眾所周知在Windows系統(tǒng)和Linux類系統(tǒng)的最大區(qū)別就在于他的非開(kāi)源性，因此在Windows下我們傳輸文件，共享資源主要通過(guò)FTP協(xié)議來(lái)實(shí)現(xiàn)，和以前的TFTP協(xié)議相比FTP提供了必要的安全保證措施，然而對(duì)于一些要求網(wǎng)絡(luò)安全級(jí)別比較高，需要嚴(yán)格防范傳輸數(shù)據(jù)被監(jiān)聽(tīng)工具竊取的情況來(lái)說(shuō)，F(xiàn)TP協(xié)議就無(wú)法勝任了，這時(shí)我們應(yīng)該尋找更加安全的傳輸協(xié)議來(lái)保證服務(wù)器的安全。今天筆者就為各位IT168的讀者介紹在Windows下如何通過(guò)sftp打造安全傳輸。

　　一、什么是sftp？
　　一般來(lái)說(shuō)兩臺(tái)機(jī)器間的文件傳輸，除了常用的ftp以外，還可以通過(guò)scp/sftp協(xié)議（就是本文介紹的sftp）進(jìn)行。下面我們就來(lái)看看sftp協(xié)議與ftp協(xié)議之間的差別。
　?。?）和ftp不同的是sftp/scp傳輸協(xié)議默認(rèn)是采用加密方式來(lái)傳輸數(shù)據(jù)的，scp/sftp確保傳輸?shù)囊磺袛?shù)據(jù)都是加密的。而ftp一般來(lái)說(shuō)允許明文傳輸，當(dāng)然現(xiàn)在也有帶SSL的加密ftp，有些服務(wù)器軟件也可以設(shè)置成“只允許加密連接”，但是畢竟不是默認(rèn)設(shè)置需要我們手工調(diào)整，而且很多用戶都會(huì)忽略這個(gè)設(shè)置。
　?。?）普通ftp僅使用端口21作為命令傳輸。由服務(wù)器和客戶端協(xié)商另外一個(gè)隨機(jī)端口來(lái)進(jìn)行數(shù)據(jù)傳送。在pasv模式下，服務(wù)器端需要偵聽(tīng)另一個(gè)口。假如服務(wù)器在路由器或者防火墻后面，端口映射會(huì)比較麻煩，因?yàn)闊o(wú)法提前知道數(shù)據(jù)端口編號(hào)，無(wú)法映射。（現(xiàn)在的ftp服務(wù)器大都支持限制數(shù)據(jù)端口隨機(jī)取值范圍，一定程度上解決這個(gè)問(wèn)題，但仍然要映射21號(hào)以及一個(gè)數(shù)據(jù)端口范圍，還有些服務(wù)器通過(guò)UPnP協(xié)議與路由器協(xié)商動(dòng)態(tài)映射，但比較少見(jiàn)）
　?。?）當(dāng)你的網(wǎng)絡(luò)中還有一些unix系統(tǒng)的機(jī)器時(shí)，在它們上面自帶了scp等客戶端，不用再安裝其它軟件來(lái)實(shí)現(xiàn)傳輸目的。
　　（4）scp/sftp屬于開(kāi)源協(xié)議，我們可以免費(fèi)使用不像FTP那樣使用上存在安全或版權(quán)問(wèn)題。所有scp/sftp傳輸軟件（服務(wù)器端和客戶端）均免費(fèi)并開(kāi)源，方便我們開(kāi)發(fā)各種擴(kuò)展插件和應(yīng)用組件。
　　小提示：當(dāng)然在提供安全傳輸?shù)那疤嵯聅ftp還是存在一些不足的，例如他的帳號(hào)訪問(wèn)權(quán)限是嚴(yán)格遵照系統(tǒng)用戶實(shí)現(xiàn)的，只有將該帳戶添加為操作系統(tǒng)某用戶才能夠保證其可以正常登錄sftp服務(wù)器。

　　二、下載所需程序：
　　本文介紹的所有工具都不是誕生于windows系統(tǒng)的，他們是從unix移植過(guò)來(lái)的，配置方式仍然使用了conf文件的方式，幾乎沒(méi)有圖形界面。而且這些配置文件一般用unix換行符，所以建議各位讀者使用ultraedit等工具而不是notepad來(lái)編輯，一是確保能正常顯示，二是確保保存時(shí)不會(huì)破壞它的格式導(dǎo)致服務(wù)程序無(wú)法讀取。
　　服務(wù)器端我們使用openssh，它自帶了cygwin環(huán)境以及scp/sftp的服務(wù)器（sftp是ssh的一個(gè)“子服務(wù)”，在ssh通道中使用某個(gè)命令在需要時(shí)激活）。
　　打開(kāi)瀏覽器訪問(wèn)下載SSHWindows-Installer，在該頁(yè)面中我們下載SSHWindows-Installer， 3.8p1-1 20040709 Build這個(gè)程序即可。

　　而客戶端我們則采用的是winscp軟件，他是一款圖形化界面的軟件，界面操作類似于ftp軟件，很好上手。我們到http://sourceforge.net/project/showfiles.php?group_id=85589這個(gè)地址下載WinSCP 3.8.2.（如圖2）

　　三、配置sftp服務(wù)端：
　　sftp服務(wù)端的安裝與配置還是比較簡(jiǎn)單的，通過(guò)幾條命令就可以開(kāi)啟sftp服務(wù)。
　　第一步：將之前下載的sftp服務(wù)端解壓縮，然后直接運(yùn)行主程序。點(diǎn)“NEXT”按鈕進(jìn)行下面的操作。（如圖3）

　　第二步：在許可協(xié)議窗口處填寫(xiě)“同意”并點(diǎn)“下一步”按鈕繼續(xù)。（如圖4）

　　第三步：在接下來(lái)的配置窗口中選擇要安裝的組件，從界面中我們可以看到包括client（客戶端）與server（服務(wù)器端），實(shí)際上我們只需要服務(wù)器端，而客戶端我們使用之前下載的WinSCP 3.8.2即可。選擇相應(yīng)的服務(wù)器端組件后點(diǎn)“下一步”按鈕繼續(xù)。（如圖5）

　　第四步：選擇程序安裝的路徑，默認(rèn)是c：\program files\openssh，建議大家不修改這個(gè)缺省地址。（如圖6）

　　第五步：默認(rèn)情況下openssh將添加一個(gè)應(yīng)用程序到開(kāi)始程序中，名字叫做openssh for windows.（如圖7）

　　第六步：安裝的最后openssh會(huì)自動(dòng)建立ssh安全加密key，保證SSH傳輸過(guò)程中的安全可靠。（如圖8）

　　第七步：完成所有安裝工作，點(diǎn)“完成”按鈕回到桌面。（如圖9）

　　第八步：接下來(lái)就要啟動(dòng)該服務(wù)了，我們通過(guò)“開(kāi)始->運(yùn)行->輸入CMD后回車”進(jìn)入到命令提示窗口，然后通過(guò)cd命令定位到c：\programfiles\openssh\bin目錄。（如圖10）

　　第九步：依次執(zhí)行mkgroup -l >> ……\etc\group mkpasswd -l >> ……\etc\passwd命令，這樣你目前windows本地帳戶中的用戶就都可以登錄該sftp服務(wù)器了，他們自對(duì)文件目錄的訪問(wèn)權(quán)限和NTFS權(quán)限一致。此步驟相當(dāng)于FTP中的建立訪問(wèn)帳號(hào)。（如圖11）

　　第十步：添加完各個(gè)訪問(wèn)帳戶后我們可以到c：\program files\openssh\etc目錄中來(lái)查看group和passwd兩個(gè)文件的內(nèi)容，當(dāng)然這些內(nèi)容是經(jīng)過(guò)了加密的。（如圖12）

　　這兩個(gè)文件存儲(chǔ)的都是帳戶相關(guān)信息，正如前面所說(shuō)他們是從unix移植過(guò)來(lái)的，配置方式仍然使用了conf文件的方式，幾乎沒(méi)有圖形界面。而且這些配置文件一般用unix 換行符，建議各位IT168讀者使用ultraedit等工具而不是notepad來(lái)編輯，一是確保能正常顯示，二是確保保存時(shí)不會(huì)破壞它的格式導(dǎo)致服務(wù)程序無(wú)法讀取。（如圖13）

　　第十一步：最后在剛才進(jìn)入的c：\program files\openssh\bin目錄下執(zhí)行net start opensshd命令，這將啟動(dòng)opensshd服務(wù)，我們就可以開(kāi)始訪問(wèn)了。（如圖14）

　　小提示：一般sftp用默認(rèn)的22端口發(fā)布服務(wù)就行。如果你有特殊的原因要把這個(gè)端口改掉，請(qǐng)編輯C：\ProgramFiles\OpenSSH\ etc\sshd_config文件，把這一行改成你要的端口，比如8029，設(shè)置完畢后需要重啟openssh服務(wù)（任何配置改動(dòng)都需要重啟服務(wù)）。

　　至此服務(wù)器端的配置完成，下面我們來(lái)介紹如何在客戶端上訪問(wèn)建立的sftp服務(wù)。
　　小提示：如果以后要繼續(xù)添加訪問(wèn)帳戶的話，首先在windows中加上這個(gè)用戶，例如我們以名為softer的帳戶為例，設(shè)置密碼，確保不要選中“下次登錄必須改密碼”。這個(gè)用戶的權(quán)限和用戶組由你來(lái)決定。然后進(jìn)入c：\program files\openssh\bin目錄，執(zhí)行mkpassword -l -u softer >> ……\etc\passwd命令即可將剛才添加的softer帳戶添加到訪問(wèn)權(quán)限中。說(shuō)白了指令加-u是加單獨(dú)一個(gè)帳戶，沒(méi)有-u參數(shù)的話將把當(dāng)前系統(tǒng)中所有帳戶添加到容許訪問(wèn)sftp服務(wù)器的帳戶列表中。
　　四、配置sftp客戶端：
　　配置sftp客戶端就更加簡(jiǎn)單了，由于之前我們已經(jīng)下載了WinSCP 3.8.2，所以直接運(yùn)行該程序即可出現(xiàn)登錄配置界面。（如圖15）

790)

　　我們根據(jù)實(shí)際填寫(xiě)sftp服務(wù)器的地址和訪問(wèn)帳戶信息，協(xié)議方面保持默認(rèn)的sftp （allow scp fallback）即可，完成設(shè)置后點(diǎn)login登錄按鈕后會(huì)出現(xiàn)“使用提示”信息，不用理會(huì)繼續(xù)即可。（如圖16）

790)

　　登錄進(jìn)入服務(wù)器后我們會(huì)看到界面顯示和我們之前熟悉的ftp登錄工具一樣，特別是和flashfxp登錄FTP服務(wù)器類似。右邊是我們看到的sftp服務(wù)器發(fā)布的目錄。（如圖17）

　　當(dāng)然這個(gè)默認(rèn)發(fā)布目錄可能不是我們希望看到的，如果想要訪問(wèn)你的C盤(pán)，我們可以先把焦點(diǎn)放在服務(wù)器那半邊窗口，然后按ctrl+o，輸入/cygdrive/c并回車，這樣就可以把這個(gè)目錄加到winscp的書(shū)簽或者作為登錄時(shí)的默認(rèn)目錄。（如圖18）

　　五、總結(jié)：
　　當(dāng)我們要關(guān)閉sftp服務(wù)時(shí)只需要在服務(wù)器端對(duì)應(yīng)目錄執(zhí)行net stop opensshd指令即可，這樣對(duì)應(yīng)服務(wù)將自動(dòng)關(guān)閉。（如圖19）另外如果在客戶端上無(wú)法訪問(wèn)sftp服務(wù)器的話，很可能是因?yàn)閄P系統(tǒng)自帶防火墻搗亂，我們關(guān)閉防火墻或者手動(dòng)在windows防火墻配置中允許c：\Program Files\OpenSSH\usr\sbin\sshd.exe程序的執(zhí)行和對(duì)網(wǎng)絡(luò)的訪問(wèn)即可。