張濱榮

天津市大港油田信息中心

局域網(wǎng)共享服務(wù)的深層開發(fā)與應(yīng)用

張濱榮

天津市大港油田信息中心

Internet 作為一種重要的交流工具在各個行業(yè)中得到了普遍應(yīng)用?；ヂ?lián)網(wǎng)的首要目的就是實現(xiàn)信息資源共享，F(xiàn)TP主要用于下載公共文件，文件傳輸是信息共享非常重要的一個內(nèi)容。

Internet；資源；共享；軟件

一、引言

共享服務(wù)是集軟件信息加載、審核、發(fā)布等功能于一體的軟件信息共享平臺。將各類應(yīng)用軟件通過內(nèi)部嚴格審核機制、整理，發(fā)布并儲存在服務(wù)器中，供網(wǎng)絡(luò)用戶使用，是用戶查閱各類應(yīng)用軟件，共享軟件的重要工具。本文介紹了如何通過(File Transfer Protocol)文件傳輸協(xié)議、匿名FTP機制、FTP安全機制等關(guān)鍵技術(shù)實現(xiàn)了對信息資源可持續(xù)性和高可用性、不間斷的共享服務(wù)及深層次的開發(fā)與應(yīng)用。

二、共享資源的需求分析

目前人們在共享網(wǎng)絡(luò)資源的同時，很難準確的找到有效、可靠信息，網(wǎng)絡(luò)上充斥著各類木馬程序、漏洞或捆綁流氓軟件，在成為受害者的同時，又成為局域網(wǎng)各類病毒的傳播者，局域網(wǎng)安全顯得尤為重要。

三、共享服務(wù)的深層開發(fā)

1、文件傳輸協(xié)議(File Transfer Protocol， FTP)

我們將不同操作系統(tǒng)之間的文件交流，建立一個統(tǒng)一的文件傳輸協(xié)議，即FTP 是File Transfer Protocol(文件傳輸協(xié)議)的縮寫。與大多數(shù)Internet服務(wù)一樣，F(xiàn)TP也是一個客戶機/服務(wù)器系統(tǒng)。用戶通過一個支持FTP協(xié)議的客戶機程序，連接到在遠程主機上的FTP服務(wù)器程序。用戶通過客戶機程序向服務(wù)器程序發(fā)出命令，服務(wù)器程序執(zhí)行用戶所發(fā)出的命令，并將執(zhí)行的結(jié)果返回到客戶機。

FTP的目標(biāo)是提高文件的共享性，提供非直接使用遠程計算機，使存儲介質(zhì)對用戶透明和可靠高效地傳送數(shù)據(jù)。

2、匿名FTP機制

匿名FTP是這樣一種機制，用戶可通過它連接到遠程主機上，并從其下載文件，而無需成為其注冊用戶。系統(tǒng)管理員建立了一個特殊的用戶ID，名為anonymous， Internet上的任何人在任何地方都可使用該用戶ID。

匿名FTP不適用于所有Internet主機，它只適用于那些提供了這項服務(wù)的主機。當(dāng)遠程主機提供匿名FTP服務(wù)時，會指定某些目錄向公眾開放，允許匿名存取。系統(tǒng)中的其余目錄則處于隱匿狀態(tài)。作為一種安全措施，大多數(shù)匿名FTP主機都允許用戶從其下載文件，而不允許用戶向其上載文件。 即使有些匿名FTP主機確實允許用戶上載文件，用戶也只能將文件上載至某一指定上載目錄中。

3、FTP安全機制

(1) FTP服務(wù)器可能受到的攻擊

雖然Windows 操作系統(tǒng)類服務(wù)器，操作簡單，配置方便，但是微軟操作系統(tǒng)的漏洞層出不窮，如果服務(wù)器以Windows作為操作系統(tǒng)，管理員永遠沒有空閑的時候，要時刻關(guān)注微軟是否又發(fā)布了什么新補丁，公布了什么新漏洞，為了保證服務(wù)器的安全，然后在最快的時間內(nèi)打上補丁，睹上漏洞.

(2) 弱口令漏洞攻擊

黑客們要想入侵，很多都是從帳號和密碼上打主意。而用戶的ID很容易通過一些現(xiàn)成的掃描器獲得，所以口令就成為第一層和唯一的防御線。

(3) 防范拒絕服務(wù)攻擊

1、加固操作系統(tǒng)

加固操作系統(tǒng)，即對操作系統(tǒng)參數(shù)進行配置以加強系統(tǒng)的穩(wěn)固性，提高系統(tǒng)的抗攻擊能力。例如，DoS攻擊的典型種類–SYN Flood，利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請求，以造成網(wǎng)絡(luò)無法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。用戶可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大，加長每次處理數(shù)據(jù)包隊列的長度，以緩解和消化更多數(shù)據(jù)包的攻擊；此外，用戶還可將超時時間設(shè)置得較短，以保證正常數(shù)據(jù)包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

2、增設(shè)防火墻

我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入，那就是增設(shè)一個防火墻。防火墻利用一組形成防火墻“墻磚”的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開，它可以保護內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問，因此利用防火墻來阻止DoS攻擊能有效地保護內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū)，讓其既可以接受來自Internet的訪問，又可以受到防火墻的安全保護。

3、預(yù)防弱口令攻擊

我們可以采取以下一些步驟來消除口令漏洞，預(yù)防弱口令攻擊：

第一步：刪除所有沒有口令的帳號或為沒有口令的用戶加上一個口令。特別是系統(tǒng)內(nèi)置或是缺省賬號。

第二步：制定管理制度，規(guī)范增加帳號的操作，及時移走不再使用的帳號。

第三步：加強所有的弱口令，并且設(shè)置為不易猜測的口令，為了保證口令的強壯性，采用一些專門的程序來拒絕任何不符合你安全策略的口令。

第四步：使用口令控制程序，以保證口令經(jīng)常更改，而且舊口令不可重用。

第五步：對所有的帳號運行口令破解工具，以尋找弱口令或沒有口令的帳號。

四、對重要數(shù)據(jù)進行備份

可以這樣說，很多時候服務(wù)器內(nèi)保存的數(shù)據(jù)比服務(wù)器本身更值錢，甚至可能因數(shù)據(jù)丟失帶來無法估量的損失。做好資料的備份就顯得非常重要了。

五、FTP服務(wù)器的其它安全問題

1、匿名訪問機制

作為Internet上的FTP服務(wù)器，會面對各類用戶。但是作為企業(yè)內(nèi)部的FTP服務(wù)器，一般不會希望匿名FTP用戶來使用，所以在FTP軟件的設(shè)置上最好設(shè)置禁止匿名訪問。

2、關(guān)于防火墻

FTP服務(wù)器必須向FTP客戶端發(fā)出新的連接請求。對服務(wù)器而言，防火墻管理員可能不希望使用PASVFTP服務(wù)器，因為FTP服務(wù)器可以打開任何短暫端口號，如果防火墻配置允許未經(jīng)請求的連接完全訪問所有的短暫端口，則可能會是不安全的。

六、共享服務(wù)在企業(yè)的應(yīng)用

FTP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。正是因為其功能如此的強大，得到了很多企業(yè)的信賴。