以下的文章主要向大家闡述的是安全技巧之保護企業FTP安全最佳實踐，以下就是相關內容的具體描述。希望你能從中獲得自己想要的東西。雖然各種威脅在持續發展演變，但是文件傳輸協議(通常稱為FTP)基本上還是跟幾年前一樣，而且還在大范圍的使用。

安全技巧：保護企業FTP安全最佳實踐 安全技巧：保護企業FTP安全最佳實踐[2] 雖然各種威脅在持續發展演變，但是文件傳輸協議（通常稱為FTP）基本上還是跟幾年前一樣，而且還在大范圍的使用。

FTP主要用來傳輸大文件，它就是為了這個目的設計的。FTP是一種客戶端服務器（主從模式）協議，它使用控制和數據兩條通道進行文件傳輸。控制通道用來進行身份認證，并給服務器發送命令。該協議本身不支持加密，因此，在控制通道中發送的所有流量都是直接發送的，或者說是未加密的，這是該協議的弱點之一。在企業中，FTP服務通常被用來處理那些不敏感的內容，而且跟其他敏感信息系統都是完全隔離的。人們還得保證FTP服務能夠及時更新。配置錯誤的以及結構不合理的FTP服務可能會成為企業中重要的安全漏洞。

企業確保關鍵FTP安全的最佳做法是什么？FTP安全狀況達到可以傳輸敏感數據的地步了嗎，或者說有什么好的方法可以讓FTP更安全？如果FTP還不夠安全，不足以用來傳輸敏感數據，那么有哪些協議可以替代它呢？我們會在本文中回答這些問題。

FTP無處不在，這一點不可否認。就像其他廣泛使用的技術一樣，FTP也開始成為攻擊者易于攻擊的目標。這么多年來，攻擊者已經有了許多使用FTP以及利用FTP漏洞的經驗。有關FTP服務安全性的討論很激烈，一般來說，人們沒有就哪種方法能最好地保護FTP安全達成共識。主要是由于商業需要，才讓這項服務繼續存在，而沒有使用其他更加安全的替代產品。對我來說，任何使用或者考慮使用FTP的企業都應該先問自己以下三個問題：

a.我們真的需要FTP嗎？

b.我們怎樣才能安全地設置FTP（我將會解釋這個自相矛盾的情況）？

c.有沒有既安全又容易使用的FTP替代產品？

第一問題很有趣。從技術上講，答案是否定的。其實市面上有許多更加安全的其他技術，我們將在后面討論。然而，實際的答案卻是肯定的，因為FTP應用非常廣泛，而且具有跨平臺的支持性，大多數企業都被迫選擇支持FTP。

我花了相當多的時間對過濾設備（即防火墻）上的FTP連接進行故障排除，了解到FTP的控制和數據通道設計不是很適合在數據包穿越多個不同的網絡設備環境中使用。給你們舉個例子，初始化一個網絡代理后面的公司網絡以及負載均衡環境中服務器之間的FTP會話，并不是那么簡單的故障排除工作。

正如我先前提到的，FTP是一個客戶端服務器協議，使用單獨的控制和數據通道進行文件傳輸。控制通道用來進行身份認證，并給服務器發送命令。這種身份認證機制比較脆弱，因為認證信息沒有經過加密就直接發送到服務器，使得這種網絡傳輸很容易被竊聽。在一般的FTP實施過程中，一些典型的安全漏洞讓這個問題更加復雜化。

盡管企業FTP安全弊端，但是許多企業還是選擇它進行大容量的數據傳輸。大多數工作站、應用程序，甚至網絡過濾設備都內置了對FTP的支持。其他產品可能會更加安全，但是它們還是無法與FTP的便利性和低成本相抗衡。

讓我們暫且假設FTP是唯一的選擇。那么，我們可以來仔細研究幾種能夠讓這項服務達到一定安全性的方法。我先從網絡設計階段開始，我們可以把FTP服務限制在專用虛擬局域網網段上。這一般需要從你的交換機、路由器或者防火墻設備中分出一個單獨的專用網段來管理FTP服務。這種做法有多方面的目的。不僅能使你專門使用防火墻的一部分來防護這個網段，并進行漸進政策（控制源IP）控制和簡化故障排除（主動/被動連接）；而且會給你提供一個阻塞點（choke point），從而監視和使用網絡安全設備，比如IDS或者IPS。在這種情況下，阻塞點方法可以非常方便的進行監測和預防，你能夠監視利用FTP服務（比如IDS）相關漏洞而發起的攻擊，或者主動攔截利用IPS對FTP服務的攻擊等。

下一步，我們需要側重于讓管理FTP的服務器本身變得更為強大（盡管我在上文中提到首先要進行網絡設計，但是我不建議在所有的安全強化步驟完成之后才對服務器進行處理）。我建議大家不僅僅要考慮應用最新補丁，按照因特網安全中心（CIS）的標準來設置服務器，還要考慮更多的東西。當受到攻擊的時候，FTP服務往往會引起嚴重的附加損失。這是因為，在許多情況下，FTP服務是具有高優先級的過程（比如，作為根用戶），如果被攻擊者成功利用的話，攻擊者會得到系統級的權限。

在服務器上隔離FTP服務，可以很大程度的防止這種漏洞利用攻擊。這與基于網絡的隔離有所不同，這種隔離是通過處理服務的硬件實現的。FTP隔離可以通過在虛擬環境（開源Xen系統管理程序）中運行FTP服務或者<