創(chuàng)建并指定SSL和SSH證書以及配置加密設(shè)置”進(jìn)入FTP的加密設(shè)置，點(diǎn)擊“創(chuàng)建證書”，設(shè)置名稱和密碼，密碼應(yīng)為十位以上字符數(shù)字和字母組合的強(qiáng)密碼。

創(chuàng)建證書完畢后，根據(jù)提示點(diǎn)立即啟用，F(xiàn)TP服務(wù)器會在指定路徑生成自簽署證書（.crt）、證書請求文件（.csr）和私鑰文件（.key）然后點(diǎn)擊“查看證書”，檢查證書是否有誤，其中公用名稱必須和IP地址一致，否則會導(dǎo)致FTP客戶端提示出錯(cuò)的信息。

3.3 測試FTP登錄的三種方式

3.3.1 通過21端口登陸

21端口是FTP協(xié)議的默認(rèn)端口，用戶可以在FTP客戶端或者IE瀏覽器上輸入ftp：//服務(wù)器的IP地址來登錄FTP，輸入正確的用戶名和密碼就可進(jìn)入用戶可以訪問的文件夾。

3.3.2 通過443端口登陸

443端口是HTTPS協(xié)議的默認(rèn)端口，用戶可以在FTP客戶端或者IE瀏覽器上輸https：//服務(wù)器的IP地址或https：//192.9.100.2來登錄FTP，彈出安全提示的時(shí)候，點(diǎn)查看證書按鈕后點(diǎn)選“安裝證書”進(jìn)行證書的安裝，然后點(diǎn)“是”即可進(jìn)入登錄界面，輸入正確的用戶名和密碼就可進(jìn)入用戶可以訪問相應(yīng)的文件夾。

3.3.3 通過990端口登陸

990端口是FTPS協(xié)議的默認(rèn)端口，用戶必須使用FTP客戶端來登錄FTP。以FlashFXP為例，在快速連接對話框輸入服務(wù)器的IP地址、端口號、用戶名和密碼，在SSL標(biāo)題欄的安全socket層選擇絕對SSL，點(diǎn)擊連接按鈕，如圖1所示。

圖1 SFTP客戶端設(shè)置（二）

連接后顯示證書驗(yàn)證對話框，點(diǎn)“接受并保存”即可登陸FTP服務(wù)器了。

3.4 建議

架設(shè)文件服務(wù)器后應(yīng)及時(shí)發(fā)放證書并制作安全服務(wù)器使用教程，在普及安全服務(wù)器使用方法后在服務(wù)器限制中關(guān)閉21端口，只開啟990端口和443端口，即只能采用后兩種訪問方式登錄FTP服務(wù)器以保證安全性。endprint