張濱榮

天津市大港油田信息中心

局域網(wǎng)共享服務(wù)的深層開(kāi)發(fā)與應(yīng)用

張濱榮

天津市大港油田信息中心

Internet 作為一種重要的交流工具在各個(gè)行業(yè)中得到了普遍應(yīng)用?；ヂ?lián)網(wǎng)的首要目的就是實(shí)現(xiàn)信息資源共享，F(xiàn)TP主要用于下載公共文件，文件傳輸是信息共享非常重要的一個(gè)內(nèi)容。

Internet；資源；共享；軟件

一、引言

共享服務(wù)是集軟件信息加載、審核、發(fā)布等功能于一體的軟件信息共享平臺(tái)。將各類(lèi)應(yīng)用軟件通過(guò)內(nèi)部嚴(yán)格審核機(jī)制、整理，發(fā)布并儲(chǔ)存在服務(wù)器中，供網(wǎng)絡(luò)用戶(hù)使用，是用戶(hù)查閱各類(lèi)應(yīng)用軟件，共享軟件的重要工具。本文介紹了如何通過(guò)(File Transfer Protocol)文件傳輸協(xié)議、匿名FTP機(jī)制、FTP安全機(jī)制等關(guān)鍵技術(shù)實(shí)現(xiàn)了對(duì)信息資源可持續(xù)性和高可用性、不間斷的共享服務(wù)及深層次的開(kāi)發(fā)與應(yīng)用。

二、共享資源的需求分析

目前人們?cè)诠蚕砭W(wǎng)絡(luò)資源的同時(shí)，很難準(zhǔn)確的找到有效、可靠信息，網(wǎng)絡(luò)上充斥著各類(lèi)木馬程序、漏洞或捆綁流氓軟件，在成為受害者的同時(shí)，又成為局域網(wǎng)各類(lèi)病毒的傳播者，局域網(wǎng)安全顯得尤為重要。

三、共享服務(wù)的深層開(kāi)發(fā)

1、文件傳輸協(xié)議(File Transfer Protocol， FTP)

我們將不同操作系統(tǒng)之間的文件交流，建立一個(gè)統(tǒng)一的文件傳輸協(xié)議，即FTP 是File Transfer Protocol(文件傳輸協(xié)議)的縮寫(xiě)。與大多數(shù)Internet服務(wù)一樣，F(xiàn)TP也是一個(gè)客戶(hù)機(jī)/服務(wù)器系統(tǒng)。用戶(hù)通過(guò)一個(gè)支持FTP協(xié)議的客戶(hù)機(jī)程序，連接到在遠(yuǎn)程主機(jī)上的FTP服務(wù)器程序。用戶(hù)通過(guò)客戶(hù)機(jī)程序向服務(wù)器程序發(fā)出命令，服務(wù)器程序執(zhí)行用戶(hù)所發(fā)出的命令，并將執(zhí)行的結(jié)果返回到客戶(hù)機(jī)。

FTP的目標(biāo)是提高文件的共享性，提供非直接使用遠(yuǎn)程計(jì)算機(jī)，使存儲(chǔ)介質(zhì)對(duì)用戶(hù)透明和可靠高效地傳送數(shù)據(jù)。

2、匿名FTP機(jī)制

匿名FTP是這樣一種機(jī)制，用戶(hù)可通過(guò)它連接到遠(yuǎn)程主機(jī)上，并從其下載文件，而無(wú)需成為其注冊(cè)用戶(hù)。系統(tǒng)管理員建立了一個(gè)特殊的用戶(hù)ID，名為anonymous， Internet上的任何人在任何地方都可使用該用戶(hù)ID。

匿名FTP不適用于所有Internet主機(jī)，它只適用于那些提供了這項(xiàng)服務(wù)的主機(jī)。當(dāng)遠(yuǎn)程主機(jī)提供匿名FTP服務(wù)時(shí)，會(huì)指定某些目錄向公眾開(kāi)放，允許匿名存取。系統(tǒng)中的其余目錄則處于隱匿狀態(tài)。作為一種安全措施，大多數(shù)匿名FTP主機(jī)都允許用戶(hù)從其下載文件，而不允許用戶(hù)向其上載文件。 即使有些匿名FTP主機(jī)確實(shí)允許用戶(hù)上載文件，用戶(hù)也只能將文件上載至某一指定上載目錄中。

3、FTP安全機(jī)制

(1) FTP服務(wù)器可能受到的攻擊

雖然Windows 操作系統(tǒng)類(lèi)服務(wù)器，操作簡(jiǎn)單，配置方便，但是微軟操作系統(tǒng)的漏洞層出不窮，如果服務(wù)器以Windows作為操作系統(tǒng)，管理員永遠(yuǎn)沒(méi)有空閑的時(shí)候，要時(shí)刻關(guān)注微軟是否又發(fā)布了什么新補(bǔ)丁，公布了什么新漏洞，為了保證服務(wù)器的安全，然后在最快的時(shí)間內(nèi)打上補(bǔ)丁，睹上漏洞.

(2) 弱口令漏洞攻擊

黑客們要想入侵，很多都是從帳號(hào)和密碼上打主意。而用戶(hù)的ID很容易通過(guò)一些現(xiàn)成的掃描器獲得，所以口令就成為第一層和唯一的防御線(xiàn)。

(3) 防范拒絕服務(wù)攻擊

1、加固操作系統(tǒng)

加固操作系統(tǒng)，即對(duì)操作系統(tǒng)參數(shù)進(jìn)行配置以加強(qiáng)系統(tǒng)的穩(wěn)固性，提高系統(tǒng)的抗攻擊能力。例如，DoS攻擊的典型種類(lèi)–SYN Flood，利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求，以造成網(wǎng)絡(luò)無(wú)法連接用戶(hù)服務(wù)或使操作系統(tǒng)癱瘓。用戶(hù)可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大，加長(zhǎng)每次處理數(shù)據(jù)包隊(duì)列的長(zhǎng)度，以緩解和消化更多數(shù)據(jù)包的攻擊；此外，用戶(hù)還可將超時(shí)時(shí)間設(shè)置得較短，以保證正常數(shù)據(jù)包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

2、增設(shè)防火墻

我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入，那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻“墻磚”的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開(kāi)，它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)，因此利用防火墻來(lái)阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū)，讓其既可以接受來(lái)自Internet的訪問(wèn)，又可以受到防火墻的安全保護(hù)。

3、預(yù)防弱口令攻擊

我們可以采取以下一些步驟來(lái)消除口令漏洞，預(yù)防弱口令攻擊：

第一步：刪除所有沒(méi)有口令的帳號(hào)或?yàn)闆](méi)有口令的用戶(hù)加上一個(gè)口令。特別是系統(tǒng)內(nèi)置或是缺省賬號(hào)。

第二步：制定管理制度，規(guī)范增加帳號(hào)的操作，及時(shí)移走不再使用的帳號(hào)。

第三步：加強(qiáng)所有的弱口令，并且設(shè)置為不易猜測(cè)的口令，為了保證口令的強(qiáng)壯性，采用一些專(zhuān)門(mén)的程序來(lái)拒絕任何不符合你安全策略的口令。

第四步：使用口令控制程序，以保證口令經(jīng)常更改，而且舊口令不可重用。

第五步：對(duì)所有的帳號(hào)運(yùn)行口令破解工具，以尋找弱口令或沒(méi)有口令的帳號(hào)。

四、對(duì)重要數(shù)據(jù)進(jìn)行備份

可以這樣說(shuō)，很多時(shí)候服務(wù)器內(nèi)保存的數(shù)據(jù)比服務(wù)器本身更值錢(qián)，甚至可能因數(shù)據(jù)丟失帶來(lái)無(wú)法估量的損失。做好資料的備份就顯得非常重要了。

五、FTP服務(wù)器的其它安全問(wèn)題

1、匿名訪問(wèn)機(jī)制

作為Internet上的FTP服務(wù)器，會(huì)面對(duì)各類(lèi)用戶(hù)。但是作為企業(yè)內(nèi)部的FTP服務(wù)器，一般不會(huì)希望匿名FTP用戶(hù)來(lái)使用，所以在FTP軟件的設(shè)置上最好設(shè)置禁止匿名訪問(wèn)。

2、關(guān)于防火墻

FTP服務(wù)器必須向FTP客戶(hù)端發(fā)出新的連接請(qǐng)求。對(duì)服務(wù)器而言，防火墻管理員可能不希望使用PASVFTP服務(wù)器，因?yàn)镕TP服務(wù)器可以打開(kāi)任何短暫端口號(hào)，如果防火墻配置允許未經(jīng)請(qǐng)求的連接完全訪問(wèn)所有的短暫端口，則可能會(huì)是不安全的。

六、共享服務(wù)在企業(yè)的應(yīng)用

FTP服務(wù)器在企業(yè)中的應(yīng)用是非常廣泛的。正是因?yàn)槠涔δ苋绱说膹?qiáng)大，得到了很多企業(yè)的信賴(lài)。