企业内网电子信息共享，如何架设安全的FTP服务器？

依旧在运用古老的那种 FTP 明文传输方式吗？你们公司的机密极有可能正被同事借助抓包软件轻轻松松地获取到！这篇文章将会一步一步地教导你去构建牢不可破的 FTP 服务器，不但实现安全方面的升级，而且能够毫无阻碍地迁移原本有的用户数据，从而让协同办公呈现出既高效运转又令人安心的状态。

搭建前的准备工作不能省

在安装操作 系统以前，务必要确定服务器硬件达到标准。此篇文章的案例所采用的是Windows，Server，2003、R2、64位的英文版，得去检查CPU与否符合要求，还要看内存是否满足条件，并且检查一下硬盘空间有没有抵达最低安装配备条件。微软官方给出的建议是使用装进安装CD里的，自带的检测程序去扫描系统的兼容性,这样做的这一步能够避开后续的驱动或者系统出现报错的情况。

硬件检查完成以后，把Serv-U 9.0.2.1的安装文件复制到服务器硬盘之上。双击来启动安装程序，挑选安装语言为中文(简体)，跟着向导点击下一步。安装路径必然要手动更改成C：\jyftp，要是采用默认路径，服务器会处在黑客软件的攻击风险当中，这一点要特别留意。

创建专属FTP管理域

开启Serv-U管理控制台，点选新建域而后步入域向导。第一步将域的名称设定成JYFTP，第二步选用协议为FTP、FTPS和HTTPS，端口号各自对应21、990以及443。此处的域为准FTP专门界定，跟Windows域无关联，没必要相互混淆。

设定好服务器的 IP 地址之后，密码加密模式挑选单项加密，如此便完成了 FTP 管理域的构建。域创建得以完成后，要对系统文件夹名称作出修改，那是由于在英文版系统里，中文目录名会致使 IE 客户端拷贝文件之际弹出警告，对用户体验造成影响。

用户与群组的精细规划

因个人重要资料存在备份需求，故而要单独去创建个人用户文件夹。于Serv-U管理控制台主页，点击“创建、修改和删除用户群组”来达成域群组设置。在设置管理员群组之际，务必严格对其登录的IP访问范围予以限定，这可是保障安全的关键环节呀。

群组权限分配得依照最小化原则来进行，普通用户仅被赋予其工作所需要的目录的读写相关权限。对于那些存在需要协同情况的部门而言，可以去建立项目群组，把相关人员添加到组内进而统一开展权限分配，如此一来，不仅方便管理，还能够避免因权限混乱而致使的文件泄露情况发生。

开启SSL功能加固防线

针对FTP服务器，开启SSL功能、创建密钥，这属于安全升级的核心步骤。要进入Serv-U管理控制台主页，再点击“创建并指定SSL和SSH证书”，以此进入加密设置。接着点击“创建证书”。证书名称可有个性化设定，密码必定得设置成十位以上，涵盖字符、数字以及字母的强密码。

以下是改动后的内容：创建证书之后马上启用，系统会于指定路径生成那自签署证书、证书请求文件以及私钥文件。一定要点击“查看证书”来认真仔细核对，其中公用名称必须得和服务器IP地址完全地一致，不然在FTP客户端连接之际会提示证书错误，从而致使登录失败。

三种访问方式详解

对于传统FTP协议而言，其默认端口是21端口，用户若想登录，需要在浏览器里输入ftp：//服务器IP，然而通过这种方式进行登录 口令可是以明文形式来传输的，安全性处于最低水平状态。而HTTPS协议使用的是443端口，当用户在浏览器输入https：//服务器IP之后，就会弹出安全提示，在这种情况下 只有安装证书之后才能够输入用户名密码去登录。

有一个990端口，它专门被用于FTPS协议，这种情况下是一定要使用专业的FTP客户端的，就比如FileZilla。拿FileZilla来说，要在快速连接对话框那里输入服务器IP，以及端口，还有用户名称，以及登录密码，并且在SSL标题栏里边选择绝对SSL。连接之后呢，会显示证书验证这个情况，然后点击接受并且保存下来，这样就能够完成加密登录了，整个过程当中都进行数据加密传输。

安全访问的最终落地

服务器完成架设后，得赶快给用户发放证书，还要制作简洁明了的教程。等全部用户都熟练掌握安全访问方式了，就在服务器设置里头坚决关闭21端口，只留下990和443端口来强制加密访问。如此即便有人在局域网进行抓包，看到的也仅仅是乱码而已，没办法窃取口令。

对共享文件的安全管控而言，UNC方式因依赖操作系统自身权限，功能比较简单，还缺少日志记录。建议搭配专门的共享文档管理工具，安装后就能扫描所有共享文件与用户，可轻易设置细粒度权限，达成像禁止另存为、禁止复制、禁止删除这样的高级控制，从全方位保护单位无形资。