如何防止網(wǎng)絡(luò)服務(wù)器受到惡意攻擊

因?yàn)榉?wù)器的IP對外是透明的，如何防止網(wǎng)絡(luò)服務(wù)器不被黑客入侵。

對網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓；另外一個(gè)就是惡意的入侵行為，這種行為更是會導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。所以我們要保證網(wǎng)絡(luò)服務(wù)器的安全可以說就是盡量減少網(wǎng)絡(luò)服務(wù)器受這兩種行為的影響。

  基于windows做操作系統(tǒng)的服務(wù)器在中國市場的份額以及國人對該操作系統(tǒng)的了解程度，我在這里談?wù)剛€(gè)人對維護(hù)windows網(wǎng)絡(luò)服務(wù)器安全的一些個(gè)人意見。如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為，下面列出個(gè)人的以驗(yàn)。   

（一）采用NTFS文件系統(tǒng)格式

   NTFS是微軟Windows NT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。NTFS文件系統(tǒng)里你可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問權(quán)限。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過某些方法獲得你的服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問到保存在其他磁盤上的敏感信息。   

（二）做好系統(tǒng)備份

每個(gè)星期最好有備份網(wǎng)站服務(wù)器的工作，重要的數(shù)據(jù)建議每天都要備份。   

（三）關(guān)閉不必要的服務(wù)，只開該開的端口

    關(guān)閉那些不必要開的服務(wù)，做好本地管理和組管理。Windows系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒必要開的，甚至可以說是危險(xiǎn)的，比如：默認(rèn)的共享遠(yuǎn)程注冊表訪問（Remote Registry Service），系統(tǒng)很多敏感的信息都是寫在注冊表里的，如pcanywhere的加密密碼等。關(guān)閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認(rèn)開啟的IIS服務(wù)就告訴對方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因?yàn)?9是這些操作系統(tǒng)下默認(rèn)的tftp服務(wù)使用的端口。對端口的進(jìn)一步訪問，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門戶。

建議對windows服務(wù)器的，只開80,21,1433,還有一個(gè)遠(yuǎn)程端口?？傊龊肨CP/IP端口過濾不但有助于防止黑客入侵，而且對防止病毒也有一定的幫助。  

（四）軟件防火墻、殺毒軟件

必要的組件：防火墻、入侵檢測系統(tǒng)、路由系統(tǒng)等。

防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等；入侵檢測系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。   

（五）開啟你的事件日志

雖然開啟日志服務(wù)雖然說對阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務(wù)器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設(shè)置密罐，等待黑客來入侵，在他入侵的時(shí)候把他逮個(gè)正著。  

（六）對RAS使用回叫功能

Windows NT最酷的功能之一就是對服務(wù)器進(jìn)行遠(yuǎn)程訪問(RAS)的支持。不幸的是，一個(gè)RAS服務(wù)器對一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個(gè)電話號碼，有時(shí)還需要一點(diǎn)耐心，然后就能通過RAS進(jìn)入一臺主機(jī)了。但你可以采取一些方法來保證RAS服務(wù)器的安全。

你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類似的不太變動的地方呼叫主機(jī)，我建議你使用回叫功能，它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號碼再次接通用戶。因?yàn)檫@個(gè)號碼是預(yù)先設(shè)定了的，黑客也就沒有機(jī)會設(shè)定服務(wù)器回叫的號碼了。

另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問單一的服務(wù)器。你可以將用戶通常訪問的數(shù)據(jù)放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將遠(yuǎn)程用戶的訪問限制在一臺服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò)。這樣，即使黑客通過破壞手段來進(jìn)入主機(jī)，那么他們也會被隔離在單一的一臺機(jī)器上，在這里，他們造成的破壞被減少到了最小。

最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議。我知道的每一個(gè)人都使用TCP/IP協(xié)議作為RAS協(xié)議?？紤]到TCP/IP協(xié)議本身的性質(zhì)和典型的用途，這看起來象是一個(gè)合理的選擇。但是，RAS還支持IPX/SPX和NetBEUI協(xié)議。如果你使用NetBEUI作為你RAS的協(xié)議，你確實(shí)可以迷惑一些不加提防的黑客。     

（七）即時(shí)的下載更新windows補(bǔ)丁程序

    微軟雇傭了一個(gè)程序員團(tuán)隊(duì)來檢查安全漏洞并修補(bǔ)它們。有時(shí)，這些補(bǔ)丁被捆綁進(jìn)一個(gè)大的軟件包并作為服務(wù)包(service pack)發(fā)布。通常有兩種不同的補(bǔ)丁程序版本:一個(gè)任何人都可以使用的40位的版本和一個(gè)只能在美國和加拿大使用的128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。如果你現(xiàn)在還在使用40位的服務(wù)包并且生活在美國或是加拿大，我強(qiáng)烈建議你下載128位的版本。       

（八）:使用一個(gè)強(qiáng)有力的安全政策           

    要提高安全性，另一個(gè)你可以做的工作就是制定一個(gè)好的，強(qiáng)有力的安全策略。確保每一個(gè)人都知道它并知道它是強(qiáng)制執(zhí)行的。這樣的一個(gè)政策需要包括對一個(gè)在公司機(jī)器上下載未授權(quán)的軟件的員工的嚴(yán)厲懲罰。

如果你使用Windows 2003 Server，你就有可能指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個(gè)好的用法就是授權(quán)人力資源部來刪除和禁用一個(gè)帳號。這樣，人力資源部就可以在一個(gè)行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號。這樣，不滿的員工就不會有機(jī)會來攪亂公司的系統(tǒng)了。同時(shí)，使用特殊用戶權(quán)限，你就可以授予這種刪除和禁用帳號權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動的權(quán)限了。