如何防止網(wǎng)絡(luò)服務(wù)器受到惡意攻擊

因?yàn)榉?wù)器的IP對(duì)外是透明的，如何防止網(wǎng)絡(luò)服務(wù)器不被黑客入侵。

對(duì)網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓；另外一個(gè)就是惡意的入侵行為，這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。所以我們要保證網(wǎng)絡(luò)服務(wù)器的安全可以說(shuō)就是盡量減少網(wǎng)絡(luò)服務(wù)器受這兩種行為的影響。

  基于windows做操作系統(tǒng)的服務(wù)器在中國(guó)市場(chǎng)的份額以及國(guó)人對(duì)該操作系統(tǒng)的了解程度，我在這里談?wù)剛€(gè)人對(duì)維護(hù)windows網(wǎng)絡(luò)服務(wù)器安全的一些個(gè)人意見(jiàn)。如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為，下面列出個(gè)人的以驗(yàn)。   

（一）采用NTFS文件系統(tǒng)格式

   NTFS是微軟Windows NT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等管理安全特性設(shè)計(jì)的磁盤(pán)格式。NTFS文件系統(tǒng)里你可以為任何一個(gè)磁盤(pán)分區(qū)單獨(dú)設(shè)置訪問(wèn)權(quán)限。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤(pán)分區(qū)。這樣即使黑客通過(guò)某些方法獲得你的服務(wù)文件所在磁盤(pán)分區(qū)的訪問(wèn)權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問(wèn)到保存在其他磁盤(pán)上的敏感信息。   

（二）做好系統(tǒng)備份

每個(gè)星期最好有備份網(wǎng)站服務(wù)器的工作，重要的數(shù)據(jù)建議每天都要備份。   

（三）關(guān)閉不必要的服務(wù)，只開(kāi)該開(kāi)的端口

    關(guān)閉那些不必要開(kāi)的服務(wù)，做好本地管理和組管理。Windows系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒(méi)必要開(kāi)的，甚至可以說(shuō)是危險(xiǎn)的，比如：默認(rèn)的共享遠(yuǎn)程注冊(cè)表訪問(wèn)（Remote Registry Service），系統(tǒng)很多敏感的信息都是寫(xiě)在注冊(cè)表里的，如pcanywhere的加密密碼等。關(guān)閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認(rèn)開(kāi)啟的IIS服務(wù)就告訴對(duì)方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因?yàn)?9是這些操作系統(tǒng)下默認(rèn)的tftp服務(wù)使用的端口。對(duì)端口的進(jìn)一步訪問(wèn)，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對(duì)黑客的入侵都提供了很大的幫助。此外，開(kāi)啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門(mén)戶。

建議對(duì)windows服務(wù)器的，只開(kāi)80,21,1433,還有一個(gè)遠(yuǎn)程端口?？傊?，做好TCP/IP端口過(guò)濾不但有助于防止黑客入侵，而且對(duì)防止病毒也有一定的幫助。  

（四）軟件防火墻、殺毒軟件

必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。

防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等；入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過(guò)濾掉那些帶有入侵和攻擊性質(zhì)的訪問(wèn)。   

（五）開(kāi)啟你的事件日志

雖然開(kāi)啟日志服務(wù)雖然說(shuō)對(duì)阻止黑客的入侵并沒(méi)有直接的作用，但是通過(guò)他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過(guò)什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門(mén)，我們的服務(wù)器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設(shè)置密罐，等待黑客來(lái)入侵，在他入侵的時(shí)候把他逮個(gè)正著。  

（六）對(duì)RAS使用回叫功能

Windows NT最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)(RAS)的支持。不幸的是，一個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所需要的一切只是一個(gè)電話號(hào)碼，有時(shí)還需要一點(diǎn)耐心，然后就能通過(guò)RAS進(jìn)入一臺(tái)主機(jī)了。但你可以采取一些方法來(lái)保證RAS服務(wù)器的安全。

你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類(lèi)似的不太變動(dòng)的地方呼叫主機(jī)，我建議你使用回叫功能，它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。因?yàn)檫@個(gè)號(hào)碼是預(yù)先設(shè)定了的，黑客也就沒(méi)有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。

另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問(wèn)單一的服務(wù)器。你可以將用戶通常訪問(wèn)的數(shù)據(jù)放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將遠(yuǎn)程用戶的訪問(wèn)限制在一臺(tái)服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò)。這樣，即使黑客通過(guò)破壞手段來(lái)進(jìn)入主機(jī)，那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上，在這里，他們?cè)斐傻钠茐谋粶p少到了最小。

最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議。我知道的每一個(gè)人都使用TCP/IP協(xié)議作為RAS協(xié)議。考慮到TCP/IP協(xié)議本身的性質(zhì)和典型的用途，這看起來(lái)象是一個(gè)合理的選擇。但是，RAS還支持IPX/SPX和NetBEUI協(xié)議。如果你使用NetBEUI作為你RAS的協(xié)議，你確實(shí)可以迷惑一些不加提防的黑客。     

（七）即時(shí)的下載更新windows補(bǔ)丁程序

    微軟雇傭了一個(gè)程序員團(tuán)隊(duì)來(lái)檢查安全漏洞并修補(bǔ)它們。有時(shí)，這些補(bǔ)丁被捆綁進(jìn)一個(gè)大的軟件包并作為服務(wù)包(service pack)發(fā)布。通常有兩種不同的補(bǔ)丁程序版本:一個(gè)任何人都可以使用的40位的版本和一個(gè)只能在美國(guó)和加拿大使用的128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。如果你現(xiàn)在還在使用40位的服務(wù)包并且生活在美國(guó)或是加拿大，我強(qiáng)烈建議你下載128位的版本。       

（八）:使用一個(gè)強(qiáng)有力的安全政策           

    要提高安全性，另一個(gè)你可以做的工作就是制定一個(gè)好的，強(qiáng)有力的安全策略。確保每一個(gè)人都知道它并知道它是強(qiáng)制執(zhí)行的。這樣的一個(gè)政策需要包括對(duì)一個(gè)在公司機(jī)器上下載未授權(quán)的軟件的員工的嚴(yán)厲懲罰。

如果你使用Windows 2003 Server，你就有可能指定用戶特殊的使用權(quán)限來(lái)使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個(gè)好的用法就是授權(quán)人力資源部來(lái)刪除和禁用一個(gè)帳號(hào)。這樣，人力資源部就可以在一個(gè)行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號(hào)。這樣，不滿的員工就不會(huì)有機(jī)會(huì)來(lái)攪亂公司的系統(tǒng)了。同時(shí)，使用特殊用戶權(quán)限，你就可以授予這種刪除和禁用帳號(hào)權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動(dòng)的權(quán)限了。