优化企业服务器系统安全环境

  除夕当天，大兵听到一位网友反响情况，其QQ被人偷取，偷取QQ号的人留下话，大意是：我正在练手，你找一个会反盗窃的人来跟我对攻，攻陷了我就把号码还你，攻不下算你倒霉。
  在听到上述事情的同时，不由让大兵想起IDC界一次重大的变乱：2006年晚些工夫，位于北京亦庄网通机房的新网更是在互联网大会当天被黑客打击，是向世人寻衅或是对手的歹意竞争，新网外部并未给出大众答案，我们也是不得而知。
  事情发生后不久，大兵其时跟一位做IDC的朋侪交换，他跟我提到一些情况情况：在黑市，一些人专门从事网络或网站打击业务，由于从业人员的本质相对不是很高，再加近几年加入此地下工作的人员过多，市道市情十分昏暗，现在以2000元人民币的酬劳，根本可以完成一个专业中型网站或宁静级别中级的企业外部网络打击……
  所有这些，只是近几年IT界宁静相干中的一个方面，而所有这些事情、变乱、事故，将宁静推上企业IT管理存眷的一个重点。
  那么，怎样防备打击以更好地保证企业网络正常运转呢？
  对付差别的专项打击，我们有差别的方法来部署以应对，但是我们都了解：在被打击前，我们不知道打击者是采用什么方法来进行打击历程的。
  这可怎样办好呢？
  体系性地部署我们的办事器与网络相干设置！只要这样，我们才能将被打击的大概降到最低！
  技巧一：体系宁静底子设置
  黑客开始对你的网络发起打击的工夫，他们起首会查抄能否存在一样平常的宁静毛病。因而，当你办事器上的数据都存在一个FAT的磁盘分区的工夫，即使安置上天下上所有的宁静软件也不会对你有多大帮助的。
  因而，你需要从根本做起。将办事器上所有包罗了敏感数据的磁盘分区都转换成NTFS格式的。同时，可以为Exchange Server安置反病毒软件，将被熏染的邮件在到达用户以前隔离起来。
  技巧二：保护你的备份
  备份现实上是一个巨大的宁静毛病。应该考虑经过暗码保护你的磁带，而且要是你的备份步伐支持加密功能，你还可以加密这些数据，要是窃贼还是把磁带弹出来带走的话，磁带上的数据也就毫无代价了。
  技巧三：使用RAS回叫功能
  Windows NT最酷的功能之一就是对办事器进行长途拜访(RAS)的支持。不幸的是，一个RAS办事器对一个企图进入你的体系的黑客来说是一扇敞开的大门。黑客们所需要的一切只是一个德律风号码。
  你所要使用的技能将在很大水平上取决于你的长途用户怎样使用RAS。要是长途用户每每是从家里或是类似的不太变动的中央呼叫主机，建议你使用回叫功能，它允 许长途用户登录当前切断连接。然后RAS办事器拨通一个事后定义的德律风号码再次接通用户。黑客也就没有机会设定办事器回叫的号码了。
  另一个可选的办法是限定所有的长途用户都拜访单一的办事器。这样，即使黑客经过粉碎手段来进入主机，那么他们也会被隔离在单一的一台呆板上。
  最后另有一个技巧就是在你的RAS办事器上使用出人意表的协议，迷惑一些不加提防的黑客。
  技巧四：考虑工作站的宁静题目
  工作站是通向办事器的一个端口，在所有的工作站上使用Windows 2000。Windows 2000是一个十分宁静的操纵体系。你也可以使用Windows NT。锁定工作站，使得一些没有宁静拜访权的人想要获得网络配置信息变得困难或是不行能。
  另，一个技能是将工作站的功能限定一个“智慧的”哑终端，让步伐和数据驻留在办事器上但却在工作站上运转。所有安置在工作站上的是一份Windows拷贝以及 一些指向驻留在办事器上的应用步伐的图标。当你点击一个图标运转步伐时，这个步伐将使用本地的资源来运转，而不是斲丧办事器的资源。这比你运转一个完全的 哑终端步伐对办事器造成的压力要小得多。
  技巧五：使用盛行的补丁步伐
  微软雇佣了一个步伐员团队来查抄宁静毛病并修 补它们。这些补丁被捆绑进一个大的软件包并做为办事包(service pack)公布。通常有两种差别的补丁步伐版本:一个40位的版本和一个128位的版本。128位的版本使用128位的加密算法，比40位的版本要宁静得 多。微软定期将紧张的补丁步伐公布在它的FTP站点上。这些热点补丁步伐是自上一次办事包公布当前被公布的宁静修补步伐。要每每检察热点补丁。但要记着一 定要按逻辑次序使用这些补丁。制止招致一些文件的版本错误。
  技巧六：使用强有力的宁静政策
  要提高宁静性，另一个可以做的工作就是订定一个好的，强有力的宁静计谋。确保每一个人都知道它并知道它是逼迫实行的。要是你使用Windows 2000 Server，你就有大概指定用户特殊的使用权限来使用你的办事器而不需要交出管理员的控制权，可以付与这种删除和禁用账号权限并限制创建用户或是变动许 可等这些运动的权限了。
  技巧七：重复查抄防火墙
  防火墙是网络的一个紧张部门，因为它将你公司的盘算机同互联网上那些大概对它们造成破坏的勾引仔们隔离开来。
  你起首要做的事情是确保防火墙不会向外界开放超过必要的任何IP地点。你总是至多要让一个IP地点对外界可见。这个IP地点被使用来进行所有的互联网通讯。要是你另有DNS注册的Web办事器或是电子邮件办事器，它们的IP地点也许也要经过防火墙对外界可见。但是，工作站和其他办事器的IP地点必须被隐蔽起来。
  你还可以检察端口列表验证你已经封闭了所有并不常用的端口地点。比方，TCP/IP 端口80用于HTTP通讯，因而你大概并不想堵失这个端口。但是，你也许永久都不会用端口81，因而它应该被关失。你可以在Internet上找到每个端口使用用途的列表。
  要是你不盼望紧急的数据被病毒或是黑客粉碎或是被一个大概用这些数据来敷衍你的人窃取。就必须掌握一些维护办事器宁静的技巧来保证它的宁静。
  堵住路由器的毛病
  对付黑客来说，使用路由器的毛病发起打击通常是一件比较容易的事情。保护路由器宁静需要网管员在配置和管理路由器历程中接纳相应的宁静步伐。
  堵住宁静毛病
  限制体系物理拜访是确保路由器宁静的最有用要领之一。限制体系物理拜访的要领就是将控制台和终端会话配置成在较短闲置工夫后主动退出体系。制止将调制解调器连接至路由器的辅助端口也很紧张。
  制止身份危急
  黑客常常使用弱口令或默许口令进行打击。加长口令、选用30到60天的口令有用期等步伐有助于防备这类毛病。用户应该启用路由器上的口令加密功能，这样即使黑客可以或许欣赏体系的配置文件，他仍然需要破译密文口令。
  禁用不必要办事
  拥有众多路由办事是件好事，但迩来许多宁静变乱都突显了禁用不需要本地办事的紧张性。另一个需要用户考虑的因素是定时，即使用户确保了部署时期工夫同步，经 过一段工夫后，时钟仍有大概逐渐失去同步。用户可以使用名为网络工夫协议（NTP）的办事，对照有用准确的工夫源以确保网络上的设置装备摆设时针同步。
  限制逻辑拜访
  限制逻辑拜访重要是借助于公道处理拜访控制列表，使用入站拜访控制将特定办事引导至对应的办事器。为了制止路由器成为DoS打击目的，用户应该拒绝以下流量 进入：没有IP地点的包、采用本地主机地点、播送地点、多播地点以及任何假冒的外部地点的包。用户还可以接纳增长SYN ACK队列长度、缩短ACK超时等步伐来保护路由器免受TCP SYN打击。
  监控配置变动
  用户在对路由器配置进行窜改之后，需要对其进行监控。要是用户使用SNMP，那么一定要选择功能壮大，提供消息加密功能的SNMP。为进一步确保宁静管理，用户可以使用SSH与路由器创建加密的长途会话。配置管理的一个紧张部门就是确保网络使用公道的路由协议。
  实行配置管理
  用户应该实行控制存放、检索及更新路由器配置的配置管理计谋，并将配置备份文档妥善保存在宁静办事器上，以防新配置遇到题目时用户需要更换、重装或回复到原先的配置。
  编后语：
  通看全文，在大兵的明白范畴内，觉得应该另有一些东东需要增补，那就是加上如黑洞等的网络方案优化以及防火墙计谋的有序部署。
  黑洞的设置，可以淘汰不明IP歹意拜访的大概；防火墙计谋的有序部署，可以尽快地找出宁静隐患点，实时地做出应对反响。
  固然，宁静的防备不是绝对的，要是有外部专业人员与外部团结的特例，迂回地绕过网络宁静设置与体系底子宁静设置进行拜访，那是技能再高的宁静工程师也防备不了的；要是采用DDOS等手段猖獗地进行流量打击，企业就算有再壮大的硬防或网络带宽，要是不尽快找不源头以制止，那再高的带宽或更多的资源进行分流，也是无法阻挡的。
  综上，实在我们企业IT管理人员终极可以做的，是只管即便多地将宁静防备的种种手段掌握住，以最大大概地保证网络与体系更长工夫的宁静与稳定。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：