当前,局域网搭建文件服务器,并且共享文件供局域网用户访问的现象极为普遍。通过文件服务器,一方面可以大容量存储文件,防止终端分散存储共享文件的丢失、泄露;另一方面也可以随时为用户访问共享文件提供便利,便于局域网用户协同办公的需要。
而目前企业内网电子信息的共享主要有两种形式:UNC方式和FTP方式。UNC方式基于Windows操作系统的共享功能,有着较强的易用性,但是安全性十分低,而且没有日志功能,发生特殊事件时没有可追溯性。FTP方式需要架设专用的服务器,并在服务器端设置用户名和密码,客户端用IE浏览器访问。WindowsServer中自带的FTP服务在口令传输的过程中未进行加密措施,存在被监听软件截获用户口令的可能性。本文将论述如何架设安全的FTP服务器,并完全导入原FTP服务器中的用户配置与存储文件。
2架设文件服务器前准备工作
2.1安装操作系统
在安装操作系统前需确认服务器的配置满足WindowsServer2003R2(64位)英文版的最低配置需求。如果不满足,需安装32位版本的Windows系统或者更换服务器。
2.2检查硬件兼容性
在确认硬件配置已经符合WindowsServer2003R2版的最低需求之后,还必须确保现有硬件与WindowsServer2003兼容。如果硬件不兼容,在日后的服务器运作中很可能发生不稳定的情况。因此,查清硬件兼容性是在升级前需要考虑的最重要的一个问题之一。可以通过Windowsserver2003安装CD中的自带检测程序来检查系统的兼容性。
3实施方案
3.1安装FTP软件
拷贝Serv-U9.0.2.1的安装文件到服务器的硬盘上,然后双击启动安装程序,选择安装语言为中文(简体),点击下一步进入安装向导,安装路径选择C:\jyftp,一直点击下一步完成安装。如果安装中使用默认的路径,服务器就很容易受到黑客软件的攻击。
3.2配置FTP服务器
3.2.1新建FTP管理域
打开Serv-U管理控制台,点击新建域,进入域向导(这里的域是FTP专用域,与Windows域无关)。通过域向导的第一步设置域的名称为JYFTP,第二步设置域应用的协议为FTP、FTPS和HTTPS,端口号分别为21、990和443。设置好服务器的IP地址,密码加密模式为单向加密后即可完成FTP管理域的建立工作。
3.2.2更改用户文件夹名称
域设置完毕后,需对系统文件夹名称进行修改。经测试,当Serv-U运行在英文版系统时,如果目录中出现中文,在客户端用IE登陆FTP服务器并进行文件夹拷贝的时候会提示警告消息。故必须将原FTP用户文件夹中的中文名重命名为英文或阿拉伯数字,为了便于管理,文件夹名称为各下属部门简称的第一个拼音字母。此外,应考虑单独建立个人用户文件夹以满足个人重要资料的备份需求。
3.2.3创建用户群组
在Serv-U管理控制台的主页点击“创建、修改和删除用户群组”完成域群组的设置。设置管理员群组时一定要确定其登录的IP访问范围以保证安全性。
3.2.4创建用户账号
在Serv-U管理控制台的主页点击“创建、修改和删除用户账户”完成用户的设置。
3.2.5SSL证书设置
为了加强FTP的安全性,应该为FTP服务器开启SSL功能并创建密钥。当用户用过FTPS来访问FTP服务器的时候,必须要获得密钥证书来可以进行登陆。
进入Serv-U管理控制台的主页,点击“创建并指定SSL和SSH证书以及配置加密设置”进入FTP的加密设置,点击“创建证书”,设置名称和密码,密码应为十位以上字符数字和字母组合的强密码。
创建证书完毕后,根据提示点立即启用,FTP服务器会在指定路径生成自签署证书(.crt)、证书请求文件(.csr)和私钥文件(.key)然后点击“查看证书”,检查证书是否有误,其中公用名称必须和IP地址一致,否则会导致FTP客户端提示出错的信息。
3.3测试FTP登录的三种方式
3.3.1通过21端口登陆
21端口是FTP协议的默认端口,用户可以在FTP客户端或者IE浏览器上输入ftp://服务器的IP地址来登录FTP,输入正确的用户名和密码就可进入用户可以访问的文件夹。
3.3.2通过443端口登陆
443端口是HTTPS协议的默认端口,用户可以在FTP客户端或者IE浏览器上输https://服务器的IP地址或https://192.9.100.2来登录FTP,弹出安全提示的时候,点查看证书按钮后点选“安装证书”进行证书的安装,然后点“是”即可进入登录界面,输入正确的用户名和密码就可进入用户可以访问相应的文件夹。
3.3.3通过990端口登陆
990端口是FTPS协议的默认端口,用户必须使用FTP客户端来登录FTP。以FlashFXP为例,在快速连接对话框输入服务器的IP地址、端口号、用户名和密码,在SSL标题栏的安全socket层选择绝对SSL,点击连接按钮,如图1所示。
图1SFTP客户端设置(二)
连接后显示证书验证对话框,点“接受并保存”即可登陆FTP服务器了。
3.4建议
架设文件服务器后应及时发放证书并制作安全服务器使用教程,在普及安全服务器使用方法后在服务器限制中关闭21端口,只开启990端口和443端口,即只能采用后两种访问方式登录FTP服务器以保证安全性。
3.5UNC方式和FTP方式访问共享文件的安全性问题
搭建好文件服务器后就需要对文件服务器进行一定的安全防护,尤其是要保护服务器共享文件的安全,毕竟很多单位的文件服务器上往往存储单位重要的无形资产和商业机密。一旦被局域网用户越权使用或不适当使用,将威胁共享文件的安全。特别是员工可以轻松通过各种管道将服务器上共享文件发送出去,从而造成共享文件的泄密。为此,我们需要加强对UNC和FTP方式所搭建的文件服务器的安全管控。
对于UNC搭建的文件服务器,由于是借助于操作系统自身的文件共享权限设置功能,而操作系统自身的用户权限和文件权限设置功能比较简单,也没有具体的日志记录,不便于共享文件的管理。尤其是还无法实现对共享文件访问行为的全方位、细粒度的控制,不能实现诸如只让打开共享文件而禁止另存为本地、只让读取共享文件而禁止复制、只让修改共享文件而禁止删除,这就需要借助于一些共享文档管理工具来实现。例如通过“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html)。系统只需要在共享文件服务器上安装之后,就可以扫描到所有共享的文件和用户,点点鼠标就可以设置共享文件访问权限了,可以实现上述操作系统无法实现的功能。如下图所示:
而对于FTP文件服务器,则由于FTP软件自身的权限较为单一,无法详细记录FTP文件服务器的上传和下载情况,也不能只允许FTP文件上传而禁止FTP文件下载;或者只让下载FTP文件而禁止上传FTP文件,这种情况也可以借助于“大势至FTP服务器管理软件”(下载地址:http://www.grablan.com/ftpjk.html)来实现。如下图所示:
总之,在企事业单位局域网中搭建文件服务器存储文件或共享文件,对于企业内部文件保全和协同办公具有非常重要的意义;但同样也必须采取有效的举措来保护服务器共享文件的安全,否则搭建好的文件服务器在某些程度也为用户不适当使用,甚至泄露、恶意损毁共享文件提供了便利。