为了了解FTP服务器存在的安全隐患,掌握增强FTP服务器安全性的配置方法。
FTP协议是用来在两台计算机之间传送文件的TCP/IP通信协议,它通过FTP程序在Iternet上实现远程文件的传输。在Intnet中,FTP服务是由FTP服务器和FTP客户端构成,其中FTP服务器是用来存放各种类型文件的文件服务器,而客户端可以使用FTP命令将文件上传到FTP服务器或从FTP服务器中下载文件。
Internet中的FTP服务器又可以分为专用FTP服务器和匿名FTP服务器。对于专用FTP服务器,当用户对其进行访问时,需要提供正确的用户名和密码,才能获得访问权限,否则将无法访问。因此专用FTP服务器仅为特定用户提供资源,用户要想成为它的合法用户,必须经过该服务器管理员的允许,由管理员为用户分配一个用户账户和密码,然后用户使用这个用户账户和密码访问服务器。
假设你是某网站的管理者,经检测你的FTP服务器存在着一些安全隐患,请按下面的要求配置你的FTP服务器,增加其安全性。
(1) 取消用户的匿名访问方式,并为合法用户分配用户名和口令。
(2) 设置允许或拒绝从特定IP发来的服务请求,有选择地允许特定节点的用户访问服务。
(3) 修改FTP服务器的通信端口。
虽然FTP是目前应用最广的Internet功能之一,但也是安全最弱的服务。必须在FTP服务器配置中仔细地设置。下面以基于Windows NT的Web服务器为例叙述应当如何配置和如何保护FTP安全。有以下安全措施可以采用: (1) 不管用户是否匿名,都设置为对连接做记录。这样,通过Event Viewer可以查看登录用户的信息。为此,在...\FtpSvc\Parameters下,建立一对REG_DWORD条目:“logAnonymous”和“LogNonAnonymous”。将这些值设为“1”,打开记录。 (2) 还可以使用Windows NT Resource Kit。这个应用程序可提供有关FTP服务器及其活动重要的统计数字,可以追踪到诸如每秒传送的字节数,网上用户数,最大允许上网用户数和传送的文件数等。这对于发现是否有闯入是有用的。 (3) 定期检查FTP服务器。
虽然FTP是目前应用最广的Internet功能之一,但也是安全最弱的服务。必须在FTP服务器配置中仔细地设置。下面以基于Windows NT的Web服务器为例叙述应当如何配置和如何保护FTP安全。有以下安全措施可以采用:
(1) 不管用户是否匿名,都设置为对连接做记录。这样,通过Event Viewer可以查看登录用户的信息。为此,在...\FtpSvc\Parameters下,建立一对REG_DWORD条目:“logAnonymous”和“LogNonAnonymous”。将这些值设为“1”,打开记录。
(2) 还可以使用Windows NT Resource Kit。这个应用程序可提供有关FTP服务器及其活动重要的统计数字,可以追踪到诸如每秒传送的字节数,网上用户数,最大允许上网用户数和传送的文件数等。这对于发现是否有闯入是有用的。
(3) 定期检查FTP服务器。
虽然FTP是目前应用最广的Internet功能之一,但也是安全最弱的服务。必须在FTP服务器配置中仔细地设置。下面以基于Windows NT的Web服务器为例叙述应当如何配置和如何保护FTP安全。有以下安全措施可以采用:
(1) 不管用户是否匿名,都设置为对连接做记录。这样,通过Event Viewer可以查看登录用户的信息。为此,在...\FtpSvc\Parameters下,建立一对REG_DWORD条目:“logAnonymous”和“LogNonAnonymous”。将这些值设为“1”,打开记录。
(2) 还可以使用Windows NT Resource Kit。这个应用程序可提供有关FTP服务器及其活动重要的统计数字,可以追踪到诸如每秒传送的字节数,网上用户数,最大允许上网用户数和传送的文件数等。这对于发现是否有闯入是有用的。
(3) 定期检查FTP服务器。
为了了解FTP服务器存在的安全隐患,掌握增强FTP服务器安全性的配置方法。
虽然FTP是目前应用最广的Internet功能之一,但也是安全最弱的服务。必须在FTP服务器配置中仔细地设置。下面以基于Windows NT的Web服务器为例叙述应当如何配置和如何保护FTP安全。有以下安全措施可以采用:
(1) 不管用户是否匿名,都设置为对连接做记录。这样,通过Event Viewer可以查看登录用户的信息。为此,在...\FtpSvc\Parameters下,建立一对REG_DWORD条目:“logAnonymous”和“LogNonAnonymous”。将这些值设为“1”,打开记录。
(2) 还可以使用Windows NT Resource Kit。这个应用程序可提供有关FTP服务器及其活动重要的统计数字,可以追踪到诸如每秒传送的字节数,网上用户数,最大允许上网用户数和传送的文件数等。这对于发现是否有闯入是有用的。
(3) 定期检查FTP服务器。
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而ⅡS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的O险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
1. FTP服务器存在的安全问题及其解决办法。
2. 查找网上FTP站点的漏洞。
在Windows Server 2003系统中,通过系统自带Internet(IIS)信息服务来提供FTP服务,使用图形界面的方式对FTP服务器进行安全方面的设置。
如果只是想建个小型的同时在线用户数不超过10个的FTP服务器,且不会同时进行大流量的数据传输,可以用ⅡS 5.0作为服务器软件来架设(ⅡS只适用于Windows NT/2000/XP操作系统)。
1.安装
Windows XP默认安装时不安装ⅡS组件,需要手工添加安装。进入控制面板,找到“添加/删除程序”,打开后选择“添加/删除Windows组件”,在弹出的“Windows组件向导”窗口中,将“Internet信息服务(ⅡS)”项选中。在该选项前的“√”背景色是灰色的,这是因为Windows XP默认并不安装FTP服务组件。再点击右下角的“详细信息”,在弹出的“Internet信息服务(ⅡS)”窗口中,找到“文件传输协议(FTP)服务”,选中后确定即可。
安装完后需要重启。Windows NT/2000和Windows XP的安装方法相同。
2.设置
电脑重启后,FTP服务器就开始运行了,但还要进行一些设置。点击“开始→所有程序→管理工具→Internet信息服务”,进入“Internet信息服务”窗口后,找到“默认FTP站点”,右击鼠标,在弹出的右键菜单中选择“属性”。在“属性”中,我们可以设置FTP服务器的名称、IP、端口、访问账户、FTP目录位置、用户进入FTP时接收到的消息等。
1)FTP站点基本信息
进入“FTP站点”选项卡,其中的“描述”选项为该FTP站点的名称,用来称呼你的服务器,可以随意填;“IP地址”为服务器的IP,系统默认为“(全部未分配)”,一般不需改动,但如果在下拉列表框中有两个或两个以上的IP地址时,最好指定为公网IP;“TCP端口”一般仍设为默认的21端口;“连接”选项用来设置允许同时连接服务器的用户最大连接数;“连接超时”用来设置一个等待时间,如果连接到服务器的用户在线的时间超过等待时间而没有任何操作,服务器就会自动断开与该用户的连接。
2)设置账户及其权限
很多FTP站点都要求用户输入用户名和密码才能登录,这个用户名和密码就叫账户。不同用户可使用相同的账户访问站点,同一个站点可设置多个账户,每个账户可拥有不同的权限,如有的可以上传和下载,而有的则只允许下载。
3)安全设定
进入“安全账户”选项卡,有“允许匿名连接”和“仅允许匿名连接”两项,默认为“允许匿名连接”,此时FTP服务器提供匿名登录。“仅允许匿名连接”是用来防止用户使用有管理权限的账户进行访问,选中后,即使是Administrator(管理员)账号也不能登录,FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项,是用来添加或删除本FTP服务器具有一定权限的账户。ⅡS与其他专业的FTP服务器软件不同,它基于Windows用户账号进行账户管理,本身并不能随意设定FTP服务器允许访问的账户,要添加或删除允许访问的账户,必须先在操作系统自带的“管理工具”中的“计算机管理”中去设置Windows用户账号,然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Windows 2000和Windows XP专业版,系统并不提供“FTP站点操作员”账户添加与删除功能,只提供Administrator一个管理账号。
提示:匿名登录一般不要求用户输入用户名和密码即可登录成功,若需要,可用“anonymous”作为用户名,以任意电子邮件地址为密码来登录。
4)设置用户登录目录
最后设置FTP主目录(即用户登录FTP后的初始位置),进入“主目录”选项卡,在“本地路径”中选择好FTP站点的根目录,并设置该目录的读取、写入、目录访问权限。“目录列表样式”中“UNIX”和“MS-DOS”的区别在于:假设将G:\Ftp设为站点根目录,则当用户登录FTP后,前者会使主目录显示为“\”,后者显示为“G:\Ftp”。
设置完成后,FTP服务器就算真正建成了。如果前面IP地址为218.1.1.1,则用户使用FTP客户端软件(用来登录FTP服务器的上传/下载软件,如CuteFTP、FlashFXP等,如无特别说明,本文中所称FTP客户端软件均以CuteFTP Pro 2.0为例)时,主机处填218.1.1.1,端口填21,此服务器的地址表述为:ftp://218.1.1.1/。ⅡS虽然安装简单,设置较简便,但功能不强,管理也很麻烦,尤其是连新建一个基本的授权访问账户都要进行繁杂的设置,而且ⅡS本身的安全性也比较差,容易受到诸如“红色代码”等专门针对ⅡS漏洞进行攻击的病毒侵袭,因而很多人都喜欢使用第三方的FTP服务器软件来架设。
架设好FTP服务器后,怎样才能更好地管理自己的FTP,使它性能稳定并合理占用机器资源和分配带宽呢?不同的FTP服务器软件提供的管理方式、功能有所不同。
ⅡS虽然安装简单,但管理功能不强,只有简单的账户管理、目录权限设置、消息设置、连接用户管理。
1.账户管理
与Serv-U不同,ⅡS对账户的管理按照Windows用户账户方式进行。如果要给FTP服务器添加一个用户名和密码均为dys的授权账户,首先得在Windows中添加该账户。
1)在“管理工具”中打开“计算机管理”,找到“本地用户和组”下的“用户”,右击鼠标,选择“新用户”。
2)在弹出的“新用户”窗口中输入用户名和密码,确定后Windows就会创建该用户。
3)在“管理工具”中打开“Internet信息服务”,进入“默认FTP站点”的“属性”设置窗口,在“安全账户”选项卡中找到“FTP站点操作员”。在这里可以看到,系统已经默认“Administrators”组所有成员为授权账户。如果你用的是Windows 2000服务器版,可以点旁边的“添加”按钮,将dys账户添加进去,如果不是,则“添加”和“删除”按钮为灰色,不可选。能不能将dys账户添加进去呢?当然可以。
4)回到“计算机管理”,右击刚才创建的用户名,打开“属性”设置,在“隶属于”选项卡中先将默认的“Users”组删除,再点“添加”,在弹出的“选择组”窗口中点“高级→立即查找”,在搜索结果中选择“Administrators”组,然后确定就可以了。
5)要删除某个账户,直接在“计算机管理”中删除即可。
提示:这样做的缺点在于如果不是Windows 2000服务器版,则你每添加一个账户,该账户就自动拥有系统管理员“Administrator”的所有权限。可以想象,一旦账户密码失窃将带来很大的安全隐患。
2.目录管理
1)设置虚拟目录
很多时候,上传的文件多了,架设服务器当初设定的主目录所在盘空间往往就不够了,怎么办?这就需要设置虚拟目录。虚拟目录就是将其他目录以映射的方式虚拟到该FTP服务器的主目录下,这样,一个FTP服务器的主目录实质上就可以包括很多不同盘符、不同路径的目录,而不会受到所在盘空间的限制了。当用户登录到主目录下,还可以根据该账户的权限对它进行相应的操作,就像操作主目录下的子目录一样。如果用户被锁定在主目录下,这项功能将允许他们访问主目录之外的其他目录。
这里我们假设要将D:\MTV目录设为G:\Ftp目录下的虚拟目录Music。在“Internet信息服务”中右击“默认FTP站点”,选“新建→虚拟目录”进行设置。在“虚拟目录别名”中填入“Music”,在“FTP站点内容目录”中选择“D:\MTV”,在“访问权限”中将“读取”和“写入”打上钩,完成后退出。以dys的账户登录到FTP看看,是不是多了个“Music”的目录?接下来就可以往该目录里上传或下载文件了。
2)读写权限设置
IIS的权限设置比较简单,对每个目录只提供了三种权限:读取(允许下载)、写入(允许上传)和记录访问(在日志中记录用户对此目录的访问)。对主目录可以在“默认FTP站点”的属性中设置,对于虚拟目录可以在虚拟目录的“属性”中设置。
提示:主目录设置的权限如果与虚拟目录的权限发生冲突,则以主目录权限为准。比如主目录设置的权限为读取和写入,而Music的权限只设置为读取,则Music权限将会被主目录权限覆盖掉,自动拥有写入权限。
3.消息设置
进入“默认FTP站点”属性中的“消息”选项卡,可以设置用户登录和退出服务器时在FTP客户端软件的状态窗口显示消息。其中,“标题”和“欢迎”将在用户登录时出现,“退出时”是当用户退出服务器时显示的告别信息。
4.连接用户管理
在“FTP站点”选项卡中可以简单地管理连接用户。“限制为”用来设置服务器允许同时连接的最大连接数,如果不是Windows 2000服务器版,不仅“无限制”选项不可选,而且最大连接数不能超过10个。“连接超时”可以设置当连接用户空闲多少秒时会被服务器自动踢出,这可以有效防止用户浪费服务器最大连接数。点右下角的“当前会话”可以看到在线连接用户所用的账户及当前状态,选择其中某个用户再点“断开”可以将该用户踢除.
1)及时安装新补丁
对于ⅡS的安全性漏洞,可以说是“有口皆碑”了,平均每两三个月就要出一两个漏洞。所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
2)将安装目录设置到非系统盘,关闭不需要的服务。
一些恶意用户可以通过ⅡS的溢出漏洞获得对系统的访问权。把ⅡS安放在系统分区上,会使系统文件与ⅡS同样面临非法访问,容易使非法用户侵入系统分区。另外,由于ⅡS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
3)只允许匿名连接
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。而ⅡS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。设置为“只允许匿名连接”,可以免却传输过程中泄密的O险。进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
4)谨慎设置主目录及其权限
ⅡS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
5)尽量不要使用默认端口号21
启用日志记录,以备出现异常情况时查询原因。
1. FTP站点的身份验证配置。2. 进行用户权限设置。3. 进行IP地址限制的配置。4. 进行端口安全性的实现。
1. FTP站点的身份验证配置。 (1) 在主机A上,依次点击“开始->所有程序->管理工具->Internet信息服务(IIS)管理器”。
(2) 主机A选中“FTP站点”中的“默认FTP站点”,并进行右键点击,选择“属性”。生成默认FTP站点对话框。
(3) 在“默认FTP站点 属性”对话框中,选择“安全帐户”页签。如下图所示:
系统默认的身份验证方式为“允许匿名连接”,如果想对访问FTP站点的用户进行管制,可以取消“允许匿名连接”,并保存设置。此时其它用户若访问主机A的FTP站点,就必须拥有相应的帐户和口令。
在这里我们取消“允许匿名连接”,并单击信息提示框的【是】按钮,如下图所示:
(4) 上面对话框的【确定】按钮,完成配置。 主机B打开IE浏览器,访问主机A的FTP站点“ftp://主机A的IP地址”,此时会提示需输入用户名和密码。输入用户名“student”和密码“123456”,即可登录主机A的FTP站点。
此时,主机A的IP地址是172.16.0.16.
打开IE浏览器,访问主机A的FTP站点“ftp://172.16.0.16,要求填写用户名和密
码。
填写成功后,IE浏览器访问主机A的FTP站点“ftp://172.16.0.16
2. 进行权限设置。 主机A右键点击“默认FTP站点”,选择“属性”,切换到“主目录”页签。如下图所示:
在“FTP站点目录”页签中选择“写入”选项,保存设置。此时FTP站点赋予了任一用户写入的权力。 3. IP地址限制的配置 (1) 主机A右键点击“默认FTP站点”,选择“属性”,选择“目录安全性”页签, 选中“拒绝访问”单选框,点击“添加”按钮,添加授权的主机。
在弹出的“授权访问”对话框中,选中“一台计算机”单选框,在“IP地址”中输入所授权访问主机的IP地址,这里输入的是主机B的IP地址(例172.16.0.12)
如下图所示。上述步骤的设置表示:仅授权主机B可以访问FTP服务器,其它主机拒绝访问。
(2) 依次单击上面对话框的【确定】按钮,完成配置。
主机B访问主机A的FTP站点“ftp://主机A的IP地址”,此时主机B是可以访问的; 将主机B的IP进行修改(注意:不要和其他主机发生IP地址冲突),这时主机B再访问主机A的FTP站点,一直在进行登录时的身份验证,不能对主机A进行访问,这说明配置成功; 4. 端口安全性的实现
(1) 主机A右键点击“默认FTP站点”,选择“属性”,选择“FTP站点”页签,修改“TCP端口”的值为“2121”,如下图所示
(2) 单击上面对话框的【确定】按钮,完成配置。
(3) FTP用户访问FTP站点,测试FTP网站的配置是否满足要求。
主机B访问主机A的FTP站点“ftp://主机A的IP地址”,此时会收到“FTP 文件夹错误”的提示框,表明端口的配置成功,已不是默认的21了;
主机B再次访问主机A的FTP站点“ftp://主机A的IP地址:2121”,此时主机B是可以访问的。
5IE浏览器访问FTP站点“ftp://172.16.0.16:2121时,即可登录主机的FTP站点。
课程设计是大学学习过程中一次非常难得的理论与实际相结合的机会,通过这次的实训,让我摆脱了单纯的理论知识学习状态,这次的课程设计锻炼了了我的综合运用所学的专业基础知识,解决实际问题的能力,同时也提高我查阅文献资料的水平,而且通过这次设计,我对程序整体的掌控,对局部的取舍,以及对细节的斟酌处理能力都得到了很大的提高。这正是这次课程设计目的之所在,我很高兴的看到设计任务能够完成,各种能力得到了锻炼。在以后的学习生活中我还要继续发扬这种整体掌控力,这种不怕辛苦困难的精神。
本次课程设计虽然完成了,但是由于创作时间较短,考虑不周全,可能有很多不尽如人意的地方,如中文编码问题一直还没能解决。有错误就有提高,这些问题我将在以后继续修复改善,以不断提高自己解决问题的能力。
最后,我要感谢在本次课设中给予我帮助的各位同学,特别还要感谢老师的悉心帮助,正是有了你们的帮助,我的课设才能按时顺利的完成。
[1] 刘杨.计算机网络的发展及应用.电脑知识及应用,2005:4.
[2] 李艇.计算机网络专业实践教学的改革与创新.北京:北京师范大学出版社,2003:7.
[3] 王明.计算机网络技术与实训教程.机械工业出版社,2010:2.
[4] 吴功宜.计算机网络..北京:清华大学出版社,2003:8.
[5] 张建忠.计算机网络实验指导书.清华大学出版社,2005:1.
[6] 吴功宜.计算机网络课程设计.机械工业出版社,2005:9.
[7] 谢希德.创造学习的思路.人民日报,1998:12.
[8] 王群.计算机网络教程.清华大学出版社,2005:12.
[9] 贾蓉生 胡大源 林金池 .JAVA网络应用开发[M].北京:科学出版社,2009:179~260.
[10] 黄嘉辉.Java网络程序设计[M].北京:清华大学出版社,2002.
网络安全实训报告
——FTP服务器的安全性设置
姓 名: 毛满华
班 级: C-0841
学 号: 39
指导教师: 刘君玲
2011年06月
信息工程学院
目录
第一章 概述 1
1.1 设计的目的(意义) 1
1.2 课程设计的内容 1
1.2.1 FTP安全措施 1
1.2.2 匿名FTP安全漏洞及检查 2
1.2.3 如何实现FTP服务器安全性 2
第二章 理论与分析 3
2.1 FTP 课程设计原理 3
2.2课程设计研究的主要问题及运行环境 3
2.2.1主要问题 3
2.2.2运行环境 3
2.3 IIS-FTP 文件服务器 4
2.3.1 用ⅡS架设 4
2.3.2 ⅡS --FTP服务器的管理 6
2.3.3 ⅡS -FTP的安全性设置 8
第三章 设计实现过程 10
3.1 实验过程: 10
总结 19
参考文献 20
本文来源:https://www.2haoxitong.net/k/doc/9138dd49e45c3b3567ec8b5f.html
文档为doc格式