合理配置IIS提高FTP服务器的安全性

中国有线电视2006(08C H I N AD I G I T AL C ABLE TV#有线广角#中图分类号:TP393.093文献标识码:E文章编号:1007-7022(-0807-03合理配置II S,提高FTP服务器的安全性t郝广鑫1,王可君2(1.濮阳市华龙国税局,河南濮阳;2.河南有线电视集团公司濮阳分公司,河南濮阳摘要:FTP服务器是在互联网上提供存储空间的计算机,它们依照FTP协议提供服务。W i n do w s系统中的IIS提供了FTP的功能,阐述如何对II S进行合理的配置,以提高FTP服务器的安全性。关键词:II S;FTP服务器;安全性Rational A llocation of II S to I mprove FTP Servers Securityt HAO Guang-x i n1,WANG Ke-j u n2(1.Puyang H ua l o ng State Adm i n istration of Taxati o n,H enan Puyang,Chi n a;2.H enan Cable Corpo ration Puyang Branch,H enan Puyang,Ch i n aAbst ract:FTP servers i s the co m puter prov i d i n g storage space i n Interne.t They pr ov i d e serv ices i n accor dance w it h the fil e transfer pr o toco.l IIS inW i n do w s syste m pr ov i d es FTP serv ices,the article exp lai n ed ho w a rea-sonable IIS configuration to g reatl y enhance the security of the FTP servers.K ey w ords:IIS;FTP servers;security一个厂家直销点,在锅面喷上/罗田广电0字样,将卫星接收机贴上/专卖0标记,在销售安装价格上按厂家定价适当加入管理费,这样既解决了管理与收费的矛盾,同时又方便了对非法销售和非法安装使用的管理。在实行/专卖0管理的同时,我们把全县划分为两大区域,即有线电视覆盖区域和非覆盖区域,在覆盖区域内严格禁止安装使用卫星天线,在非覆盖区域内,凡农户有使用卫星天线愿望的,必须由当地乡镇广播电视站把好初审关,并由农户写出书面申请,同时自愿签订用户责任保证书,由广播电视部门组织安装,并锁定卫星天线方位,接收境内电视节目。6切实解决山区农民看电视难的问题县广播电视局大力加强广播电视/村村通0和/户户通0工程建设,近几年来先后完成271个行政村的/村村通0工作,发展6000多个用户,同时投资800多万元建设乡村广播电视光纤网,连通了12个乡镇和256个行政村,发展农村有线电视用户近2万户,而在边远山区采用无线数字电视覆盖的方式,为群众提供高质量多套数字电视节目,这些措施从根本上消除了非法卫星电视接收设施滋生和蔓延的土壤。上述管理措施取得明显效果,一是基本禁止了私自销售、安装卫星接收设施现象;二是群众依法使用卫星电视地面接收设施的意识增强,绝大部分用户都办理了相关证件;三是规范了使用程序;四是为有线电视进村入户拓展了市场,为农村广播电视事业的发展提供了有力保障。收稿日期:2006-02-06作者简介:郝广鑫(1979-,男,助理工程师,主要从事计算机网络安全管理及系统开发工作;王可君(1977-,女,助理工程师,主要从事点播频道编辑制作及有线电视网络维护工作。807W indo w s Ser ver2003系统的II S(I nter net I nfor m ation Server提供了FTP服务功能,由于它与W i n do w s系统本身结合紧密,且简单易用,因此深受广大用户的喜爱。但是它的默认设置存在很多安全隐患,很容易成为黑客们的攻击目标,从而造成信息泄漏甚至系统崩溃。因此,须对II S进行合理配置,以提高其安全性。1取消匿名访问功能默认情况下,W i n do w s Server2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患,用户不需要申请合法的账号就能访问FTP服务器,甚至还可以上传、下载文件,特别是对于一些存储重要资料的FTP 服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。在W i n do w s Server2003系统中,点击/开始程序管理工具I nternet服务管理器0,弹出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到II S自带的FTP服务器,右键点击/默认FTP站点0项,在菜单中选择/属性0,弹出默认FTP站点属性对话框,切换到/安全账号0标签页,取消/允许匿名连接0前的勾选,最后点击/确定0按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号。2启用日志记录W i n dows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机I P地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。在默认FTP站点属性对话框中,切换到/FTP站点0标签页,选中/启用日志记录0选项,这样就可以在/事件查看器0中查看FTP日志记录了。3正确设置用户访问权限每个FTP用户账号都具有一定的访问权限,但对用户权限设置不合理,也能导致FTP服务器出现安全隐患。如服务器中的TOOL文件夹,只允许TOOLUS-ER账号对它有读、写、修改、列表的权限,禁止其他用户访问,但系统默认设置中,还是允许其他用户对TOOL文件夹有读和列表的权限,因此必须重新设置该文件夹的用户访问权限。右键点击TOOL文件夹,在弹出菜单中选择/属性0,切换到/安全0标签页,删除Everyone用户账号,再点击/添加0按钮,将TOOLUSER账号添加到名称列表框中,然后在/权限0列表框中选中修改、读取及运行、列出文件夹目录、读取和写入选项,最后点击/确定0按钮。这样,TOOL文件夹只有TOOLUSER用户才能访问。4为FTP站点配置虚拟文件夹用一个虚拟文件夹来充当站点目录结构的一部分,它能够对用户实施有效的屏蔽,即当用户浏览这个站点或者从FTP命令行提交DI R命令时,它并不出现。用户可用这两种方式之一来连接到这个虚拟文件夹:在浏览器或FTP命令行中明确指定这个文件夹,或者使用一个同这个虚拟文件夹的别名相匹配的用户账号来连接。打开II S控制台,在希望创建该文件夹的FTP站点上单击鼠标右键,然后选择新建-虚拟目录命令,根据向导提示输入文件夹别名、路径名和读写属性即可。5启用磁盘配额FTP服务器的磁盘空间资源是宝贵的,无限制地让用户使用,势必造成巨大的浪费,因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以TOOL USER 用户为例,将其限制为只能使用100MB磁盘空间。在资源管理器窗口中,右键点击TOOL文件夹所在的硬盘盘符,在弹出的菜单中选择/属性0,切换到/配额0标签页,选中/启用配额管理0复选框,激活/配额0标签页中的所有配额设置选项。为了不让某些FTP用户占用过多的服务器磁盘空间,一定要选中/拒绝将磁盘空间给超过配额限制的用户0复选框。然后在/为该卷上的新用户选择默认配额限制0框中选择/将磁盘空间限制为0单选项,在后面的栏中输入100,磁盘容量单位选择为/MB0,再进行警告等级设置,在/将警告等级设置为0栏中输入/960,容量单位也选择为/M B0,这样就完成了默认配额设置。此外,还要选中/用户超出配额限制时记录事件0和/用户超过警告等级时记录事件0复选框,以便将配额告警事件记录到W i n do w s日志中。点击配额标签页下方的/配额项0按钮,打开磁盘配额项目对话框,点击/配额新建配额项0,弹出选择用户对话框,选中TOOLUSER用户后,点击/确定0按钮,在/添加新配额项0对话框中为TOOLUSER用户设置配额参数,选择/将磁盘空间限制为0单选项,在后面的栏中输入/1000,在/将警告等级设置为0栏中输入/960,它们的磁盘容量单位均为/M B0,最后点击808郝广鑫等:合理配置IIS,提高FTP服务器的安全性中国有线电视2006年第08期/确定0按钮,完成磁盘配额设置,这样TOOLUSER用户就只能使用100M B磁盘空间,超过96M B就会发出警告。6TCP/I P访问限制为保证FTP服务器的安全,我们还可以拒绝某些I P地址的访问。在默认FTP站点属性对话框中,切换到/目录安全性0标签页,选中/授权访问0单选项,在/以下所列除外0框中点击/添加0按钮,弹出/拒绝以下访问0对话框,这里可以拒绝单个I P地址或一组I P 地址访问,以单个I P地址为例,选中/单机0选项,在/I P地址0栏中输入该机器的I P地址,最后点击/确定0按钮,这样添加到列表中的I P地址都不能访问FTP服务器了。7合理设置组策略通过对组策略项目的修改,也可以增强FTP服务器的安全性。在W indo w s Server2003系统中,进入/控制面板管理工具0,运行本地安全策略工具。(1审核账户登录事件在本地安全设置窗口中,依次展开/安全设置本地策略审核策略0,在右侧的框体中找到/审核账户登录事件0项目,双击打开该项目,在设置对话框中选中/成功0和/失败0这两项,最后点击/确定0按钮。该策略生效后,FTP用户的每次登录都会被记录到日志中。(2增强账号密码的复杂性一些FTP账号的密码设置得过于简单,就有可能被破解。为了提高FTP服务器的安全性,必须强制用户设置复杂的账号密码。在本地安全设置窗口中,依次展开/安全设置账户策略密码策略0,在右侧框体中找到/密码必须符合复杂性要求0项,双击打开后,选中/已启用0单选项,点击/确定0按钮。然后,打开/密码长度最小值0项,为FTP账号密码设置最短字符限制,这样密码的安全性就大大增强了。(3账号登录限制有些非法用户使用黑客工具,反复登录FTP服务器,来猜测账号密码。这是非常危险的,因此建议大家对账号登录次数进行限制。依次展开/安全设置账户策略账户锁定策略0,在右侧框体中找到/账户锁定阈值0项,双击打开后,设置账号登录的最大次数,如果超过此数值,账号会被自动锁定。打开/账户锁定时间0项,设置FTP账号被锁定的时间,账号一旦被锁定,超过这个时间值才能重新使用。8不使用FTP默认的端口号FTP服务默认的端口号是21,这也是具有一定网络知识的人所熟知的,这个端口非常容易被黑客或木马所利用。在创建FTP服务器时应尽量不使用21作为FTP服务的端口号,这样就可以大大提高FTP服务器的安全性,有效避免网络恶意攻击。通过以上合理配置,FTP服务器就会更加安全,但没有绝对的安全,我们还更应重视平时的维护工作,如:及时更新系统补丁阻塞漏洞、定期查看系统日志、做好重要数据的备份等等。参考文献:1周学毛.网站规划建设与管理维护M.北京:电子工业出版社,2001.2Jeffer y R fShapiro.W i n do w s Server2003宝典M.杨秀梅,林润生,盖江南,译.北京:电子工业出版社,2003.3梁军,毛振寰.计算机网络与信息安全M.北京:北京邮电大学出版社,2005.4程迎春.W i n dow s安全应用策略和实施方案手册M.北京:人民邮电出版