打造SSL安全加密的FTP服务器(图)

时间：2015-01-18 来源：互联网作者：佚名

　　随着网络的普及，各个中小公司都建立了自己的服务器，如何才能保证服务器的安全呢？恐怕成天对着被黑客或病毒侵入的计算机是每个网络管理员所不希望发生的事情。前一段时间我们为大家介绍了IIS服务器安全的十全大补（1 ， 2），其实FTP服务器也是非常流行的，他是文件传输共享的最简单的方式。今天我们就来讨论如何通过SSL安全加密自身的FTP服务器。
　　
　　一般的FTP服务器是以明文方式传输数据的，安全性极差，信息很容易被盗，虽然它提供了SSL加密功能，默认情况下也是没有启用的，如大家常用的Serv-U FTP服务器（简称Serv-U）。所以说为了保证特殊环境下的数据安全，有必要启用SSL功能，提高服务器数据传输的安全性。我们以Serv-u为例进行介绍。
　　
　　小提示：
　　
　　什么是SSL加密协议？SSL协议(Secure Socket Layer，安全套接层)是由网景（Netscape）公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法。所以使用SSL协议后我们就可以保证网络中传输的数据不被非法用户窃取到了。
　　
　　一、安装Serv-U服务器
　　
　　由于安装Serv-U的文章比较多，所以本文就不详细介绍了。（如图1）安装完毕后我们要建立一个FTP服务器的域并设置相应的用户名和密码。
　　　

　　图1 点击看大图
　　
　　二、创建SSL证书
　　
　　要想使用Serv-U的SSL功能，需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书，但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的，非常不安全，所以我们需要手工创建一个自己独特的SSL证书。
　　
　　第一步：在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页。
　　
　　第二步：创建一个新的SSL证书。首先在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写。（如图2）
　　　

　　图2 点击看大图
　　
　　第三步：完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。
　　
　　三、启用SSL功能
　　
　　虽然为Serv-U服务器创建了新的SSL证书，但默认情况下，Serv-U是没有启用SSL功能的，要想利用该SSL证书，首先要启用Serv-U的SSL功能才行。
　　
　　第一步：要启用Serv-U服务器中域名为“softer”的SSL功能。在“Serv-U管理员”窗口中，依次展开“本地服务器→域→softer”选项。
　　
　　第二步：在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项，分别是“仅仅规则FTP，无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”，默认情况下，Serv-U使用的是“仅仅规则FTP，无SSL/TLS进程”，因此是没有启用SSL加密功能的。
　　
　　第三步：在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项，然后点击“应用”按钮，即可启用softer域的SSL功能。（如图3）
　　　

　　图3 点击看大图
　　
　　小提示：
　　
　　启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了，而是“990”了，这点在登录FTP的时候一定要留意，否则就会无法成功连接Serv-U服务器。
　　
　　四、使用SSL加密连接FTP
　　
　　启用Serv-U服务器的SSL功能后，就可以利用此功能安全传输数据了，但FTP客户端程序必须支持SSL功能才行。如果我们直接使用IE浏览器进行登录则会出现图4显示的错误信息，一方面是以为没有修改默认的端口21为990，另外IE浏览器不支持SSL协议传输。
　　
　　当然支持SSL的FTP客户端程序现在也比较多，笔者以“Flash FXP”程序为例，介绍如何成功连接到启用了SSL功能的Serv-U服务器。
　　
　　第一步：运行“FlashFXP”程序后，点击“会话→快速连接”选项，弹出“快速连接”对话框，在“服务器或URL”栏中输入Serv-U服务器的IP地址，在“端口”栏中一定要输入“990”，这是因为Serv-U服务器启用SSL功能后，端口号就从“21”变为“990”。
　　
　　第二步：输入可以正常登录FTP服务器的“用户名”和“密码”。（如图4）
　　　

　　图4 点击看大图
　　
　　第三步：切换到“SSL”标签页，选中“绝对SSL”选项，这一步骤是非常关键的，如果不选中“绝对SSL”，就无法成功连接到Serv-U服务器。最后点击“连接”按钮。根据实际传输情况在绝对SSL下方的四个选项进行选择即可。（如图5）
　　　

　　图5 点击看大图
　　
　　第四步：当用户第一次连接到Serv-U服务器时，Flash FXP会弹出一个“证书”对话框，（如图7）这时用户只要点击“接受并保存”按钮，将SSL证书下载到本地后，就能成功连接到Serv-U服务器，以后和Serv-U服务器间的数据传送就会受到SSL功能的保护，不再是以明文形式传送，这样就不用再担心FTP账号被盗，敏感信息被窃取的问题了。在Flash FXP的下方我们也会看到一个小锁的标志了，他代表当前传输是加密安全的传输。（如图8）
　　　