CN102333107A - 一种基于网关代理方式的ftp协议操作管控的实现方法 - Google Patents
一种基于网关代理方式的ftp协议操作管控的实现方法 Download PDFInfo
- Publication number
- CN102333107A CN102333107A CN201110066091A CN201110066091A CN102333107A CN 102333107 A CN102333107 A CN 102333107A CN 201110066091 A CN201110066091 A CN 201110066091A CN 201110066091 A CN201110066091 A CN 201110066091A CN 102333107 A CN102333107 A CN 102333107A
- Authority
- CN
- China
- Prior art keywords
- client
- gateway
- ftp
- proxy gateway
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤:步骤1:客户端登陆管理平台进行认证;步骤2:认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;步骤3:客户端通过代理网关连接到FTP服务器;步骤4:客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。本发明的有益效果是:让FTP服务器的操作、管理和运行更加可视、可控、可实现跟踪审计,解决FTP服务器系统的安全问题,为企业IT环境中FTP服务器的正常有序运行,提供可靠的安全保障。
Description
技术领域
本发明涉及一种基于网关代理方式的FTP协议操作管控的实现方法。
背景技术
FTP 是 TCP/IP 协议组中的协议之一,是英文File Transfer Protocol的缩写。该协议是Internet文件传送的基础,它由一系列规格说明文档组成,目标是提高文件的共享性,提供非直接使用远程计算机,使存储介质对用户透明和可靠高效地传送数据。
FTP是基于“客户端/服务器”模型而设计的,客户和服务器之间通过TCP建立连接。与其他“客户端/服务器”模型不同的是,FTP的客户与服务器之间要建立双重连接,一个是控制连接,一个是数据连接。建立双重连接的原因在于FTP是一个交互会话系统,例如某客户调用FTP,便与服务器建立一个会话,会话以控制连接来维持,直至退出FTP。控制连接负责传输控制信息,尤其是客户命令(比如文件传输命令等等),利用控制命令,客户可以向服务器提出多次请求(一个请求就是一个客户命令)。客户每提出一个请求,服务器就与客户建立一个数据连接,进行实际的数据(比如文件)传输。数据传输完成,数据连接会话就被撤销,但控制连接依然存在,客户可以继续发出命令。直到客户键入CLOSE命令撤消控制连接,再键入QUIT退出FTP会话,此时双方控制进程才终断。
FTP的目标是提高文件的共享性,提供非直接使用远程计算机,使存储介质对用户透明和可靠高效地传送数据。FTP服务在企业IT环境中有这比较广泛的应用。
企业IT环境中,传统的访问FTP服务的方式,存在诸多不安全因素:第三方维护情况普遍存在,缺少统一管理机制,存在潜在风险;帐号共用情况普遍,无法区别和定位具体操作者;操作权限无法细粒度控制,存在越权和违规操作风险;维护过程没有跟踪和审计,无法实现责任认定与满足内控外审要求。
发明内容
本发明针对以上不足,提供一种基于网关代理方式的FTP协议操作管控的实现方法。
本发明解决上述技术问题的技术方案如下:一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤:
步骤1:客户端登陆管理平台进行认证;
步骤2:认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;
步骤3:客户端通过代理网关连接到FTP服务器;
步骤4:客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。
进一步的,所述步骤3包括以下子步骤:
步骤3.1:客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;
步骤3.2:认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。
进一步的,所述步骤3中代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。
进一步的,所述步骤4包括以下子步骤:
步骤4.1:客户端发送维护操作请求;
步骤4.2:代理网关判断客户端的操作的可行性,并记录本次操作内容;
步骤4.3:判断客户端的操作是否符合代理网关制定的安全策略,如果符合客户端的操作符合代理网关制定的安全策略,代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求。
步骤4.4:代理网关审计FTP服务器的处理结果,并将其返回到客户端。
本发明的有益效果是:实现对FTP服务器系统的安全防护,让FTP服务器的操作、管理和运行更加可视、可控、可管理、可实现跟踪审计,解决FTP服务器系统级别的安全问题、安全威胁,为企业IT环境中FTP服务器的正常有序运行,提供可靠的安全保障。
附图说明
图1为本发明流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种基于网关代理方式的FTP协议操作管控的实现方法,它包括以下步骤:
步骤1:客户端登陆管理平台进行认证;
步骤2:认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;
步骤3:客户端通过代理网关连接到FTP服务器;
步骤3.1:客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;
步骤3.2:认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。
代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。
步骤4:客户端进行维护操作,客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。
所述步骤4包括以下子步骤:
步骤4.1:客户端发送维护操作请求;
步骤4.2:代理网关判断客户端的操作的可行性,并记录本次操作内容;
步骤4.3:判断客户端的操作是否符合代理网关制定的安全策略,符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;客户端的操作不符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求。
步骤4.4:代理网关审计FTP服务器的处理结果,并将其返回到客户端。
本发明实现了FTP服务器上的操作可视、操作命令可控以及对客户端的操作行为跟踪和审计。
FTP服务器上的操作可视,即代理网关实时的捕获客户端的操作命令,客户端可直接显示FTP服务器上发生过的操作命令及其运行结果,实现FTP服务器的实时监控功能;
操作命令可控,即代理网关实时捕获客户端使用的操作命令,并对其可行性作出判断和处理,通过设置安全策略约束不同用户的操作行为,制定命令黑白名单,对非法和无权限命令进行阻断和告警处理,违反安全策略的操作命令,将被禁止执行并发出告警信息,实现FTP命令执行的管控功能;
对客户端的操作行为跟踪和审计,即代理网关对所有FTP流量进行分析,对客户端的操作行为及其结果进行查询和还原,跟踪并记录客户端在FTP服务器上的操作过程,查看客户端在FTP服务器上的所有操作行为。
本发明中的管理平台实现基础配置、系统管理以及人机交互功能,代理网关实现核心FTP协议数据的通信代理和分析处理功能,
FTP有两种工作模式,主动模式(Active FTP)和被动模式(Passive FTP)。这两种模式都是从服务器的角度来说的,服务器主动连接客户端的模式叫做主动模式,服务器被动等待客户端来连接的模式叫做被动模式。
本发明通过技术手段和管理手段,使原来混乱和不安全的FTP服务得到有效的管理和控制,进一步满足了企业IT环境中对FTP服务的内部控制和审计要求。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,它包括以下步骤:
步骤1:客户端登陆管理平台进行认证;
步骤2:认证通过后,选择要维护的FTP服务器,管理平台自动调用客户端,并对FTP账号信息进行自动填充;
步骤3:客户端通过代理网关连接到FTP服务器;
步骤4:客户端进行维护操作,代理网关对客户端的操作命令进行相应的分析处理,包括代理网关实时捕获客户端的操作命令并判断其可行性,记录客户端的操作行为及运行结果,或审计客户端的操作行为。
2.根据权利要求1所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤3包括以下子步骤:
步骤3.1:客户端通过管理平台的自动调用连接至代理网关,代理网关对连接请求进行认证;
步骤3.2:认证成功后,代理网关将客户端连接到FTP服务器,并建立FTP通信通道。
3.根据权利要求1或2所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤3中代理网关自动实现FTP主动模式和被动模式识别,并自动适配工作模式,将客户端连接到目标FTP服务器。
4.根据权利要求3所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤4包括以下子步骤:
步骤4.1:客户端发送维护操作请求;
步骤4.2:代理网关判断客户端的操作的可行性,并记录本次操作内容;
步骤4.3:判断客户端的操作是否符合代理网关制定的安全策略,如果符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求;
步骤4.4:代理网关审计FTP服务器的处理结果,并将其返回到客户端。
5.根据权利要求1或2所述的一种基于网关代理方式的FTP协议操作管控的实现方法,其特征在于,所述步骤4包括以下子步骤:
步骤4.1:客户端发送维护操作请求;
步骤4.2:代理网关判断客户端的操作的可行性,并记录本次操作内容;
步骤4.3:判断客户端的操作是否符合代理网关制定的安全策略,如果符合则代理网关将客户端的维护操作请求发送至FTP服务器进行处理;如果客户端的操作不符合符合代理网关制定的安全策略,代理网关阻断客户端的维护操作请求;
步骤4.4:代理网关审计FTP服务器的处理结果,并将其返回到客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110066091A CN102333107A (zh) | 2011-03-18 | 2011-03-18 | 一种基于网关代理方式的ftp协议操作管控的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110066091A CN102333107A (zh) | 2011-03-18 | 2011-03-18 | 一种基于网关代理方式的ftp协议操作管控的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102333107A true CN102333107A (zh) | 2012-01-25 |
Family
ID=45484710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110066091A Pending CN102333107A (zh) | 2011-03-18 | 2011-03-18 | 一种基于网关代理方式的ftp协议操作管控的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102333107A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172114A (zh) * | 2016-03-08 | 2017-09-15 | 深圳市深信服电子科技有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
| CN114124935A (zh) * | 2021-11-18 | 2022-03-01 | 北京明朝万达科技股份有限公司 | Ftp服务的实现方法、系统、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627687A (zh) * | 2003-12-12 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 文件传输代理系统及方法 |
| CN101741846A (zh) * | 2009-12-22 | 2010-06-16 | 联想网御科技(北京)有限公司 | 文件下载的方法、装置及系统 |
-
2011
- 2011-03-18 CN CN201110066091A patent/CN102333107A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1627687A (zh) * | 2003-12-12 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 文件传输代理系统及方法 |
| CN101741846A (zh) * | 2009-12-22 | 2010-06-16 | 联想网御科技(北京)有限公司 | 文件下载的方法、装置及系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107172114A (zh) * | 2016-03-08 | 2017-09-15 | 深圳市深信服电子科技有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
| CN107172114B (zh) * | 2016-03-08 | 2020-06-16 | 深信服科技股份有限公司 | 基于显式代理环境中访问ftp资源的方法及代理服务器 |
| CN114124935A (zh) * | 2021-11-18 | 2022-03-01 | 北京明朝万达科技股份有限公司 | Ftp服务的实现方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105139139B (zh) | 用于运维审计的数据处理方法和装置及系统 | |
| CN101931626B (zh) | 远程控制过程中实现安全审计功能的服务终端 | |
| CN103117993B (zh) | 用于提供过程控制系统的防火墙的方法、装置及制品 | |
| CN110443048A (zh) | 数据中心查数系统 | |
| CN106330919A (zh) | 一种运维安全审计方法及系统 | |
| CN104184735A (zh) | 电力营销移动应用安全防护系统 | |
| CN104718526A (zh) | 安全移动框架 | |
| CN104166812A (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
| CN109698821B (zh) | 跨区漏洞库共享与协同处置系统和方法 | |
| CN104754582A (zh) | 维护byod安全的客户端及方法 | |
| CN103747089A (zh) | 一种基于堡垒机的文件传输审计系统及方法 | |
| CN113783871B (zh) | 一种采用零信任架构的微隔离防护系统及其防护方法 | |
| CN105635046A (zh) | 一种数据库命令行过滤、阻断审计方法和装置 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN102333068B (zh) | 一种基于ssh、sftp隧道智能管控系统及方法 | |
| US20060129587A1 (en) | Method and system for automated risk management of rule-based security | |
| CN110601889A (zh) | 实现安全反溯源深度加密受控网络链路资源调度管理的系统及方法 | |
| CN108388779A (zh) | 一种便携式自动印章机及管理系统,及其管理控制方法 | |
| CN112417391A (zh) | 信息数据安全处理方法、装置、设备及存储介质 | |
| CN108965317B (zh) | 一种网络数据防护系统 | |
| CN102333107A (zh) | 一种基于网关代理方式的ftp协议操作管控的实现方法 | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| KR101658064B1 (ko) | 사기 금융 거래 방지 시스템 | |
| CN114257460B (zh) | 一种适用于服务区智能化管理的云架构数据共享方法 | |
| CN110460562A (zh) | 一种pos终端远程激活方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100085 Haidian District, Zhongguancun, South Street, No. 6,, building information, floor, No. 16 Applicant after: SI-TECH Information Technology Ltd. Address before: 100085, Beijing, Haidian District on the nine Street 9 digital science and Technology Plaza, two floor Applicant before: Beijing Digital China SI-TECH Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: BEIJING DIGITAL CHINA SI-TECH INFORMATION TECHNOLOGY LTD. TO: BEIJING SI-TECH INFORMATION TECHNOLOGY LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120125 |