解析如何实施ForeFront配置

安全
为了安全起见,在FTP服务器与互联网之间需要架设一个防火墙,用来过滤来自互联网的非法访问以及各种攻击等等。笔者这里推荐的是ForeFront安全网关产品,那么本篇文章就将解析如何实施ForeFront配置。

企业在部署网络安全防护时,ForeFront安全网关产品是一个不错的选择。那么在部署ForeFront安全网关产品之后如何实施ForeFront配置又成为了我们关心的问题,众所周知一个正确的配置可以使得安全防护效率大大提升。下面我们就来看一下Forefront中的具体配置。

ForeFront配置第一步:打开“发布非Web服务器协议”向导。管理人员可以在“管理控制台”中,找到“防火墙策略节点”。然后在这个节点上,选择“任务”窗格中的“任务”选项卡,并单击“发布非Web服务器协议”。此时系统就会打开一个向导窗口,在指导配置FTP服务器的发布规则。在这一个步骤中,主要需要注意的就是要选择“发布非Web服务器协议”。至于为什么要选择这个,我在上面第一点中已经阐述的非常清楚了,这里就不重复说明了。

ForeFront配置第二步:基本参数的设置。这里的基本参数包括服务器发布规则的名称、服务器的IP地址和需要采用的协议。根据向导的内容,管理员需要依次输入名称、FTP服务器所采用的IP地址和所采用的协议。这里需要注意,如果企业没有合法的公网IP地址,而采用私网IP地址的话,那么需要注意此时可能需要跟其他技术,如NAT技术结合使用。

ForeFront配置第三步:端口的配置。这个步骤是这些配置中的核心内容。一般来说,需要配置三个端口信息。首先,需要配置的是FTP协议本身所采用的端口。一般情况下,FTP采用的端口是20、21。但是有时候出于安全的考虑,我们需要改变这个默认的配置。如采用6221或者6220端口等等。这里需要注意的是,如果更改了其默认的端口,那么当用户在访问FTP服务器的时候,需要指明具体的端口号。由于端口改变,攻击者就不能够依靠扫描等工具来判断服务器是否启用了FTP服务。这无疑可以提高安全性。不过这也可以合法用户的访问带来了一定的不便。因为他们需要在每次访问的时候指定具体的端口信息。为此管理员需要在便利与安全之间取得均衡。如果需要更改默认端口的话,可以选择“在此端口而不是默认端口上发布”。选择这个选项之后,Forefront系统就会在指定的非标准端口上接受传入的客户端请求,然后将这些请求再转发到发布服务器的指定端口上。如果对于FTP服务器的安全性要求并不是很高,则可以采用“使用在协议中定义的默认端口发布”。此时采用的就是FTP协议的默认端口。Forefront会在端口21上接受客户的请求。

第二个端口是发布的服务器端口。在这里,也可以两个可用的选择,分别是“在发布的服务器上发送请求到默认端口”和“将请求发送到发布的服务器上的端口”。跟防火墙端口类似,如果选择的是前者的话,则Forefront系统会在端口21上接受已经发布服务的请求。而如果选择后者的话,则会在另一个端口上(即用户指定的一个非标准端口)接受对已经发布服务的请求。当管理员指定非标准端口的时候,需要注意,先确认一下这个端口是否已经被其他协议或者程序所使用。

第三个端口是源端口。这个端口信息主要就是用来实现访问的控制。即允许哪些客户端可以访问。在这里也有两个选项,分别为“允许来自所有允许的源端口的通讯”和“将访问限制来自下列范围的源端口的通讯”。顾名思义,前面这个选项对客户端的请求没有任何过滤,Forefront会接受来自所允许的客户端计算机上的任意端口的请求。而后面这个选项,则只接受来自特定端口的请求。出于安全的考虑,在必要的时候,在这里加以限制,还是可以提到很不错的效果。

ForeFront配置第四步:网络侦听器IP地址。虽然这是一个可选的参数,但是有时候这个选项还特别有用。如当FTP的用户数量很多,为了提高访问的性能,管理员可能会将多个FTP服务器组建成网络负责平衡。在这个时候,就需要在这里配置。如需要为每个成员选择相同的虚拟IP地址。具体的配置如下。先选择“外部”网络,然后选择Forefront需要侦听的IP地址。在可用的IP地址列表中,选择相应的IP地址,然后将他们添加到列表中。

ForeFront配置第五步:配置只读属性。根据以上步骤设置完成后,用户就可以访问FTP服务器了。不过此时用户只能够从FTP服务器上下载文件,而不能够上传文件。这主要是因为根据向导创建的规则,默认情况下“FTP协议策略”中只读属性为选上的。此时表示用户只能够下载文件而不能够上传文件。这个默认设置也是在提醒用户需要注意FTP服务器的安全。如果管理员允许用户上传文件,则可以更改这个默认的配置。找到刚才建立的服务器发布规则,单击“配置FTP”;然后在打开的对话框中可以看到“配置FTP协议策略”页签,将“只读”选项前面的钩去掉,再一路按“确定”即可。注意出于安全考虑,如果没有特殊的考虑,如对于一般的用户,还是只允许其下载、而不允许其上传文件。

最后需要特别提醒的是,如果使用了NAT技术的话,往往需要使用服务器发布规则。而根据相关的规则,配置单一网络适配器的时候并不支持服务期发布规则。这也就是说,如果要使用NAT(即企业公网IP地址不够)的话,必须要对服务器配置双适配器。
 

【编辑推荐】

  1. Forefront性能优化四步走
  2. 让ForeFront TMG来做企业网络的守门人
  3. Forefront Security应用程序使用技巧
  4. 浅谈Forefront Security的管理策略和事件
  5. ForeFront让邮箱服务器远离侵袭三建议

 

责任编辑:张启峰 来源: IT168
相关推荐

2011-10-25 10:07:54

2011-10-25 09:58:01

2014-05-26 16:41:56

实施项目项目

2023-12-21 17:05:46

机器学习MLOps人工智能

2018-10-24 14:17:45

云存储策略数据

2010-01-27 09:33:40

结对编程

2010-09-26 13:51:26

Forefront系统

2011-03-22 10:36:02

2010-02-03 09:19:31

Python模块

2023-06-30 11:55:09

人工智能机器学习

2022-07-05 10:16:07

多云云安全

2020-02-07 09:23:17

云迁移混合云云计算

2019-04-26 13:51:38

灾难恢复云计算数据

2010-03-19 10:58:48

Java Socket

2010-05-06 13:49:11

2010-04-28 12:02:37

Forefront网络优化

2011-09-13 11:02:14

cisco交换机网络配置

2011-03-07 15:36:10

2010-09-26 13:09:14

提高Forefront

2011-03-14 16:45:24

大型机实施虚拟化
点赞
收藏

51CTO技术栈公众号