FTP作為互聯(lián)網(wǎng)的主要傳輸協(xié)議，雖然其經(jīng)常被黑客入侵者利用，但是仍舊作為一種主流的協(xié)議所以用。那么保證FTP安全也是一個(gè)需要文件傳輸?shù)钠髽I(yè)所應(yīng)當(dāng)注意的。FTP主要用來傳輸大文件，它就是為了這個(gè)目的設(shè)計(jì)的。FTP是一種客戶端服務(wù)器（主從模式）協(xié)議，它使用控制和數(shù)據(jù)兩條通道進(jìn)行文件傳輸。

控制通道用來進(jìn)行身份認(rèn)證，并給服務(wù)器發(fā)送命令。該協(xié)議本身不支持加密，因此，在控制通道中發(fā)送的所有流量都是直接發(fā)送的，或者說是未加密的，這是該協(xié)議的弱點(diǎn)之一。在企業(yè)中，FTP服務(wù)通常被用來處理那些不敏感的內(nèi)容，而且跟其他敏感信息系統(tǒng)都是完全隔離的。人們還得保證FTP服務(wù)能夠及時(shí)更新。配置錯(cuò)誤的以及結(jié)構(gòu)不合理的FTP服務(wù)可能會(huì)成為企業(yè)中重要的安全漏洞。

企業(yè)確保關(guān)鍵FTP安全的最佳做法是什么？FTP安全狀況達(dá)到可以傳輸敏感數(shù)據(jù)的地步了嗎，或者說有什么好的方法可以讓FTP更安全？如果FTP還不夠安全，不足以用來傳輸敏感數(shù)據(jù)，那么有哪些協(xié)議可以替代它呢？我們會(huì)在本文中回答這些問題。

FTP無處不在，這一點(diǎn)不可否認(rèn)。就像其他廣泛使用的技術(shù)一樣，FTP也開始成為攻擊者易于攻擊的目標(biāo)。這么多年來，攻擊者已經(jīng)有了許多使用FTP以及利用FTP漏洞的經(jīng)驗(yàn)。有關(guān)FTP服務(wù)安全性的討論很激烈，一般來說，人們沒有就哪種方法能最好地保護(hù)FTP安全達(dá)成共識(shí)。主要是由于商業(yè)需要，才讓這項(xiàng)服務(wù)繼續(xù)存在，而沒有使用其他更加安全的替代產(chǎn)品。對(duì)我來說，任何使用或者考慮使用FTP的企業(yè)都應(yīng)該先問自己以下三個(gè)問題：

a.我們真的需要FTP嗎？

b.我們?cè)鯓硬拍馨踩卦O(shè)置FTP（我將會(huì)解釋這個(gè)自相矛盾的情況）？

c.有沒有既安全又容易使用的FTP替代產(chǎn)品？

第一問題很有趣。從技術(shù)上講，答案是否定的。其實(shí)市面上有許多更加安全的其他技術(shù)，我們將在后面討論。然而，實(shí)際的答案卻是肯定的，因?yàn)?font color="#000000">FTP應(yīng)用非常廣泛，而且具有跨平臺(tái)的支持性，大多數(shù)企業(yè)都被迫選擇支持FTP。

我花了相當(dāng)多的時(shí)間對(duì)過濾設(shè)備（即防火墻）上的FTP連接進(jìn)行故障排除，了解到FTP的控制和數(shù)據(jù)通道設(shè)計(jì)不是很適合在數(shù)據(jù)包穿越多個(gè)不同的網(wǎng)絡(luò)設(shè)備環(huán)境中使用。給你們舉個(gè)例子，初始化一個(gè)網(wǎng)絡(luò)代理后面的公司網(wǎng)絡(luò)以及負(fù)載均衡環(huán)境中服務(wù)器之間的FTP會(huì)話，并不是那么簡單的故障排除工作。

正如我先前提到的，FTP是一個(gè)客戶端服務(wù)器協(xié)議，使用單獨(dú)的控制和數(shù)據(jù)通道進(jìn)行文件傳輸。控制通道用來進(jìn)行身份認(rèn)證，并給服務(wù)器發(fā)送命令。這種身份認(rèn)證機(jī)制比較脆弱，因?yàn)檎J(rèn)證信息沒有經(jīng)過加密就直接發(fā)送到服務(wù)器，使得這種網(wǎng)絡(luò)傳輸很容易被竊聽。在一般的FTP實(shí)施過程中，一些典型的安全漏洞讓這個(gè)問題更加復(fù)雜化。

盡管企業(yè)FTP安全弊端，但是許多企業(yè)還是選擇它進(jìn)行大容量的數(shù)據(jù)傳輸。大多數(shù)工作站、應(yīng)用程序，甚至網(wǎng)絡(luò)過濾設(shè)備都內(nèi)置了對(duì)FTP的支持。其他產(chǎn)品可能會(huì)更加安全，但是它們還是無法與FTP的便利性和低成本相抗衡。

讓我們暫且假設(shè)FTP是唯一的選擇。那么，我們可以來仔細(xì)研究幾種能夠讓這項(xiàng)服務(wù)達(dá)到一定安全性的方法。我先從網(wǎng)絡(luò)設(shè)計(jì)階段開始，我們可以把FTP服務(wù)限制在專用虛擬局域網(wǎng)網(wǎng)段上。這一般需要從你的交換機(jī)、路由器或者防火墻設(shè)備中分出一個(gè)單獨(dú)的專用網(wǎng)段來管理FTP服務(wù)。這種做法有多方面的目的。不僅能使你專門使用防火墻的一部分來防護(hù)這個(gè)網(wǎng)段，并進(jìn)行漸進(jìn)政策（控制源IP）控制和簡化故障排除（主動(dòng)/被動(dòng)連接）；而且會(huì)給你提供一個(gè)阻塞點(diǎn)（choke point），從而監(jiān)視和使用網(wǎng)絡(luò)安全設(shè)備，比如IDS或者IPS。在這種情況下，阻塞點(diǎn)方法可以非常方便的進(jìn)行監(jiān)測(cè)和預(yù)防，你能夠監(jiān)視利用FTP服務(wù)（比如IDS）相關(guān)漏洞而發(fā)起的攻擊，或者主動(dòng)攔截利用IPS對(duì)FTP服務(wù)的攻擊等。

下一步，我們需要側(cè)重于讓管理FTP的服務(wù)器本身變得更為強(qiáng)大（盡管我在上文中提到首先要進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，但是我不建議在所有的安全強(qiáng)化步驟完成之后才對(duì)服務(wù)器進(jìn)行處理）。我建議大家不僅僅要考慮應(yīng)用最新補(bǔ)丁，按照因特網(wǎng)安全中心（CIS）的標(biāo)準(zhǔn)來設(shè)置服務(wù)器，還要考慮更多的東西。當(dāng)受到攻擊的時(shí)候，FTP服務(wù)往往會(huì)引起嚴(yán)重的附加損失。這是因?yàn)椋谠S多情況下，FTP服務(wù)是具有高優(yōu)先級(jí)的過程（比如，作為根用戶），如果被攻擊者成功利用的話，攻擊者會(huì)得到系統(tǒng)級(jí)的權(quán)限。

在服務(wù)器上隔離FTP服務(wù)，可以很大程度的防止這種漏洞利用攻擊。這與基于網(wǎng)絡(luò)的隔離有所不同，這種隔離是通過處理服務(wù)的硬件實(shí)現(xiàn)的。FTP隔離可以通過在虛擬環(huán)境（開源Xen系統(tǒng)管理程序）中運(yùn)行FTP服務(wù)或者改變根目錄（chroot）來實(shí)現(xiàn)。在改變根目錄這種方法中，管理員能夠在處理過程中改變磁盤根目錄，這基本上限制了超出自身限制范圍的操作以及訪問文件系統(tǒng)敏感區(qū)域的能力。改變根目錄可以用幾種方法實(shí)現(xiàn)；有些例子用“/etc/FTPchroot”為特定用戶確定一個(gè)chroot環(huán)境，有些則使用“FTP-chroot”登錄類。這兩種方法都建議FTP后臺(tái)程序在ls支持下重新編譯，所以沒有特殊的依賴關(guān)系。

最后，目前有一種易于安全維護(hù)的FTP替代品，叫做Secure Shell（SSH）。與FTP不一樣，SSH以加密的形式發(fā)送所有內(nèi)容。SSH使用加密的傳輸服務(wù)，并且把一個(gè)文件傳輸代理放在最高層，避免了FTP服務(wù)普遍的安全缺陷和復(fù)雜性。為了簡單起見，我認(rèn)為SCP（主要是文件傳輸）、SFTP（運(yùn)行在SSH上面的、全新的文件傳輸協(xié)議）和以SSH為通道的FTP會(huì)話，每種服務(wù)都使用了SSH，它們都可以作為FTP可以接受的、更加安全的替代品。在這個(gè)分類中比較奇怪的是FTPS（SSL上的FTP）。說實(shí)話，我認(rèn)為FTPS作為 FTP替代品不可行，因?yàn)樗c防火墻不兼容。使用更加安全的協(xié)議需要進(jìn)行服務(wù)隔離，并且要采取適當(dāng)?shù)姆?wù)器安全強(qiáng)化步驟。

FTP另外一個(gè)有趣的替代品可能就是數(shù)字內(nèi)容傳輸服務(wù)了，它能夠提供安全的文件傳輸，又能簡化管理。它往往是基于云的服務(wù)，其中包括文件跟蹤、傳輸通知、流程集成工具以及可編寫腳本的API等功能。雖然這些服務(wù)原本是為了數(shù)字內(nèi)容的傳輸而設(shè)計(jì)的，但我想它們也可以為企業(yè)提供好的文件傳輸服務(wù)。

FTP是一個(gè)敏感的話題。有些用戶喜歡它的便利性，但是總的來講，網(wǎng)絡(luò)和企業(yè)FTP安全團(tuán)隊(duì)并沒有被這一點(diǎn)所迷惑。人們能夠指出FTP的多項(xiàng)缺點(diǎn)，并且指出可以替代它的解決方法。有許多方法可以與FTP共存，但如果你的企業(yè)更適合使用像SSH這樣更加安全的產(chǎn)品，我強(qiáng)烈建議您用它取代FTP。