实战：多媒体环境中FTP服务器安全

    【IT168 专稿】多媒体机房网络中存放有大量的数据和信息，要对上机者提供信息服务，采用FTP服务就是一种理想的方式。FTP服务器即文件传输服务器，在文件传输和访问时候，难免会遭遇一些恶意攻击。轻则丢失文件，重则造成FTP服务器甚至整个系统崩溃。

    怎样才能最大限度地保证它的安全性呢？下面从几个方面探讨一下Windows环境下FTP服务器的安全性的设置。

    一、操作系统的选择
 
    FTP服务器首先是基于操作系统而运作的，因而操作系统本身的安全性就决定了FTP服务器安全性的级别。虽然Windows 98一样可以架设FTP服务器，但由于其本身的安全性低稳定性差、易受攻击，因而不宜采用。笔者建议采用Windows 2000及以上版本，并及时到微软网站打上该操作系统的最新补丁。

    二、开启系统防火墙
 
    在Windows2000和Windows XP中，操作系统带有TCP/IP筛选功能，可以进行必要的端口设置。
  
    以Windows XP为例，打开“本地连接”的属性，在“常规”选项中找到“Internet协议(TCP/IP)”，双击它打开该协议的属性设置窗口。点击右下文的“高级”按钮，进入“高级TCP/IP设置”。在“选项”中选中“TCP/IP筛选”并双击进入其属性设置界面。

    这里我们可以设置系统只允许开放的端口。假如FTP服务器端口为21（默认端口），则首先选中“启用TCP/IP筛选”，再在TCP端口选项中选择“只允许”，点“添加”，输入端口号21,点击确定。那么系统就只允许打开21端口。

    三、安装IIS
 
    FTP是IIS提供的功能之一，要实现FTP服务首先必须安装IIS。安装IIS的步骤虽然较多，但过程较简单，在此主要注意几个IIS安装过程中的问题：
 
    （1）安装IIS前,必须先安装TCP/IP协议，并将它与相应的网络适配器绑定，这是因为许多IIS功能都是基于TCP/IP协议。
 
    （2）建议将IIS数据目录安装在NTFS文件系统上。与FAT文件系统相比,NTFS文件系统提供了更快的速度、更高的存储效率和安全性。

    （3）IIS Service软件和数据可以分别放在两个不同文件系统的驱动器上，但是IIS的数据目录应该放在NTFS卷上。

    四、建立口令、用户名保护机制

    上机者通常都带有好奇心，并有条件上网下载各种各样的口令破解软件。所以为防止FTP用户的口令被破解，就要限制口令的输入次数，在输入错误口令3~4次后关闭和客户的连接。

     其次，可采取在口令输入回复时加入几秒延迟，以降低破解攻击可能性。采取这两种方法提高了FTP服务器的安全性，但是却很可能造成对合法用户的拒绝服务。这就需要对用户名也加以保护，我们可以采用在使用错误用户名登录三次后，拒绝使用此用户名硬件地址再次登录服务器，以防止攻击者使用合法用户名攻击导致该用户名的拒绝服务。

    对于口令和用户名的保护，更好的方法是建立在身份认证基础上的动态口令机制，动态口令是单向散列函数理论的扩展——报文摘要理论及技术——的应用。当一个用户在FTP服务器上第一次注册时，系统分别给用户一个种子值和一个迭代值，这两个值就构成一个原始口令，同时在服务器上还保留用户自己知道的通行短语。

    当客户和服务器连接时，客户端和服务器端分别利用MD4或MD5散列算法和通行短语计算本次口令。于是，就形成了交叉信任关系，提高了口令的安全性。

    五、建立数字授权、数字验证、数字签名机制
 
    限制低于1024号TCP端口的数据连接虽然能防止攻击，但是却不能防范高于1024号TCP端口的服务。使用禁止端口命令，却又失去了FTP“代理”的功能，而这种功能在慢速连接的环境中又很有用。对于这种情况，如果我们知道是谁在使用这种“代理机制”，我们就可以通过限制访问的方法解决这个问题。

    目前的限制访问是建立在网络地址的基础上，这样就可能遭受基于IP地址欺骗的攻击，因此需要建立数字授权、数字验证、数字签名机制作为限制访问的基础。首先由数字授权服务器向用户发放数字证书，当用户向FTP服务器发送连接请求时，FTP服务器选对连接进行数字验证，根据结果判断用户的访问权限及记录，对服务器和客户通信内容添加数字签名以防IP欺骗或端口偷窃。

    总之，FTP服务器的方式较为方便快捷，又经济，只要机房管理员对本服务器要提供的资源数据分门别类的规划存放并作好安全措施，就可以提供课件或者教学资料等各种资源的发布与下载，更好地发挥网络存储容量的优势。