張濱榮
天津市大港油田信息中心
局域網(wǎng)共享服務(wù)的深層開(kāi)發(fā)與應(yīng)用
張濱榮
天津市大港油田信息中心
Internet 作為一種重要的交流工具在各個(gè)行業(yè)中得到了普遍應(yīng)用?;ヂ?lián)網(wǎng)的首要目的就是實(shí)現(xiàn)信息資源共享,F(xiàn)TP主要用于下載公共文件,文件傳輸是信息共享非常重要的一個(gè)內(nèi)容。
Internet;資源;共享;軟件
共享服務(wù)是集軟件信息加載、審核、發(fā)布等功能于一體的軟件信息共享平臺(tái)。將各類(lèi)應(yīng)用軟件通過(guò)內(nèi)部嚴(yán)格審核機(jī)制、整理,發(fā)布并儲(chǔ)存在服務(wù)器中,供網(wǎng)絡(luò)用戶(hù)使用,是用戶(hù)查閱各類(lèi)應(yīng)用軟件,共享軟件的重要工具。本文介紹了如何通過(guò)(File Transfer Protocol)文件傳輸協(xié)議、匿名FTP機(jī)制、FTP安全機(jī)制等關(guān)鍵技術(shù)實(shí)現(xiàn)了對(duì)信息資源可持續(xù)性和高可用性、不間斷的共享服務(wù)及深層次的開(kāi)發(fā)與應(yīng)用。
目前人們?cè)诠蚕砭W(wǎng)絡(luò)資源的同時(shí),很難準(zhǔn)確的找到有效、可靠信息,網(wǎng)絡(luò)上充斥著各類(lèi)木馬程序、漏洞或捆綁流氓軟件,在成為受害者的同時(shí),又成為局域網(wǎng)各類(lèi)病毒的傳播者,局域網(wǎng)安全顯得尤為重要。
1、文件傳輸協(xié)議(File Transfer Protocol, FTP)
我們將不同操作系統(tǒng)之間的文件交流,建立一個(gè)統(tǒng)一的文件傳輸協(xié)議,即FTP 是File Transfer Protocol(文件傳輸協(xié)議)的縮寫(xiě)。與大多數(shù)Internet服務(wù)一樣,F(xiàn)TP也是一個(gè)客戶(hù)機(jī)/服務(wù)器系統(tǒng)。用戶(hù)通過(guò)一個(gè)支持FTP協(xié)議的客戶(hù)機(jī)程序,連接到在遠(yuǎn)程主機(jī)上的FTP服務(wù)器程序。用戶(hù)通過(guò)客戶(hù)機(jī)程序向服務(wù)器程序發(fā)出命令,服務(wù)器程序執(zhí)行用戶(hù)所發(fā)出的命令,并將執(zhí)行的結(jié)果返回到客戶(hù)機(jī)。
FTP的目標(biāo)是提高文件的共享性,提供非直接使用遠(yuǎn)程計(jì)算機(jī),使存儲(chǔ)介質(zhì)對(duì)用戶(hù)透明和可靠高效地傳送數(shù)據(jù)。
2、匿名FTP機(jī)制
匿名FTP是這樣一種機(jī)制,用戶(hù)可通過(guò)它連接到遠(yuǎn)程主機(jī)上,并從其下載文件,而無(wú)需成為其注冊(cè)用戶(hù)。系統(tǒng)管理員建立了一個(gè)特殊的用戶(hù)ID,名為anonymous, Internet上的任何人在任何地方都可使用該用戶(hù)ID。
匿名FTP不適用于所有Internet主機(jī),它只適用于那些提供了這項(xiàng)服務(wù)的主機(jī)。當(dāng)遠(yuǎn)程主機(jī)提供匿名FTP服務(wù)時(shí),會(huì)指定某些目錄向公眾開(kāi)放,允許匿名存取。系統(tǒng)中的其余目錄則處于隱匿狀態(tài)。作為一種安全措施,大多數(shù)匿名FTP主機(jī)都允許用戶(hù)從其下載文件,而不允許用戶(hù)向其上載文件。 即使有些匿名FTP主機(jī)確實(shí)允許用戶(hù)上載文件,用戶(hù)也只能將文件上載至某一指定上載目錄中。
3、FTP安全機(jī)制
(1) FTP服務(wù)器可能受到的攻擊
雖然Windows 操作系統(tǒng)類(lèi)服務(wù)器,操作簡(jiǎn)單,配置方便,但是微軟操作系統(tǒng)的漏洞層出不窮,如果服務(wù)器以Windows作為操作系統(tǒng),管理員永遠(yuǎn)沒(méi)有空閑的時(shí)候,要時(shí)刻關(guān)注微軟是否又發(fā)布了什么新補(bǔ)丁,公布了什么新漏洞,為了保證服務(wù)器的安全,然后在最快的時(shí)間內(nèi)打上補(bǔ)丁,睹上漏洞.
(2) 弱口令漏洞攻擊
黑客們要想入侵,很多都是從帳號(hào)和密碼上打主意。而用戶(hù)的ID很容易通過(guò)一些現(xiàn)成的掃描器獲得,所以口令就成為第一層和唯一的防御線(xiàn)。
(3) 防范拒絕服務(wù)攻擊
1、加固操作系統(tǒng)
加固操作系統(tǒng),即對(duì)操作系統(tǒng)參數(shù)進(jìn)行配置以加強(qiáng)系統(tǒng)的穩(wěn)固性,提高系統(tǒng)的抗攻擊能力。例如,DoS攻擊的典型種類(lèi)–SYN Flood,利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求,以造成網(wǎng)絡(luò)無(wú)法連接用戶(hù)服務(wù)或使操作系統(tǒng)癱瘓。用戶(hù)可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大,加長(zhǎng)每次處理數(shù)據(jù)包隊(duì)列的長(zhǎng)度,以緩解和消化更多數(shù)據(jù)包的攻擊;此外,用戶(hù)還可將超時(shí)時(shí)間設(shè)置得較短,以保證正常數(shù)據(jù)包的連接,屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。
2、增設(shè)防火墻
我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入,那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻“墻磚”的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開(kāi),它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn),因此利用防火墻來(lái)阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū),讓其既可以接受來(lái)自Internet的訪問(wèn),又可以受到防火墻的安全保護(hù)。
3、預(yù)防弱口令攻擊
我們可以采取以下一些步驟來(lái)消除口令漏洞,預(yù)防弱口令攻擊:
第一步:刪除所有沒(méi)有口令的帳號(hào)或?yàn)闆](méi)有口令的用戶(hù)加上一個(gè)口令。特別是系統(tǒng)內(nèi)置或是缺省賬號(hào)。
第二步:制定管理制度,規(guī)范增加帳號(hào)的操作,及時(shí)移走不再使用的帳號(hào)。
第三步:加強(qiáng)所有的弱口令,并且設(shè)置為不易猜測(cè)的口令,為了保證口令的強(qiáng)壯性,采用一些專(zhuān)門(mén)的程序來(lái)拒絕任何不符合你安全策略的口令。
第四步:使用口令控制程序,以保證口令經(jīng)常更改,而且舊口令不可重用。
第五步:對(duì)所有的帳號(hào)運(yùn)行口令破解工具,以尋找弱口令或沒(méi)有口令的帳號(hào)。
可以這樣說(shuō),很多時(shí)候服務(wù)器內(nèi)保存的數(shù)據(jù)比服務(wù)器本身更值錢(qián),甚至可能因數(shù)據(jù)丟失帶來(lái)無(wú)法估量的損失。做好資料的備份就顯得非常重要了。
1、匿名訪問(wèn)機(jī)制
作為Internet上的FTP服務(wù)器,會(huì)面對(duì)各類(lèi)用戶(hù)。但是作為企業(yè)內(nèi)部的FTP服務(wù)器,一般不會(huì)希望匿名FTP用戶(hù)來(lái)使用,所以在FTP軟件的設(shè)置上最好設(shè)置禁止匿名訪問(wèn)。
2、關(guān)于防火墻
FTP服務(wù)器必須向FTP客戶(hù)端發(fā)出新的連接請(qǐng)求。對(duì)服務(wù)器而言,防火墻管理員可能不希望使用PASVFTP服務(wù)器,因?yàn)镕TP服務(wù)器可以打開(kāi)任何短暫端口號(hào),如果防火墻配置允許未經(jīng)請(qǐng)求的連接完全訪問(wèn)所有的短暫端口,則可能會(huì)是不安全的。
FTP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。正是因?yàn)槠涔δ苋绱说膹?qiáng)大,得到了很多企業(yè)的信賴(lài)。