专利名称:一种基于网关代理方式的ftp协议操作管控的实现方法
技术领域:
本发明涉及一种基于网关代理方式的FTP协议操作管控的实现方法。
背景技术:
FTP是TCP/IP协议组中的协议之一,是英文File Transfer Protocol的缩写。 该协议是^ternet文件传送的基础,它由一系列规格说明文档组成,目标是提高文件的共享性,提供非直接使用远程计算机,使存储介质对用户透明和可靠高效地传送数据。FTP是基于“客户端/服务器”模型而设计的,客户和服务器之间通过TCP建立连接。与其他“客户端/服务器”模型不同的是,FTP的客户与服务器之间要建立双重连接,一个是控制连接,一个是数据连接。建立双重连接的原因在于FTP是一个交互会话系统,例如某客户调用FTP,便与服务器建立一个会话,会话以控制连接来维持,直至退出FTP。控制连接负责传输控制信息,尤其是客户命令(比如文件传输命令等等),利用控制命令,客户可以向服务器提出多次请求(一个请求就是一个客户命令)。客户每提出一个请求,服务器就与客户建立一个数据连接,进行实际的数据(比如文件)传输。数据传输完成,数据连接会话就被撤销,但控制连接依然存在,客户可以继续发出命令。直到客户键入CLOSE命令撤消控制连接,再键入QUIT退出FTP会话,此时双方控制进程才终断。FTP的目标是提高文件的共享性,提供非直接使用远程计算机,使存储介质对用户透明和可靠高效地传送数据。FTP服务在企业IT环境中有这比较广泛的应用。企业IT环境中,传统的访问FTP服务的方式,存在诸多不安全因素第三方维护情况普遍存在,缺少统一管理机制,存在潜在风险;帐号共用情况普遍,无法区别和定位具体操作者;操作权限无法细粒度控制,存在越权和违规操作风险;维护过程没有跟踪和审计, 无法实现责任认定与满足内控外审要求。
发明内容
本发明针对以上不足,提供一种基于网关代理方式的FTP协议操作管控的实现方法。本发明解决上述技术问题的技术方案如下一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤
步骤1 客户端登陆管理平台进行认证;
步骤2 认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;
步骤3 客户端通过代理网关连接到FTP服务器;
步骤4 客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。进一步的,所述步骤3包括以下子步骤
3步骤3. 1 客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;
步骤3. 2 认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。进一步的,所述步骤3中代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。进一步的,所述步骤4包括以下子步骤 步骤4. 1 客户端发送维护操作请求;
步骤4. 2 代理网关判断客户端的操作的可行性,并记录本次操作内容; 步骤4.3 判断客户端的操作是否符合代理网关制定的安全策略,如果符合客户端的操作符合代理网关制定的安全策略,代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求。步骤4.4 代理网关审计FTP服务器的处理结果,并将其返回到客户端。本发明的有益效果是实现对FTP服务器系统的安全防护,让FTP服务器的操作、 管理和运行更加可视、可控、可管理、可实现跟踪审计,解决FTP服务器系统级别的安全问题、安全威胁,为企业IT环境中FTP服务器的正常有序运行,提供可靠的安全保障。
图1为本发明流程图。
具体实施例方式以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。如图1所示,一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤
步骤1 客户端登陆管理平台进行认证;
步骤2 认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;
步骤3 客户端通过代理网关连接到FTP服务器;
步骤3. 1 客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;
步骤3. 2 认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。步骤4 客户端进行维护操作,客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。所述步骤4包括以下子步骤 步骤4. 1 客户端发送维护操作请求;步骤4. 2 代理网关判断客户端的操作的可行性,并记录本次操作内容; 步骤4.3 判断客户端的操作是否符合代理网关制定的安全策略,符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;客户端的操作不符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求。步骤4.4 代理网关审计FTP服务器的处理结果,并将其返回到客户端。本发明实现了 FTP服务器上的操作可视、操作命令可控以及对客户端的操作行为跟踪和审计。FTP服务器上的操作可视,即代理网关实时的捕获客户端的操作命令,客户端可直接显示FTP服务器上发生过的操作命令及其运行结果,实现FTP服务器的实时监控功能;
操作命令可控,即代理网关实时捕获客户端使用的操作命令,并对其可行性作出判断和处理,通过设置安全策略约束不同用户的操作行为,制定命令黑白名单,对非法和无权限命令进行阻断和告警处理,违反安全策略的操作命令,将被禁止执行并发出告警信息,实现 FTP命令执行的管控功能;
对客户端的操作行为跟踪和审计,即代理网关对所有FTP流量进行分析,对客户端的操作行为及其结果进行查询和还原,跟踪并记录客户端在FTP服务器上的操作过程,查看客户端在FTP服务器上的所有操作行为。本发明中的管理平台实现基础配置、系统管理以及人机交互功能,代理网关实现核心FTP协议数据的通信代理和分析处理功能,
FTP有两种工作模式,主动模式(Active FTP)和被动模式(Passive FTP)。这两种模式都是从服务器的角度来说的,服务器主动连接客户端的模式叫做主动模式,服务器被动等待客户端来连接的模式叫做被动模式。本发明通过技术手段和管理手段,使原来混乱和不安全的FTP服务得到有效的管理和控制,进一步满足了企业IT环境中对FTP服务的内部控制和审计要求。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,它包括以下步骤步骤1 客户端登陆管理平台进行认证;步骤2 认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;步骤3 客户端通过代理网关连接到FTP服务器;步骤4 客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。
2.根据权利要求1所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤3包括以下子步骤步骤3. 1 客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;步骤3. 2 认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。
3.根据权利要求1或2所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤3中代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。
4.根据权利要求3所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤4包括以下子步骤步骤4. 1 客户端发送维护操作请求;步骤4. 2 代理网关判断客户端的操作的可行性,并记录本次操作内容;步骤4.3 判断客户端的操作是否符合代理网关制定的安全策略,如果符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求;步骤4. 4 代理网关审计FTP服务器的处理结果,并将其返回到客户端。
5.根据权利要求1或2所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤4包括以下子步骤步骤4. 1 客户端发送维护操作请求;步骤4. 2 代理网关判断客户端的操作的可行性,并记录本次操作内容;步骤4.3 判断客户端的操作是否符合代理网关制定的安全策略,如果符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求;步骤4. 4 代理网关审计FTP服务器的处理结果,并将其返回到客户端。
全文摘要
本发明涉及一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤步骤1客户端登陆管理平台进行认证;步骤2认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;步骤3客户端通过代理网关连接到FTP服务器;步骤4客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。本发明的有益效果是让FTP服务器的操作、管理和运行更加可视、可控、可实现跟踪审计,解决FTP服务器系统的安全问题,为企业IT环境中FTP服务器的正常有序运行,提供可靠的安全保障。
文档编号H04L29/08GK102333107SQ20111006609
公开日2012年1月25日 申请日期2011年3月18日 优先权日2011年3月18日
发明者樊学峰, 贾艳斌, 魏鼎 申请人:北京神州数码思特奇信息技术股份有限公司