系统集成论坛
标题:
如何保证服务器安全稳定运营
[打印本页]
作者:
dkf910102
时间:
2012-6-26 10:41
标题:
如何保证服务器安全稳定运营
随着互联网的快速发展,互联网上的各种攻击手段源源不断,近些年来,服务器遭受的风险也比以前更大了。越来越多的病毒,心怀不轨的黑客,以及那些商业间谍都将服务器作为了自己的目标。很显然,服务器的安全面临着很大的威胁。那么如何保证服务器不受网络攻击是我们最关心的话题,以前有很多这方面的技术文章,这里我在老话长谈,或许有些内容对大家是有帮助的,不多说了,下面就跟大家谈谈服务器安全维护的五大技巧:
一:从基本安全做起
我知道这听起来象是废话,但是当我们谈论网络服务器的安全的时候,我所能给你的最好的建议就是不要做门外汉。当黑客开始对你的网络发起攻击的时候,他们首先会检查是否存在一般的安全漏洞,然后才会考虑难度更加高一点的突破安全系统的手段。因此,比方说,当你服务器上的数据都存在于一个FAT的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的。
因为这个原因,你需要从基本做起。你需要将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的。同样,你还需要将所有的反病毒软件及时更新。我建议你同时在服务器和桌面终端上运行反病毒软件。这些软件还应该配置成每天自动下载最新的病毒数据库文件。你还更应该知道,可以为Exchange Server安装反病毒软件。这个软件扫描所有流入的电子邮件,寻找被感染了的附件,当它发现一个病毒时,会自动将这个被感染的邮件在到达用户以前隔离起来。
另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间。一个通常在白天工作的临时员工不应该被允许在临晨三点的时候访问网络,除非那个员工的主管告诉你那是出于一个特殊项目的需要。
最后,记住用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码。在Windows NT Server资源包里有一个很好的用于这个任务的工具。你还应该经常将一些过期密码作废并更新还要要求用户的密码不得少于八个字符。如果你已经做了这所有的工作但还是担心密码的安全,你可以试一试从互联网下载一些黑客工具然后自己找出这些密码到底有多安全。
二:定期进行网站备份
每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害。但是,安全的问题远不止是备份那么简单。大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞。
要理解这是为什么,试想一下,大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。整个备份的过程通常是在半夜的时候结束,这取决于你有多少数据要备份。现在,想象一下,时间已经到了早晨四点,你的备份工作已经结束。但是,没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们。
不过,你可以阻止这种事情的发生。首先,可以通过密码保护你的磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。其次,你可以将备份程序完成工作的时间定在你早晨上班的时间。这样的话,即使有人前一天半夜想要溜进来偷走磁带的话,他们也会因为磁带正在使用而无法得逞。如果窃贼还是把磁带弹出来带走的话,磁带上的数据也就毫无价值了。
三:经常升级补丁程序
微软雇佣了一个程序员团队来检查安全漏洞并修补它们。有时,这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布。通常有两种不同的补丁程序版本:一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。如果你现在还在使用40位的服务包并且生活在美国或是加拿大,我强烈建议你下载128位的版本。
有时一个服务包的发布也许要等上好几个月--很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就不想再等下去。好在你并不需要等待。微软定期将重要的补丁程序发布在它的FTP站点上。这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。我建议你经常查看热点补丁。记住你一定要按逻辑顺序使用这些补丁。如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,Windows也可能停止工作。
四:策划有效的安全政策
要提高安全性,另一个你可以做的工作就是制定一个好的,强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。
如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样,人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样,不满的员工就不会有机会来搅乱公司的系统了。同时,使用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。
试一试免费的TechProGuild吧! 如果你觉得这篇文章有用,可以看看TechRepublic的TechProGuild注册资源,它提供有深度的技术文章,覆盖了一些IT的主题,包括Windows服务器和客户端平台,Linux,疑难解答问题,和数字网络项目的难点,以及NetWare。拥有一个TechProGuild的帐户,你还可以在线阅读流行的IT工业书籍的全文。点击这里注册享受30天免费的TechProGuild试用期。
五:经常检查防火墙
我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。
你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。但是,工作站和其他服务器的IP地址必须被隐藏起来。
你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通讯,因此你可能并不想堵掉这个端口。但是,你也许永远都不会用端口81因此它应该被关掉。你可以在Internet上找到每个端口使用用途的列表。
上面是服务器安全维护的几个技巧,希望对大家有帮助,还需要大家亲手操作总结经验才行,好了,这次就跟大家谈到这里了,如果你有什么疑问可以再下方留言。本文来源:美国服务器 香港服务器,欢迎大家转载!
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1