文件傳輸協議 (FTP) 是一種網路協議,旨在有效地將檔案從一台電腦傳輸到另一台電腦。檔案可以上傳至 FTP 伺服器或從 FTP 伺服器下載。
FTP 是不尋常的,因為它在用戶端和服務器之間開啟兩個不同的 TCP 連接。 一個連接負責在用戶端和服務器之間傳輸控制信息,而另一個連接用於實際文件傳輸。
在大多數情況下,FTP 連線始於用戶端對伺服器進行驗證。 用戶端驗證後,他們可以存取命令行介面,允許他們將各種命令發送到伺服器。 例如,GET 可用於下載文件,而 SEND 用於上傳。 用戶端也可以變更目錄並在伺服器上執行其他動作。
所有這些命令都是透過 FTP 命令連線傳送。 在用戶端和伺服器之間傳輸的任何資料 (例如上傳或下載的檔案) 都會透過資料連線移動。
FTP 旨在提供大規模數據傳輸的有效方式。 雖然其他通訊協定 (例如電子郵件) 可以適用於較小的檔案,但 FTP 可以為多 GB 檔案提供高效、高效能的資料傳輸。 這種高效的文件傳輸對各種目的很有用。 例如,公司可以使用 FTP 作為其核心備份流程的一部分,或在伺服器之間將大型檔案移入和移出基於雲端的基礎架構。
與網際網路的許多基礎通訊協定一樣,FTP 最初並不是為了安全而設計。 事實上,FTP 透過網路以明文形式傳送使用者名稱和密碼,並且不會對傳輸中的資料進行加密。
這對使用 FTP 的組織帶來重大的安全風險。 能夠竊聽 FTP 流量的攻擊者可收集使用者名稱和密碼,這些使用者可以存取 FTP 伺服器和其他可能存取其他帳戶。 此外,攻擊者可能會竊取透過 FTP 傳輸的敏感資料,或修改傳輸中的資訊。
為了解決這些安全風險,原始 FTP 通訊協定已更新或以更安全的變體取代。 例如,FTPS 將 FTP 連線封裝在SSL/TLS中,從而提供驗證、加密和完整性保護。另外,SFTP 是同等通訊協定,它使用安全命令介面 (SSH) 通訊協定透過網際網路安全地傳輸檔案。
FTP 是一種非常有用的協議,可以透過網路有效地移動大量資料。因此,它多年來收到了更新和增強功能,以解決其重大安全問題。 存在的一些不同類型的 FTP 包括:
匿名 FTP:匿名 FTP 不需要使用者向 FTP 伺服器進行身份驗證即可上傳或下載數據,且不使用加密。雖然這有時會用於提供對公開可用的數據的訪問,但如果用於更敏感的信息,則會產生重大的安全風險。
受密碼保護的 FTP:受密碼保護的 FTP 工作與匿名 FTP 類似,也使用連接埠 20 和 21。 它缺乏加密,但需要使用者向 FTP 伺服器進行身份驗證。
FTP 安全性 (FTPS):FTPS 透過使用 SSL/TLS 包裝連線來為 FTP 協定新增加密和驗證。它預設使用連接埠 990 進行其資料連線。
透過明確的 SSL/TLS (FTPES) FTP:FTPES 以通訊埠 21 上的正常 FTP 連線開始。 但是,然後將它升級為 SSL/TLS 加密的連接。
安全 FTP (SFTP):SFTP 是與 FTP 不同的通訊協定,但執行相同的目的。 它在 SSH 上運行,並與其他安全的 FTP 變體一樣提供加密、經過驗證的文件傳輸。
未受管理和不安全的 FTP 連線可能會對組織的帳戶和資料安全性造成重大風險。 這些連線可能會洩漏使用者認證和敏感資料給攻擊者。
FTP(無論安全與否)也對資料外洩防護(DLP) 構成威脅。作為大量檔案傳輸協議,FTP 非常適合從公司網路中竊取大量敏感資料。
Check Point 的次世代防火牆 (NGFW) 整合了 FTP 安全功能。其中一個功能是狀態檢查,只有在觀察相關的 FTP 控制連接後才允許 FTP 數據連接。 Check Point NGFW 還包括針對 FTP 和其他協定的整合式資料安全控制和DLP 。請參閱本購買指南,了解有關 NGFW 中的注意事項的更多信息。
如果 FTP 正確且安全地使用,則對組織來說可能是一個寶貴的協議。 Check Point NGFW 可以協助組織管理 FTP 安全風險並防止試圖透過 FTP 進行資料外洩。要了解有關 Check Point 的 NGFW 及其為您的組織帶來的好處的更多信息,請立即註冊免費演示。
反映意見