重庆信息技术职业学院.doc

重庆信息技术职业学院毕业设计（论文）题目：中兴通讯公司FTP服务器的架设姓 名：唐晓东学 院：电子工程学院班 级：09网计6班学 号：0924030617专 业：计算机网络技术指导教师：柯辉摘要FTP是一种文件传输的通讯协议，利用它能够在不同的主机之间交换文件资料。当我们架设的网站需要提供下载功能时，除了使用http的方式连接外，也可以另外提供ftp服务供用户直接连线下载。事实上，ftp是个存在已久的服务，它的设计是用来传输两台电脑之间的数据，以避免太多的远端执行。如果要传送的文件比较大时，若以http的方式连线传输会占用一些网站的资源(例如可连线的人数)，这时就要用到ftp了。ftp是一个以TCP/IP为基础的应用程序，所以一般的ftp服务程序都会以内嵌于inetd的执行方式。ftp分为两个部分，一个是服务器端的程序，一个是用户端的。在Unix上的ftp服务程序非常多，不同的操作系统所内建的版本也都不一样，常见的有wu-ftpd、proftpd、Troll ftpd、ncftpd和Bero ftpd等等。其中最常用的最受欢迎的的是wu-ftpd，它是当初由华盛顿大学开发出来的，是一个以效率以及稳定性为考量的程序，它提供了原始码以及开放学术单位免费使用。关键词：Linux，FTP，DNS，服务器目 录前言2第一章 FTP的概述31.1 FTP概念41.2 FTP的工作原理51.3 FTP的特点51.4 FTP的应用6第二章 企业的背景82.1 企业的介绍82.2 企业的平面图9第三章 需求分析10第四章 FTP服务器的架设114.1 FTP的安装124.2配置DNS134.3 磁盘配额14第五章 服务器的构架165.1网络拓补结构图175.2网络的总体设计18第六章 FTP的维护与管理206.1 FTP维护216.2 FTP管理22第七章 体会与结论23致 谢23参考文献24前 言 一般来说,用户联网的首要目的就是实现信息共享,文件传输是信息共享非常重要的一个内容之一。Internet上早期实现传输文件,并不是一件容易的事,我们知道 Internet是一个非常复杂的计算机环境,有PC,有工作站,有MAC,有大型机,据统计连接在Internet上的计算机已有上千万台,而这些计算机可能运行不同的操作系统,有运行Unix的服务器,也有运行Dos、Windows的PC机和运行MacOS的苹果机等等,而各种操作系统之间的文件交流问题,需要建立一个统一的文件传输协议,这就是所谓的FTP。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议,这样用户就可以把自己的文件传送给别人,或者从其它的用户环境中获得文件。 与大多数Internet服务一样,FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序,连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机。在FTP使用当中,用户经常遇到两个概念:下载(Download)和上载(Upload)。下载文件就是从远程主机拷贝文件至自己的计算机上;上载文件就是将文件从自己的计算机中拷贝至远程主机上。用Internet语言来说,用户可通过客户机程序向(从)远程主机上载(下载)文件。 第一章 FTP的概述1.1 FTP概念FTP服务器，则是在互联网上提供存储空间的计算机，它们依照FTP协议提供服务。 FTP的全称是File Transfer Protocol(文件传输协议)。顾名思义，就是专门用来传输文件的协议。简单地说，支持FTP协议的服务器就是FTP服务器1.2 FTP的工作原理FTP 是 TCP/IP 协议组中的协议之一，是英文File Transfer Protocol的缩写。该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性，提供非直接使用远程计算机，使存储介质对用户透明和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载（download）”文件。若将文件从自己计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件。在TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。FTP协议的任务是从一台计算机将文件传送到另一台计算机，它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台计算机通过ftp协议对话，并且能访问Internet， 你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别，但是每种协议基本的命令结构是相同的。1.3 FTP的特点Internet上的FTP服务器分为专用FTP服务器和匿名FTP服务器。专用FTP服务器仅为特定用户提供资源，用户要想成为它的合法用户，必须经过该服务器管理员的允许，由管理员为用户分配一个用户帐户和密码，然后用户使用这个用户帐户和密码访问服务器，否则将无法访问。另外，在Internet上也存在着很多匿名FTP服务器，用户在访问这些服务器时不需要用户帐户和密码。但为了安全起见，这些服务器通常只允许下载。1.4 FTP的应用FTP服务器一般都是在路由里面做端口映射，从而在互联网上直接可以访问的一种文件存储服务器！设置方面倒不是很难，网上有很多这样的教程，可以先在虚拟机里面做下试验，熟悉一下，心里有个底！不足的话最大的问题就是安全性和保密性，因为要客户或者分公司的人员从互联网进行访问而所做的映射导致此服务器是直接暴露在互联网上的，仅此要安装好防火墙和杀毒软件并及时更新，还要经常打好补丁，不然万一被入侵了，那么多资料和信息被窃取了，那乐子可大了。另外一个就是分配登陆账号的权限问题，一般只分3个等级，一个是客户权限，只是查看一些基本的资料；二是公司内部人员使用的权限，可以查看公司内部信息资料，但是无法管理；三是管理权限就是可以管理、编辑、删除或添加这些信息的权限；当然这只是大致上的，你可以具体的设置好每个账户的权限的，比如管理层的权限比普通员工的要大，但是不能和管理员的权限一样，免得有人不太懂而造成的问题那你就要麻烦了！第二章 企业的背景2.1 企业的介绍 中兴通讯是全球领先的综合通信解决方案提供商。公司通过为全球140多个国家和地区的电信运营商提供创新技术与产品解决方案，让全世界用户享有语音、数据、多媒体、无线宽带等全方位沟通。公司成立于1985年，在香港和深圳两地上市，是中国最大的通信设备上市公司。中兴通讯拥有通信业界最完整的、端到端的产品线和融合解决方案，通过全系列的无线、有线、业务、终端产品和专业通信服务，灵活满足全球不同运营商的差异化需求以及快速创新的追求。2010年中兴通讯营业收入达人民币702.64亿元，国际市场实现营业收入380.66亿元人民币，同比增长27.45，占整体营业收入的比重达54.18。其中欧美地区收入同比增长50%，占整体营业收入的比重提升至21，首次成为中兴通讯海外收入比重最大区域，系统与终端产品均已全面服务于欧美日高端市场的顶级运营商。 中兴通讯坚持以持续技术创新为客户不断创造价值。公司在美国、法国、瑞典、印度、中国等地共设有15个全球研发机构，3万多名国内外研发人员专注于行业技术创新，2010年凭借1863件国际专利申请总量，排名跃居全球第二位，通讯行业第一位。公司依托分布于全球的107个分支机构，凭借不断增强的创新能力、突出的灵活定制能力、日趋完善的交付能力赢得全球客户的信任与合作。中兴通讯为联合国全球契约组织成员，坚持在全球范围内贯彻可持续发展理念，实现社会、环境及利益相关者的和谐共生。我们运用通信技术帮助不同地区人们享有平等的通信自由；我们将“创新、融合、绿色”理念贯穿到整个产品生命周期，以及研发、生产、物流、客户服务等全流程，为实现全球性降低能耗和二氧化碳排放不懈努力。2.2 企业的平面图第三章 需求分析办公室网络环境一般是的应用需求是作为办公用途，所以在组建过程中，一般以办公应用为主，主要实现的功能就是共享文件，打印机等应用。总体目标：利用先进的计算机技术和网络通信技术、建设高质量、高效率的统一的通信网络是系统互通互联，最大限度的实现信息资源共享业务需求业务需求分析的目标是明确企业的业务类型，应用系统软件的种类，以及它们对网络功能指标的要求。管理需求网络的管理是企业建网不可缺少的方面，网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理。高效的管理策略能提高网络的运营效率，建网之初就应该重视这些策略。第四章 FTP服务器的架设4.1 FTP的安装检查是否安装了FTP服务器软件rootlocalhost root# rpm qa | grep vsftpd如出现FTP版本号vsftpd-1.1.3-8表明已经安装了FTP服务器软件rootlocalhost root #mount /dev/cdrom /media/#rpm -ivh /media/Server/vsftpd-2.05-12.el5-i386.rpm启动FTP服务器#service vsftpd start为vsftpd启动vsftpd： 确定vsftp匿名用户匿名用户:ftp 与anonymous其主目录为/var/ftp普通用户:用户名为登录用户名，主目录为/home/用户名创建虚拟帐户文件rootredhat vsftpd# vi vuser.txt bill /*用户名*/password /*密码*/koummabc,.123创建虚拟帐户目录mkdir /var/ftp/vuseruseradd -d /var/ftp/vuser vuser useradd ftpvip创建一个帐户，指定主目录，也是ftp的主目录。不指定就是/home/vuser编辑配置文件rootredhat pam.d# vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO /*不能允许匿名用户登录*/local_enable=YES /*本地用户登录*/write_enable=NOlocal_umask=022anon_upload_enable=NOanon_mkdir_write_enable=NO#加入以下内容guest_enable=YES /*开启虚拟帐户访问*/guest_username=vuser /*虚拟帐户对应的系统帐户*/4.2配置DNSrootlocalhost root# rpm qa | grep bindrootlocalhost root#mount /dev/cdrom /media#rpm ivh /media/Server/ bind-9.3.4-10.p1.e15.i368.rpm#rpm ivh/media/Server/ bind-chroot-9.3.4-10.p1.e15.i386.rpm#rpm ivh /media/Server/caching nameserver-9.3.4.i386.rpm#vi /etc/sysconfig/network sc#cd /var/named/chroot/etc/#ls#cp p named.caching nameserver.conf named.conf#vi named.conf#ls#vi named.rfc1912.zones#cd /var/named/chrooot/var/named/修改IP#vi /etc/sysconfig /network scripts/ifcfg eth0BOOTPROTO=staticIPADDR=7NETMASK=保存退出Servic network sestart修改配置文件/etc/named,confzone localhost In type master; file localhost.zone; allow-updatenone;zone 0.0.127.In type master; file named.local;allow-updatenone;zone In type master; file .zone; allow-updatenone;zone 1.168192.In type master; file 1.168192. ;allow-updatenone;复制正向、反向解析的模板文件# cp /var/named/localhost.zone /var/named/.zone# cp /var/named/named.local /var/named/1.168.192..zone配置正向解析的模板文件 IN SOA root.localhost IN NS dns IN A 7配置反向解析的模板文件 IN SOA root.localhost IN NS 17 IN PTR 启动DNS服务器rootlocalhost root#service named start显示：named 已经在运行表示DNS服务器启动成功4.3 磁盘配额# grep CONFIG_QUOTA /boot/config-CONFIG_QUOTA=yCONFIG_QUOTACTL=y #这样就说明是支持磁盘配额的修改/etc/fstab： /dev/sd/dev/sda3/mnt/sambaext3defaults,usrquota,grpquota1 2 3、从/etc/fstab读取信息，挂载所有分区：rootrhel # mount -a 4、用quotacheck命令生成基本配额文件：rootrhel # quotacheck avug quotacheck: Cant find filesystem to check or filesystem not mounted with quota option. quotacheck 命令检查启用了配额的文件系统，并为每个文件系统建立一个当前磁盘用的表。该表会被用来更新操作系统的磁盘用量文件。此外，文件系统的磁盘配额文件也被更新。rootrhel # ll /mnt/samba 6、使用 edquota 命令分配磁盘配额：rootrhel # edquota -u user 【为系统用户分配磁盘配额】rootrhel # edquota -u group 【为系统用户组分配磁盘配额】Filesystem = 进行配额管制的文件系统。rootrhel # edquota t启用磁盘配额：rootrhel # quotaon /mnt/samba查看用户、组的磁盘配额情况：rootrhel # quotaon avug rootrhel # quota -u user关闭磁盘配额：rootrhel # quota -u grouprootrhel # quotaoff /mnt/samba第五章 服务器的构架5.1网络拓补结构图5.2网络的总体设计本着少花钱办大事的原则，充分利用有限的资源，在保证网络先进的前提下，选用性能价格比较好的设备。网络设计必须能满足设计目标中的要求，主要包括先进性与实用性原则、可维护性原则、可扩展性原则、安全保密原则以及经济性原则。设计首先要进行研究和需求调查，明确公司的性质、任务和改革发展的特点及系统建设的需求和条件，对公司的信息化环境进行准确的描述。确定网络拓扑结构和功能，根据应用需求建设目标和公司主要建筑分布特点，进行系统分析和设计，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求。在这个方案中，使用了 ISDNModem，通过拨号连接到互联网中。路由器和集线 器之间，可以设置一台安装了两个网卡的服务器。分别连接在路由器和集线器上，作为网关，运行防火墙软件等，进行网络管理和安全防范。 在方案中，用 ISDNModem 作为统一的出口。避免每台 Pc 配一个 Modem，减少了购买费用，并且容易管理；而使用一台服务器加上网络管理的方法，在一定程度上节约了费用，但可能造成系统不稳定，在维护和管理上也比较困难，所以在经费允许 的情况下，最好使用路由器作为连接广域网的接口。在中心使用交换机，以提高整个网络的性能和速度，各个子网中的计算机用集线器连接。对于比较重要、日常数据比较敏感的部门，例如财务部门，可以考虑使用部门服务器，存放重要数据，并运行防火墙程序，屏蔽非法的访问，而普通部门的集线器可以直接与中心的交换机连接。对于外部设备，可以根据需要放置在中心或相应部门，而在内部需要大量数据传输的部门，可以采用交换机替代集线器作为部门的网络节点。 第六章 FTP的维护与管理6.1 FTP维护FTP的维护主要述的是安全技巧之保护企业FTP安全的最佳实践方法，虽然各种威胁在不断的发展演变，但文件传输协议(通常称为FTP)基本上还是跟几年前一样，而且还在大范围的使用。FTP主要用来传输大文件，它就是为了这个目的设计的。FTP是一种客户端服务器（主从模式）协议，它使用控制和数据两条通道进行文件传输。控制通道用来进行身份认证，并给服务器发送命令。该协议本身不支持加密，因此，在控制通道中发送的所有流量都是直接发送的，或者说是未加密的，这是该协议的弱点之一。在企业中，FTP服务通常被用来处理那些不敏感的内容，而且跟其他敏感信息系统都是完全隔离的。人们还得保证FTP服务能够及时更新。配置错误的以及结构不合理的FTP服务可能会成为企业中重要的安全漏洞。FTP无处不在，这一点不可否认。就像其他广泛使用的技术一样，FTP也开始成为攻击者易于攻击的目标。这么多年来，攻击者已经有了许多使用FTP以及利用FTP漏洞的经验。有关FTP服务安全性的讨论很激烈，一般来说，人们没有就哪种方法能最好地保护企业FTP安全达成共识。主要是由于商业需要，才让这项服务继续存在，而没有使用其他更加安全的替代产品。对我来说，任何使用或者考虑使用FTP的企业都应该先问自己以下三个问题：a.我们真的需要FTP吗？b.我们怎样才能安全地设置FTP（我将会解释这个自相矛盾的情况）？c.有没有既安全又容易使用的FTP替代产品？第一问题很有趣。从技术上讲，答案是否定的。其实市面上有许多更加安全的其他技术，我们将在后面讨论。然而，实际的答案却是肯定的，因为FTP应用非常广泛，而且具有跨平台的支持性，大多数企业都被迫选择支持FTP。我们花了相当多的时间对过滤设备（即防火墙）上的FTP连接进行故障排除，了解到FTP的控制和数据通道设计不是很适合在数据包穿越多个不同的网络设备环境中使用。正如先前提到的，FTP是一个客户端服务器协议，使用单独的控制和数据通道进行文件传输。控制通道用来进行身份认证，并给服务器发送命令。这种身份认证机制比较脆弱，因为认证信息没有经过加密就直接发送到服务器，使得这种网络传输很容易被窃听。在一般的FTP实施过程中，一些典型的安全漏洞让这个问题更加复杂化。尽管FTP存在安全弊端，但是许多企业还是选择它进行大容量的数据传输。大多数工作站、应用程序，甚至网络过滤设备都内置了对FTP的支持。其他产品可能会更加安全，但是它们还是无法与FTP的便利性和低成本相抗衡。那么，我们可以来仔细研究几种能够让这项服务达到一定安全性的方法。我先从网络设计阶段开始，我们可以把FTP服务限制在专用虚拟局域网网段上。这一般需要从你的交换机、路由器或者防火墙设备中分出一个单独的专用网段来管理FTP服务。这种做法有多方面的目的。不仅能使你专门使用防火墙的一部分来防护这个网段，并进行渐进政策（控制源IP）控制和简化故障排除（主动/被动连接）；而且会给你提供一个阻塞点（choke point），从而监视和使用网络安全设备，比如IDS或者IPS。在这种情况下，阻塞点方法可以非常方便的进行监测和预防，你能够监视利用FTP服务（比如IDS）相关漏洞而发起的攻击，或者主动拦截利用IPS对FTP服务的攻击等。下一步，我们需要侧重于让管理FTP的服务器本身变得更为强大（尽管我在上文中提到首先要进行网络设计，但是我不建议在所有的安全强化步骤完成之后才对服务器进行处理）。我建议大家不仅仅要考虑应用最新补丁，按照因特网安全中心（CIS）的标准来设置服务器，还要考虑更多的东西。当受到攻击的时候，FTP服务往往会引起严重的附加损失。这是因为，在许多情况下，FTP服务是具有高优先级的过程（比如，作为根用户），如果被攻击者成功利用的话，攻击者会得到系统级的权限。在服务器上隔离FTP服务，可以很大程度的防止这种漏洞利用攻击。这与基于网络的隔离有所不同，这种隔离是通过处理服务的硬件实现的。FTP隔离可以通过在虚拟环境（开源Xen系统管理程序）中运行FTP服务或者改变根目录（chroot）来实现。在改变根目录这种方法中，管理员能够在处理过程中改变磁盘根目录，这基本上限制了超出自身限制范围的操作以及访问文件系统敏感区域的能力。改变根目录可以用几种方法实现；有些例子用“/etc/ftpchroot”为特定用户确定一个chroot环境，有些则使用“ftp-chroot”登录类。这两种方法都建议FTP后台程序在ls支持下重新编译，所以没有特殊的依赖关系。FTP另外一个有趣的替代品可能就是数字内容传输服务了，它能够提供安全的文件传输，又能简化管理。它往往是基于云的服务，其中包括文件跟踪、传输通知、流程集成工具以及可编写脚本的API等功能。虽然这些服务原本是为了数字内容的传输而设计的，但我想它们也可以为企业提供好的文件传输服务。6.2 FTP管理当我们搭建好一个FTP服务器后，接下去的工作就是要对这个服务器进行权限的管理。因为这项工作直接关系到FTP服务器上文件的安全，关系到FTP服务器运行的稳定。所以，作为企业的网络管理员，不能够忽视这项工作的重要性。在Linux下，管理FTP服务器的权限比Windwos环境下，相对来说，要复杂一点。因为Linux下，主要通过命令行的方式来实现权限的管理与配置。而在Windows环境下，则可以通过图形界面来配置，故后者相对简单一点。不过，若从灵活性上来讲，则前者要优越的多。定义FTP服务器的访问组，也叫做类，是FTP服务器权限管理的最基本的动作。后续的权限管理，都是根据这个组来定的。在这个组中，包括三种类型的用户，分别为REAL(真实定义的用户)、GUEST(GUEST帐户)、ANONYMOUS(匿名访问帐户)。三种类型的帐户，从子网为192.168.1.*的地方访问这个FTP服务器的话，则就属于QA这个组。若是其他的IP地址访问，即使其用户属于这三个类型的帐户，其也不属于QA这个组，不具有这个组的访问权限。很明显，通过这种方式，还可以实现根据IP地址与帐户结合的方式来管理FTP服务器访问权限。这比光凭帐户来管理，相对来说，要安全一点。 设置好上面的组之后，我们接下去的工作，就是针对这些组设置具体的权限。这是组权限控制中非常常用的一些功能。如有时候企业可能要给客户看一些大的设计图纸。由于设计图纸比较大，通过邮件等方式根本无法传输。为此，有些企业就会专门建立FTP服务器，让客户能够直接从这个服务器上下载设计图纸，以提高文件传输的效率。不过，为了安全考虑，客户只能够下载文件，而不能够向这个FTP服务器上传任何的文件。为了实现这个目的，我们就需要利用file-limit参数来实现这个需求。这个参数主要用来限制某个组的任何一个用户允许上传文件的数量。若我们把客户的帐户归类为一个组，然后把这个上传文件的数量定义为0。如此的话，只要是客户登陆FTP服务器的时候，他们可以访问这个FTP服务器，但是却无法上传任何文件。2、设置最大连接数。 为了FTP服务器的稳定性考虑，我们一般需要限制访问人数。由于WU-FTP是根据组(类)来控制最大连接数的，所以，这里配置的时候要注意两个问题。一是合理配置各个类的最大连接人数。如企业中可能是根据部门的类别来配置具体的组。所以，此时，应该跟部门的人数不同，来合理设置组的最大连接数。二就是要根据FTP服务器的性能与硬件资源，来合