如果需要将企业内部的服务器,如FTP服务器,连接到互联网上,允许外部用户访问。这虽然可以提高用户的办公效率,但是随之也会带来比较大的安全隐患。在这种情况下,安全管理人员往往需要采用额外的安全措施,来保障内部服务器的安全。
如上图所示,企业准备将FTP服务器部署到互联网上,以便外网的用户访问。此时为了安全起见,在FTP服务器与互联网之间需要架设一个防火墙,用来过滤来自互联网的非法访问以及各种攻击等等。笔者这里推荐的是ForeFront安全网关产品。在下面的内容中,笔者就详细阐述一下实现这个需求的具体配置。
一、Web服务器协议与非Web服务器协议
Forefront系统在设计的时候,将服务器协议分为了Web协议与非Web协议两种。而FTP协议就是属于非Web协议的其中一种。笔者认为,他们这么分类也有一定的道理。因为协议不同,在具体的配置上相差很多。为此在使用ForeFront来武装FTP服务器之前,首先需要知道FTP服务器采用的不是Web协议。Web服务器协议一般指的就是跟网站相关的服务。虽然现在FTP服务器也可以通过网页来访问,但是其本质仍然是FTP协议,而不是Web协议。这一点管理人员需要先心中有数,免得在后续的配置中陷入误区。
二、ForeFront中具体的配置与参数解析
了解了Web服务器协议与非Web服务器协议之后,我们就来看一下Forefront中的具体配置。
第一步:打开“发布非Web服务器协议”向导。管理人员可以在“管理控制台”中,找到“防火墙策略节点”。然后在这个节点上,选择“任务”窗格中的“任务”选项卡,并单击“发布非Web服务器协议”。此时系统就会打开一个向导窗口,在指导配置FTP服务器的发布规则。在这一个步骤中,主要需要注意的就是要选择“发布非Web服务器协议”。至于为什么要选择这个,我在上面第一点中已经阐述的非常清楚了,这里就不重复说明了。
第二步:基本参数的设置。这里的基本参数包括服务器发布规则的名称、服务器的IP地址和需要采用的协议。根据向导的内容,管理员需要依次输入名称、FTP服务器所采用的IP地址和所采用的协议。这里需要注意,如果企业没有合法的公网IP地址,而采用私网IP地址的话,那么需要注意此时可能需要跟其他技术,如NAT技术结合使用。
第三步:端口的配置。这个步骤是这些配置中的核心内容。一般来说,需要配置三个端口信息。首先,需要配置的是FTP协议本身所采用的端口。一般情况下,FTP采用的端口是20、21。但是有时候出于安全的考虑,我们需要改变这个默认的配置。如采用6221或者6220端口等等。这里需要注意的是,如果更改了其默认的端口,那么当用户在访问FTP服务器的时候,需要指明具体的端口号。由于端口改变,攻击者就不能够依靠扫描等工具来判断服务器是否启用了FTP服务。这无疑可以提高安全性。不过这也可以合法用户的访问带来了一定的不便。因为他们需要在每次访问的时候指定具体的端口信息。为此管理员需要在便利与安全之间取得均衡。如果需要更改默认端口的话,可以选择“在此端口而不是默认端口上发布”。选择这个选项之后,Forefront系统就会在指定的非标准端口上接受传入的客户端请求,然后将这些请求再转发到发布服务器的指定端口上。如果对于FTP服务器的安全性要求并不是很高,则可以采用“使用在协议中定义的默认端口发布”。此时采用的就是FTP协议的默认端口。Forefront会在端口21上接受客户的请求。
第二个端口是发布的服务器端口。在这里,也可以两个可用的选择,分别是“在发布的服务器上发送请求到默认端口”和“将请求发送到发布的服务器上的端口”。跟防火墙端口类似,如果选择的是前者的话,则Forefront系统会在端口21上接受已经发布服务的请求。而如果选择后者的话,则会在另一个端口上(即用户指定的一个非标准端口)接受对已经发布服务的请求。当管理员指定非标准端口的时候,需要注意,先确认一下这个端口是否已经被其他协议或者程序所使用。
第三个端口是源端口。这个端口信息主要就是用来实现访问的控制。即允许哪些客户端可以访问。在这里也有两个选项,分别为“允许来自所有允许的源端口的通讯”和“将访问限制来自下列范围的源端口的通讯”。顾名思义,前面这个选项对客户端的请求没有任何过滤,Forefront会接受来自所允许的客户端计算机上的任意端口的请求。而后面这个选项,则只接受来自特定端口的请求。出于安全的考虑,在必要的时候,在这里加以限制,还是可以提到很不错的效果。
第四步:网络侦听器IP地址。虽然这是一个可选的参数,但是有时候这个选项还特别有用。如当FTP的用户数量很多,为了提高访问的性能,管理员可能会将多个FTP服务器组建成网络负责平衡。在这个时候,就需要在这里配置。如需要为每个成员选择相同的虚拟IP地址。具体的配置如下。先选择“外部”网络,然后选择Forefront需要侦听的IP地址。在可用的IP地址列表中,选择相应的IP地址,然后将他们添加到列表中。
第五步:配置只读属性。根据以上步骤设置完成后,用户就可以访问FTP服务器了。不过此时用户只能够从FTP服务器上下载文件,而不能够上传文件。这主要是因为根据向导创建的规则,默认情况下“FTP协议策略”中只读属性为选上的。此时表示用户只能够下载文件而不能够上传文件。这个默认设置也是在提醒用户需要注意FTP服务器的安全。如果管理员允许用户上传文件,则可以更改这个默认的配置。找到刚才建立的服务器发布规则,单击“配置FTP”;然后在打开的对话框中可以看到“配置FTP协议策略”页签,将“只读”选项前面的钩去掉,再一路按“确定”即可。注意出于安全考虑,如果没有特殊的考虑,如对于一般的用户,还是只允许其下载、而不允许其上传文件。
最后需要特别提醒的是,如果使用了NAT技术的话,往往需要使用服务器发布规则。而根据相关的规则,配置单一网络适配器的时候并不支持服务期发布规则。这也就是说,如果要使用NAT(即企业公网IP地址不够)的话,必须要对服务器配置双适配器。
