• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

四、 secWall应对FTP防泄密方案

整体效果如下：
　　1. 只有验证通过的加密用户PC-A才能访问FTP服务，加密数据上传到FTP自动解密，从FTP下来的数据自动加密；未经授权的用户PC-B（指没装加密客户端或者装了加密客户端却没登录的电脑）不能访问FTP。
　　2. 即使PC-A通过其他途径将从FTP获得的数据传给PC-B，但是因为从FTP下来的数据已被加密，所以PC-B获得的数据还是加密的，不能正常打开。

配置步骤：
　　在集控服务管理器中增加两个普通用户 FTP_server 和FTP_client。

　　1. 设置用户FTP_server
　　FTP_server 在FTP服务器上登录，用来加密FTP服务的端口（21端口），只有通过验证的用户才能访问。

　　① FTP上的数据不要求加密
　　登录集控服务管理器，双击用户 FTP_server → 高级 → 远程管理 → 添加。确定之后，完成服务器端的设置。

　　注：请优先使用服务的进程名称，比如Windows自带的FTP服务，进程名是 inetinfo.exe；用通配符 * 设置虽然简单，可以匹配所有进程，但在某些复杂情况下有可能引起策略冲突。

　　② FTP服务器上的数据要求加密
　　在①的基础上，进行下一步的设置。这分两种情形：

　　Ⅰ 用户权限里面“隔离策略未定义的行为”没勾选
　　这是默认配置，也是我们推荐的情形，这时只要将FTP目录加密，客户端的数据无论加密与否，上传到服务器后都将被加密。

　　Ⅱ 已经勾选“隔离策略未定义的行为”
　　这种情形很少遇到，以下设置仅作内部参考，方案部署时不予推荐。

　　以Windows自带的FTP为例：
　　将下面内容存为注册表文件，导入后重启计算机完成设置。

　　　　Windows Registry Editor Version 5.00

　　　　//服务依存关系,让 IIS Admin Service 服务后于Mawadata secWall Clinet Service服务启动
　　　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IISADMIN]
　　　　"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,53,00,61,00,6d,00,\
　　　　  53,00,53,00,00,00,4d,00,57,00,43,00,43,00,53,00,76,00,63,00,00,00,00,00

　　　　//让FTP服务器的用户默认后台登录
　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Mawadata\secWall\MWCCSvc]
　　　　"DefaultUserName"="FTP_service"
　　　　"DefaultPassword"="FTP_service"

　　目的是保证在FTP服务启动之前，获取secWall服务器下发的策略。

　　网络不通导致的顺序紊乱这里仅作备注，不作讨论。

　　2. 设置用户FTP_client
　　FTP_client在需要访问FTP服务的客户端上登录，必须将FTP服务器设为可信安全区域，才能把涉密数据传上去。

　　双击用户 FTP_client → 高级 → 可信安全区域 → 添加。

　　“连接后涉密”的作用是从FTP服务器下下来的数据自动加密。

关联文档

• FTP数据防泄密部署方案（一）
   
• FTP数据防泄密部署方案（二）
   
• FTP数据防泄密部署方案（三）