全面提高FTP服务器的安全性能（2）

四 启用磁盘配额

FTP服务器磁盘空间资源是宝贵的，无限制的让用户使用，势必造成巨大的浪费，因此要对每位FTP用户使用的磁盘空间进行限制。下面笔者以CCEUSER用户为例，将其限制为只能使用100M磁盘空间。

在资源管理器窗口中，右键点击CCE文件夹所在的硬盘盘符，在弹出的菜单中选择“属性”，接着切换到“配额”标签页，选中“启用配额管理”复选框，激活“配额”标签页中的所有配额设置选项，为了不让某些FTP用户占用过多的服务器磁盘空间，一定要选中“拒绝将磁盘空间给超过配额限制的用户”复选框。

然后在“为该卷上的新用户选择默认配额限制”框中选择“将磁盘空间限制为”单选项，接着在后面的栏中输入100，磁盘容量单位选择为“MB”，然后进行警告等级设置，在“将警告等级设置为”栏中输入“96”，容量单位也选择为“MB”，这样就完成了默认配额设置。此外，还要选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”复选框，以便将配额告警事件记录到Windows日志中。

点击配额标签页下方的“配额项”按钮，打开磁盘配额项目对话框，接着点击“配额→新建配额项”，弹出选择用户对话框，选中CCEUSER用户后，点击“确定”按钮，接着在“添加新配额项”对话框中为CCEUSER用户设置配额参数，选择“将磁盘空间限制为”单选项，在后面的栏中输入 “100”，接着在“将警告等级设置为”栏中输入“96”，它们的磁盘容量单位为“MB”，最后点击“确定”按钮，完成磁盘配额设置，这样CCEUSER 用户就只能使用100MB磁盘空间，超过96MB就会发出警告。

五 TCP/IP访问限制

为了保证FTP服务器的安全，还可以拒绝某些IP地址的访问。在默认FTP站点属性对话框中，切换到“目录安全性”标签页，选中“授权访问”单选项，然后在“以下所列除外”框中点击“添加”按钮，弹出“拒绝以下访问”对话框，这里可以拒绝单个IP地址或一组IP地址访问，以单个IP地址为例，选中“单机”选项，然后在“IP地址”栏中输入该机器的IP地址，最后点击“确定”按钮。这样添加到列表中的IP地址都不能访问FTP服务器了。

六 合理设置组策略

通过对组策略项目的修改，也可以增强FTP服务器的安全性。在Windows2000系统中，进入到“控制面板→管理工具”，运行本地安全策略工具。

1. 审核账户登录事件

在本地安全设置窗口中，依次展开“安全设置→本地策略→审核策略”，然后在右侧的框体中找到“审核账户登录事件”项目，双击打开该项目，在设置对话框中选中“成功”和“失败”这两项，最后点击“确定”按钮。该策略生效后，FTP用户的每次登录都会被记录到日志中。

2. 增强账号密码的复杂性

一些FTP账号的密码设置的过于简单，就有可能被“不法之徒”所破解。为了提高FTP服务器的安全性，必须强制用户设置复杂的账号密码。

在本地安全设置窗口中，依次展开“安全设置→账户策略→密码策略”，在右侧框体中找到“密码必须符合复杂性要求”项，双击打开后，选中“已启用”单选项，最后点击“确定”按钮。

然后，打开“密码长度最小值”项，为FTP账号密码设置最短字符限制。这样以来，密码的安全性就大大增强了。

3. 账号登录限制

有些非法用户使用黑客工具，反复登录FTP服务器，来猜测账号密码。这是非常危险的，因此建议大家对账号登录次数进行限制。

依次展开“安全设置→账户策略→账户锁定策略”，在右侧框体中找到“账户锁定阈值”项，双击打开后，设置账号登录的最大次数，如果超过此数值，账号会被自动锁定。接着打开“账户锁定时间”项，设置FTP账号被锁定的时间，账号一旦被锁定，超过这个时间值，才能重新使用。

通过以上几步设置后，用户的FTP服务器就会更加安全，再也不用怕被非法入侵了。