■ 河南 許紅軍

限制登錄次數(shù)

在Windows Server 2012中打開(kāi)管理工具窗口，然后雙擊Internet Information Service（IIS）管理器，在IIS管理器窗口左側(cè)選擇服務(wù)器名，在窗口中部的“FTP”欄中雙擊“FTP登錄嘗試限制”項(xiàng)，在彈出界面中勾選“啟用FTP登錄嘗試限制”項(xiàng)，在“最大登錄嘗試失敗次數(shù)”欄中設(shè)置登錄失敗上限值，默認(rèn)為4次。在“時(shí)間段”欄中設(shè)置判斷周期，單位為秒，默認(rèn)為30秒。選擇“基于登錄嘗試失敗次數(shù)拒絕IP地址”項(xiàng)，在右側(cè)的操作欄中點(diǎn)擊“應(yīng)用”鏈接，激活該功能。

這樣，當(dāng)在連續(xù)的時(shí)間段中登錄嘗試的測(cè)試失敗的次數(shù)超過(guò)預(yù)設(shè)值，F(xiàn)TP服務(wù)器就會(huì)拒絕來(lái)其登錄企圖。如果選擇“僅寫(xiě)入日志”項(xiàng)，則僅僅將黑客的可疑登錄行為寫(xiě)入到FTP日志文件中，而不會(huì)對(duì)其非法連接進(jìn)行限制。

為了提高靈活性，可以將該功能和系統(tǒng)的密碼策略配合起來(lái)使用。點(diǎn)擊“Windows+R”鍵，執(zhí)行“gpedit.msc”程序，在組策略窗口左側(cè)依次選擇“計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→賬戶策略→密碼策略”項(xiàng)，在其中可以設(shè)置很多和密碼的相關(guān)安全規(guī)則。例如設(shè)置密碼的復(fù)雜度、長(zhǎng)度最小值、最長(zhǎng)最短使用期限及強(qiáng)制密碼歷史等。

利用篩選功能，限制客戶端行為

出于安全性的考慮，F(xiàn)TP管理員希望對(duì)用戶的操作進(jìn)行合理的限制。例如，禁止其瀏覽、上傳、下載具有潛在風(fēng)險(xiǎn)的文件，禁止其執(zhí)行文件刪除等危險(xiǎn)的命令的。這就可以利用FTP請(qǐng)求篩選功能來(lái)實(shí)現(xiàn)。

在IIS管理器中選擇服務(wù)器名（或者選擇具體的FTP主機(jī)名），在窗口中部的“FTP”欄中雙擊“FTP請(qǐng)求篩選”項(xiàng)，在彈出界面的“文件擴(kuò)展名”面板的右鍵菜單中點(diǎn)擊“拒絕文件擴(kuò)展名”項(xiàng)，在打開(kāi)的編輯欄中輸入需要限制文件擴(kuò)展名。例如，“.exe”等，點(diǎn)擊“確定”按鈕，將其添加到文件擴(kuò)展名列表中。

這樣，當(dāng)客戶端使用CuteFTP等工具連接到本FTP服務(wù)器上后，就無(wú)法顯示FTP存儲(chǔ)目錄中所有的EXE文件。當(dāng)用戶試圖上傳EXE文件時(shí)，F(xiàn)TP服務(wù)器會(huì)對(duì)其進(jìn)行攔截。

按照同樣的方法，可以添加任意文件類型，拒絕客戶端對(duì)其進(jìn)行瀏覽、上傳下載等操作。

在FTP目錄中，往往存在很多文件和目錄，當(dāng)管理員不希望客戶端查看某些文件，進(jìn)出某些目錄時(shí)，可以對(duì)其進(jìn)行限制。

在“隱藏段”面板的右鍵菜單中點(diǎn)擊“添加隱藏段”項(xiàng)，在彈出窗口中輸入文件名或者目錄名（如“機(jī)密”等）。這樣，客戶端雖然可以連接FTP服務(wù)器，但是卻無(wú)法查看指定的文件或者目錄，當(dāng)然無(wú)法進(jìn)入該目錄進(jìn)行各種操作。

同理，可以添加任意多個(gè)文件名和目錄名，禁止客戶端對(duì)其進(jìn)行瀏覽。對(duì)于FTP目錄中的有些文件夾來(lái)說(shuō)，管理員希望禁止用戶對(duì)其進(jìn)行更名操作，或者禁止其進(jìn)入該目錄。

為此，可以在“拒絕的URL序列”面板的右鍵菜單中點(diǎn)擊“添加URL序列”項(xiàng)，在彈出窗口中輸入具體的目錄名（如“共享文檔”等），點(diǎn)擊“確定”按鈕保存設(shè)置。這樣，客戶端試圖對(duì)該目錄進(jìn)行更名或者訪問(wèn)時(shí)，會(huì)遭到FTP服務(wù)器的攔截，并顯示警告信息。

為了控制客戶端的具有危險(xiǎn)性操作，可以對(duì)其操作命令進(jìn)行攔截。在“命令”面板的右鍵菜單中點(diǎn)擊“拒絕命令”項(xiàng)，在彈出窗口中輸入具體的命令（例如，“dele”“l(fā)ist” “mkd”等），點(diǎn)擊“確定”按鈕保存配置。

這樣，當(dāng)客戶端試圖刪除FTP服務(wù)器上的文件時(shí)，就會(huì)遭到服務(wù)器的攔截，同時(shí)會(huì)收到FTP服務(wù)器發(fā)來(lái)的警告信息。

利用規(guī)則分配訪問(wèn)權(quán)限

為了提高FTP安全性，是不允許采取匿名登錄的。這就需要對(duì)用戶的訪問(wèn)進(jìn)行授權(quán)，即只能允許用戶使用特定的賬戶來(lái)訪問(wèn)FTP服務(wù)器。

例如，可以在CMD窗口中執(zhí)行“net user ftpuser1 p[]123qwe/add”命令，創(chuàng)建名為“ftpuser1”的賬戶。之后在FTP站點(diǎn)主目錄的屬性窗口中打開(kāi)“安全”面板，在其中點(diǎn)擊“添加”按鈕，在選擇用戶和組窗口中點(diǎn)擊“高級(jí)”按鈕，在彈出面板中點(diǎn)擊“立即查找”按鈕，搜索本機(jī)中所有賬戶信息。然后選擇“ftpuser1”賬戶，將其添加到FTP目錄的“組或用戶名”列表中。選擇該賬戶后，在權(quán)限列表中選擇合適的權(quán)限，例如讀取、寫(xiě)入及修改等。

在為其設(shè)置了合適的權(quán)限后，在IIS管理器中的“FTP”欄中雙擊“FTP授權(quán)規(guī)則”項(xiàng)，在右側(cè)的“操作”欄中點(diǎn)擊“添加允許規(guī)則”項(xiàng)，在彈出窗口中選擇“指定的用戶”項(xiàng)，輸入“ftpuser1”賬戶名，可以輸入多個(gè)賬戶，彼此之間以頓號(hào)分隔。在“權(quán)限”列表中選擇“讀取”和“寫(xiě)入”項(xiàng)。

注意，因?yàn)镕TP的權(quán)限是在Windows用戶權(quán)限的基礎(chǔ)上的實(shí)現(xiàn)的，所以僅僅在這里開(kāi)訪問(wèn)權(quán)限是不夠的。

必須按照上述方法針對(duì)FTP目錄為具體的賬戶添加對(duì)應(yīng)的權(quán)限，否則，在訪問(wèn)FTP服務(wù)器時(shí)會(huì)出現(xiàn)權(quán)限不足的問(wèn)題，點(diǎn)擊“確定”按鈕保存配置信息。這樣客戶端就可以利用該賬戶登錄FTP服務(wù)器，按照預(yù)設(shè)的權(quán)限執(zhí)行瀏覽、上傳及修改等操作。

當(dāng)然，也可以在添加允許授權(quán)規(guī)則窗口中選擇所有用戶、所有匿名用戶、指定的角色或用戶組等對(duì)象，為其設(shè)置合理的訪問(wèn)權(quán)限。

對(duì)應(yīng)地，如果點(diǎn)擊“添加拒絕規(guī)則”鏈接，那么其作用剛好與上述功能相反，可以限制指定的用戶對(duì)FTP服務(wù)器的訪問(wèn)權(quán)限。

限制IP地址，拒絕非法訪問(wèn)

在某些情況下，限制FTP服務(wù)器只允許來(lái)自特定的IP進(jìn)行訪問(wèn)，可以有效防范黑客的襲擾。在IIS管理器中選擇服務(wù)器名（或者選擇具體的FTP主機(jī)名），在中部的“FTP”欄中雙擊“FTP IP地址和域限制”項(xiàng)，在彈出界面右側(cè)的“操作”欄中點(diǎn)擊“添加允許條目”鏈接，在彈出窗口中可以輸入單個(gè)的IP或者指定的IP范圍。點(diǎn)擊“確定”按保存配置。

這樣，當(dāng)這些IP訪問(wèn)FTP服務(wù)器時(shí)，可以正常連接。

對(duì)應(yīng)地,點(diǎn)擊“添加拒絕條目”鏈接，可以設(shè)置禁止訪問(wèn)本FTP服務(wù)器的IP或者IP范圍。點(diǎn)擊“編輯功能設(shè)置”鏈接，在彈出窗口中的“未指定的客戶端的訪問(wèn)權(quán)”列表中如果選擇“拒絕”項(xiàng)，那么當(dāng)非允許IP范圍外的主機(jī)訪問(wèn)本FTP服務(wù)器時(shí)，將禁止其進(jìn)行連接。如果選擇“允許”項(xiàng)，則情況剛好相反，只要不是禁止列表中的IP，都可以正常訪問(wèn)本FTP服務(wù)器。如果選擇“啟用域名限制”項(xiàng)，那么在執(zhí)行上述“添加允許條目”和“添加拒絕條目”操作時(shí)，可以輸入允許或者禁止的域名信息。例如，在“添加拒絕限制規(guī)則”窗口中選擇“域名”項(xiàng)，輸入“*.xxx.com”的域名，那么本FTP服務(wù)器將拒絕所有后綴為“xxx.com”的主機(jī)訪問(wèn)操作。

管理身份驗(yàn)證方式

在“FTP”欄中雙擊“FTP身份驗(yàn)證”項(xiàng)，在彈出界面中顯示基本身份驗(yàn)證和匿名身份驗(yàn)證兩種驗(yàn)證方式。其實(shí)在IIS8.0中用來(lái)驗(yàn)證用戶名稱和密碼的方法不止于此，還包括摘要式身份驗(yàn)證和Windows身份驗(yàn)證。

對(duì)于FTP服務(wù)器來(lái)說(shuō)，一般只使用上述兩種驗(yàn)證方式。不同的身份驗(yàn)證方式使用順序是不同的，因?yàn)槟涿L問(wèn)風(fēng)險(xiǎn)較大，最好禁止該身份驗(yàn)證方式。在“FTP身份驗(yàn)證窗口”中選擇“基本身份驗(yàn)證”項(xiàng)，在右側(cè)點(diǎn)擊“啟用”項(xiàng)，激活該身份驗(yàn)證方式。當(dāng)客戶端使用該驗(yàn)證方式連接FTP服務(wù)器時(shí)，需要輸入對(duì)應(yīng)的賬戶名和密碼，其安全性有所提高。

當(dāng)然，這需要管理員在本地安全數(shù)據(jù)庫(kù)或者Active Directory數(shù)據(jù)庫(kù)中創(chuàng)建好對(duì)應(yīng)的賬戶信息，并針對(duì)FTP目錄為不同的賬戶分配不同訪問(wèn)權(quán)限，同時(shí)在“FTP授權(quán)規(guī)則”窗口將其添加進(jìn)來(lái)，客戶端才可以利用對(duì)應(yīng)的賬戶順利訪問(wèn)FTP服務(wù)器。

不過(guò)，客戶端發(fā)送給FTP服務(wù)器的用戶名和密碼沒(méi)有經(jīng)過(guò)復(fù)雜的加密處理，很容易被黑客利用各種嗅探工具攔截。

因此，使用該種身份驗(yàn)證方式應(yīng)該和SSL安全連接配合使用，來(lái)提高數(shù)據(jù)傳輸?shù)陌踩浴?/p>

使用SSL加密傳輸數(shù)據(jù)

為了防止黑客攔截?cái)?shù)據(jù)，需要使用安全加密傳輸，來(lái)保證數(shù)據(jù)的安全性。

Windows Server 2012中的FTP服務(wù)支持FTP Over SSL工具，允許FTP客戶端使用SSL安全連接與FTP服務(wù)器進(jìn)行通訊。當(dāng)然，前提是必須為FTP服務(wù)器申請(qǐng)和安裝SSL安全連接證書(shū)。

當(dāng)創(chuàng)建了所需的證書(shū)后，在IIS管理器中選擇FTP服務(wù)器，在窗口中部雙擊“FTP SSL設(shè)置”項(xiàng)，在彈出界面中的“SSL證書(shū)”列表中選擇合適的證書(shū)。

選擇“允許SSL連接”項(xiàng)，表示允許客戶端利用SSL方式來(lái)連接本FTP服務(wù)器。選擇“將128位加密用于SSL連接”項(xiàng)，表示客戶端需要采用128位加密方式。點(diǎn)擊右側(cè)的“應(yīng)用”鏈接，激活該功能。如果選擇“需要SSL連接”項(xiàng)，表示客戶端必須使用SSL連接FTP服務(wù)器。選擇“自定義”項(xiàng)，然后點(diǎn)擊“高級(jí)”按鈕，在高級(jí)SSL策略窗口中可以針對(duì)控制通道和數(shù)據(jù)通道，來(lái)進(jìn)行合適的調(diào)整操作。

例如，選擇“允許”項(xiàng)，表示允許使用SSL連接，選擇“要求”項(xiàng)，表示必須使用SSL連接。選擇“拒絕”項(xiàng)，表示拒絕SSL連接。選擇“只有憑證才需要”項(xiàng)，表示當(dāng)客戶端傳送賬戶名和密碼時(shí)才使用SSL加密，該功能只針對(duì)控制通道發(fā)揮作用。

上述兩個(gè)通道針對(duì)的是在客戶端和FTP服務(wù)器之間存在防火墻而言的。

在這種情況下，客戶端和服務(wù)器之間需要建立兩個(gè)連接來(lái)建立兩個(gè)通道：一條通道用來(lái)發(fā)送操作命令，稱為控制通道；另一條通道用來(lái)發(fā)送數(shù)據(jù)，稱為數(shù)據(jù)通道。

控制通道在服務(wù)器端使用的是21端口，數(shù)據(jù)通道則根據(jù)FTP的連接模式存在不同。當(dāng)激活了SSL加密功能后，客戶端就可以使用CuteFTP等工具來(lái)連接SSL FTP服務(wù)器，在傳輸過(guò)程中，數(shù)據(jù)處于加密狀態(tài)，可以有效防御黑客的嗅探操作。

隔離FTP用戶，保證數(shù)據(jù)安全

為了安全起見(jiàn)，可以使用FTP用戶隔離功能，讓不同的用戶擁有其專屬主目錄。這樣，當(dāng)用戶登錄后，會(huì)自動(dòng)進(jìn)入其專屬目錄，并且會(huì)被限制在其專屬目錄內(nèi)，這就有效降低了FTP服務(wù)器面臨的安全風(fēng)險(xiǎn)。

在FTP站點(diǎn)主目錄中針對(duì)不同的用戶，分別創(chuàng)建與之同名的文件夾或或者虛擬目錄，這稱為用戶主目錄。

在IIS管理器中的“FTP”欄中雙擊“FTP用戶隔離”項(xiàng)，在彈出界面選擇“用戶名目錄（禁用全局虛擬目錄）”項(xiàng)，表示用戶擁有自己的專屬主目錄，而且會(huì)隔離用戶，即用戶登錄后會(huì)被導(dǎo)入到其專屬主目錄中，并且會(huì)被限制在其中，無(wú)法切換到其他用戶的主目錄中。

假設(shè)FTP站點(diǎn)主目錄為“C:ftproot”，那么對(duì)于匿名用戶來(lái)說(shuō)，可以創(chuàng)建名為“C:ftprootLocalUserPublic”的目錄。

本地用戶“ftpuser1”可以建立名為“C:ftprootLocalUserFtpuser1”的目錄，對(duì)于名稱為“cklxxx”域中的用戶“ftpyonghu”用戶來(lái)說(shuō)，可以創(chuàng)建名為“C:ftprootcklxxxFtpyonghu”目錄等。可以根據(jù)用戶性質(zhì)的不同，分別按照特定的規(guī)則創(chuàng)建與之同名的目錄，即對(duì)匿名用戶和普通用戶在FTP主目錄下創(chuàng)建名為“LocalUser”的目錄，在其中分別創(chuàng)建與之同名的目錄。

對(duì)于匿名用戶來(lái)說(shuō)，其目錄名必須為“Public”。域賬戶需要先在FTP主目錄下創(chuàng)建和域名相同的目錄，在其中分別創(chuàng)建域各自賬戶同名的目錄。

在默認(rèn)情況下，用戶對(duì)其主目錄擁有讀取權(quán)限。當(dāng)用戶登錄FTP服務(wù)器后，會(huì)自動(dòng)進(jìn)入各自的主目錄，雖然可以查看其專屬目錄下的虛擬目錄，但是卻無(wú)法查看FTP站點(diǎn)之下的虛擬目錄（即全局虛擬目錄）。當(dāng)然，可以在對(duì)應(yīng)目錄的屬性窗口中打開(kāi)安全面板，針對(duì)不同的用戶設(shè)置更多的訪問(wèn)權(quán)限。在上述界面中選擇“用戶名物理目錄（啟用全局虛擬目錄）”項(xiàng)，其功能特點(diǎn)與上述“用戶名目錄”基本相同。

所不同的是，這里選擇是用戶名稱物理目錄，即用戶專屬主目錄必須使物理目錄，不能是虛擬目錄。用戶可以訪問(wèn)FTP站點(diǎn)內(nèi)的全局虛擬目錄，但是卻無(wú)法訪問(wèn)其專屬主目錄中的虛擬目錄。選擇“在Active Directory中配置的FTP主目錄”項(xiàng)，則僅僅針對(duì)Active Directory域用戶有效，用戶擁有專屬主目錄，而且會(huì)隔離用戶，即用戶登錄后會(huì)自動(dòng)進(jìn)入其專屬主目錄，并且會(huì)被限制在目錄中，無(wú)法進(jìn)入其他用戶的主目錄中。

保護(hù)FTP日志安全

針對(duì)FTP服務(wù)，Windows提供了詳細(xì)完美的日志跟蹤記錄功能。當(dāng)黑客侵入FTP服務(wù)器后，必然會(huì)在系統(tǒng)日志中留下蹤跡，據(jù)此，管理員可以分析黑客的行蹤，及時(shí)修補(bǔ)系統(tǒng)漏洞。在IIS管理器中的“FTP”欄中雙擊“FTP日志”項(xiàng)，在“目錄”欄中點(diǎn)擊“瀏覽”按鈕，可以更改自定義日志文件路徑。

雖然修改了日志存放位置，但是只要訪問(wèn)者擁有足夠的權(quán)限，仍然可以輕松的清除日志信息。我們必須通過(guò)Windows文件保護(hù)機(jī)制，來(lái)捍衛(wèi)日志安全。當(dāng)然，前提條件是日志文件必須存儲(chǔ)在NTFS格式分區(qū)中。

選擇日志存放文件夾，在其屬性窗口中打開(kāi)“安全”面板，點(diǎn)擊“編輯”按鈕，在彈出窗口中點(diǎn)擊“刪除”按鈕，清除除了“Users”和“SYSTEM”之外的所有賬戶。

如果有些賬戶不能刪除，可以點(diǎn)擊“高級(jí)”按鈕，在彈出窗口中點(diǎn)擊“禁止繼承”按鈕，在彈出窗口中選擇“將已繼承的權(quán)限轉(zhuǎn)換為此對(duì)象的顯式權(quán)限”項(xiàng)，并取消“從父項(xiàng)繼承那些可以應(yīng)用到自對(duì)象的權(quán)限項(xiàng)目”，在彈出對(duì)話框中點(diǎn)擊“刪除”按鈕，就可以清除所需的賬戶。

之后選擇“Users”組，在“允許”欄中只勾選“讀取”項(xiàng)，讓其只擁有讀取日志的能力。選擇“SYSTEM”賬戶，在“允許”欄中勾選除了“完全控制”和“修改”之外的所有權(quán)限。之后點(diǎn)擊“確定”保存。當(dāng)以后進(jìn)入事件查看器窗口，試圖刪除日志信息時(shí)，系統(tǒng)就會(huì)彈出無(wú)法刪除日志信息的警告信息。