打造內網安全文件服務器

曹丹++謝躍偉++王振華

摘 要 信息共享是網絡的重要功能之一，信息的安全傳輸尤為重要。本文著重論述了如何使用Serv-U 9.0版本架設支持FTP、FTPS、HTTPS三種協議的安全文件服務器。同時，也說明了在FTP服務器升級過程中需要注意的問題和操作方法，并分析了部分常見錯誤設置的解決途徑。此外，本文還介紹了使用三種網絡協議通過各自特定的端口登陸文件服務器的具體方法以及在新FTP服務器架設完畢后需完成的任務。

關鍵詞 信息安全；共享；FTP；FTPS；HTTPS；服務器

中圖分類號：TP393.05 文獻標識碼：A 文章編號：1671-7597（2014）19-0082-01

1 概述

信息共享是網絡的重要功能之一，信息的安全傳輸尤為重要。軍工單位內網電子信息的共享主要有兩種形式：UNC方式和FTP方式。UNC方式基于Windows操作系統的共享功能，有著較強的易用性，但是安全性十分低，而且沒有日志功能，發生特殊事件時沒有可追溯性。FTP方式需要架設專用的服務器，并在服務器端設置用戶名和密碼，客戶端用IE瀏覽器訪問。Windows Server中自帶的FTP服務在口令傳輸的過程中未進行加密措施，存在被監聽軟件截獲用戶口令的可能性。本文將論述如何架設安全的FTP服務器，并完全導入原FTP服務器中的用戶配置與存儲文件。

2 架設文件服務器前準備工作

2.1 安裝操作系統

在安裝操作系統前需確認服務器的配置滿足Windows Server 2003 R2（64位）英文版的最低配置需求。如果不滿足，需安裝32位版本的Windows系統或者更換服務器。

2.2 檢查硬件兼容性

在確認硬件配置已經符合Windows Server 2003 R2版的最低需求之后，還必須確保現有硬件與Windows Server 2003兼容。如果硬件不兼容，在日后的服務器運作中很可能發生不穩定的情況。因此，查清硬件兼容性是在升級前需要考慮的最重要的一個問題之一?？梢酝ㄟ^Windows server 2003安裝CD中的自帶檢測程序來檢查系統的兼容性。

3 實施方案

3.1 安裝FTP軟件

拷貝Serv-U 9.0.2.1的安裝文件到服務器的硬盤上，然后雙擊啟動安裝程序，選擇安裝語言為中文（簡體），點擊下一步進入安裝向導，安裝路徑選擇C：＼jyftp，一直點擊下一步完成安裝。如果安裝中使用默認的路徑，服務器就很容易受到黑客軟件的攻擊。

3.2 配置FTP服務器

3.2.1 新建FTP管理域

打開Serv-U管理控制臺，點擊新建域，進入域向導（這里的域是FTP專用域，與Windows域無關）。通過域向導的第一步設置域的名稱為JYFTP，第二步設置域應用的協議為FTP、FTPS和HTTPS，端口號分別為21、990和443。設置好服務器的IP地址，密碼加密模式為單向加密后即可完成FTP管理域的建立工作。

3.2.2 更改用戶文件夾名稱

域設置完畢后，需對系統文件夾名稱進行修改。經測試，當Serv-U運行在英文版系統時，如果目錄中出現中文，在客戶端用IE登陸FTP服務器并進行文件夾拷貝的時候會提示警告消息。故必須將原FTP用戶文件夾中的中文名重命名為英文或阿拉伯數字，為了便于管理，文件夾名稱為各下屬部門簡稱的第一個拼音字母。此外，應考慮單獨建立個人用戶文件夾以滿足個人重要資料的備份需求。

3.2.3 創建用戶群組

在Serv-U管理控制臺的主頁點擊“創建、修改和刪除用戶群組”完成域群組的設置。設置管理員群組時一定要確定其登錄的IP訪問范圍以保證安全性。

3.2.4 創建用戶賬號

在Serv-U管理控制臺的主頁點擊“創建、修改和刪除用戶賬戶”完成用戶的設置。

3.2.5 SSL證書設置

為了加強FTP的安全性，應該為FTP服務器開啟SSL功能并創建密鑰。當用戶用過FTPS來訪問FTP服務器的時候，必須要獲得密鑰證書來可以進行登陸。

進入Serv-U管理控制臺的主頁，點擊“創建并指定SSL和SSH證書以及配置加密設置”進入FTP的加密設置，點擊“創建證書”，設置名稱和密碼，密碼應為十位以上字符數字和字母組合的強密碼。

創建證書完畢后，根據提示點立即啟用，FTP服務器會在指定路徑生成自簽署證書（.crt）、證書請求文件（.csr）和私鑰文件（.key）然后點擊“查看證書”，檢查證書是否有誤，其中公用名稱必須和IP地址一致，否則會導致FTP客戶端提示出錯的信息。

3.3 測試FTP登錄的三種方式

3.3.1 通過21端口登陸

21端口是FTP協議的默認端口，用戶可以在FTP客戶端或者IE瀏覽器上輸入ftp：//服務器的IP地址來登錄FTP，輸入正確的用戶名和密碼就可進入用戶可以訪問的文件夾。

3.3.2 通過443端口登陸

443端口是HTTPS協議的默認端口，用戶可以在FTP客戶端或者IE瀏覽器上輸https：//服務器的IP地址或https：//192.9.100.2來登錄FTP，彈出安全提示的時候，點查看證書按鈕后點選“安裝證書”進行證書的安裝，然后點“是”即可進入登錄界面，輸入正確的用戶名和密碼就可進入用戶可以訪問相應的文件夾。

3.3.3 通過990端口登陸

990端口是FTPS協議的默認端口，用戶必須使用FTP客戶端來登錄FTP。以FlashFXP為例，在快速連接對話框輸入服務器的IP地址、端口號、用戶名和密碼，在SSL標題欄的安全socket層選擇絕對SSL，點擊連接按鈕，如圖1所示。

圖1 SFTP客戶端設置（二）

連接后顯示證書驗證對話框，點“接受并保存”即可登陸FTP服務器了。

3.4 建議

架設文件服務器后應及時發放證書并制作安全服務器使用教程，在普及安全服務器使用方法后在服務器限制中關閉21端口，只開啟990端口和443端口，即只能采用后兩種訪問方式登錄FTP服務器以保證安全性。endprint