Windows下FTP伺服器的安全管理

架設FTP伺服器，一向是把安全放在首位，特別是利用IIS之類工具建立起來的FTP伺服器更是如此。如果設定不當遭受到惡意攻擊，那造成整個伺服器系統崩潰也絕不是危言聳聽的! 因此，採取合理、周全的安全管理是很有必要的。

我們就從IIS的安全說起。

IIS，從NT系統核心開始成為內建的重要訊息發布載體，但其不可避免的漏洞也在不少的資料裡提及。IIS用作FTP伺服器架設，主要是其簡單易懂的設定贏得不少人青睞；因此，要用好IIS，我們得從下面這些方面來考慮其安全問題：

1．安裝系統補丁。微軟網站經常在其官方網發布最新的系統安全補丁，大家可以用系統內建的windows update程式隨時更新。

2．FTP目錄的設定。比較常見的就是將主目錄指定到邏輯盤，再對每個細目錄按不同的使用者佈建不同的存取權限，並關閉一些不需要的服務，這可以對不良人士利用IIS溢出漏洞訪問到系統硬碟作個第一級防護。

3．盡量不要使用21這個預設連接埠號碼，並啟用日誌，以便FTP服務出現異常時檢查。

另一款FTP架設軟體Serv_U。

軟體介面如下圖所示。感覺此款軟體在安全性方面做得比較好，其設定也不易出錯，筆者用過一段時間感覺其速度也比IIS要快得多。即使這樣，同樣也應注意其正確的配置：

1．有關域中伺服器密碼設定。

Serv_U提供了三種安全密碼類型：規則密碼、OTPS/KEY MD4和OTPS/KEY MD5，不言而喻，規則密碼的安全性是最低的。一般我們設定好了有系統管理權限的賬戶後，再在“常規”選項卡下開啟“密碼類型”下拉框，從中選擇後兩種類型相對要安全得多。

2．選中“攔截FTP_bounce攻擊和FXP”。FXP也稱跨伺服器攻擊，簡單的說：

當惡意使用者通過在PORT命令中加入特定的地址資訊，會使FTP伺服器與其它非用戶端的機器建立串連，而如果FTP伺服器有權訪問那些非用戶端的電腦時，那就可以通過FTP伺服器這個“中介機構”，實現與目標伺服器的串連!

3．跟IIS一樣，最好也將主目錄移到其它分區，同時在為使用者佈建許可權時最好先設低點，等需要時再設定寫入、修改等許可權；並將服務日誌以檔案形式儲存，以便日後查閱。

說了架設軟體，再來說作業系統本身。

考慮到FTP伺服器的安全性，所以最好是採用Win2000伺服器版、winxp或是Windows2003企業版，並注意隨時下載安全補丁升級。

1．可以用系統內建的“Internet串連防火牆”功能進行安全設定。開啟“本地串連”屬性對話方塊，進入“進階”選項卡，將“通過限制或阻止來自Internet的對此電腦的訪問來保護我的電腦和網路”打勾；然後點右下角的“設定”按鈕進入“進階設定”，選中“FTP伺服器”再點編輯，如圖所示，除了IP地址一欄外，其餘選項都不能更改。如果你預先設定的FTP伺服器連接埠不是其預設的21，請返回上一步在“服務”選項卡下方點“添加”，輸入伺服器名稱和IP地址，並將外部內部連接埠號碼填入你的預設值即可。

2．“TCP/IP篩選”功能。依次進入“本地串連”---“常規”---“Internet協議（TCP/IP）”，然後雙擊開啟，再點“進階”按鈕，切換到“選項”即可開始設定。如下圖所示，這裡我們可以設定系統只允許開放的連接埠，這種篩選設定可以有效防止最常見的如１３９連接埠的入侵，但該方法缺點同樣明顯：功能過於簡單，只能設定允許開放的連接埠，不能自訂要關閉的連接埠，如需開放多個連接埠還要一一手工添加，比較麻煩。

伺服器安全是個永遠也說不完的話題，關鍵還是要大家在實際管理中多多總結經驗，不斷累積。通過以上的基本管理設定後，你的FTP應該具備了一定的安全保障，可以放心的投入使用了!