網(wǎng)站服務(wù)器的安全配置

首先講網(wǎng)絡(luò)安全的定義：
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。
網(wǎng)絡(luò)安全的種類很多，這里單講網(wǎng)站服務(wù)器的安全配置，有效防范服務(wù)器被入侵。

一 主機的安全配置
1.裝殺毒軟件、防火墻、這些都是必備的也是基本的，還有就是勤打官方的補丁。
2.推薦幾款安全工具，360安全衛(wèi)士能掃描你系統(tǒng)的漏洞，然后下載補丁修補，間諜軟件，惡意插件，靠他查殺。
冰刃 系統(tǒng)分析特別強，分析系統(tǒng)正在運行的程序 ，開放的端口、內(nèi)核模塊,系統(tǒng)啟動加載的軟件、開放的服務(wù)，等等功能十分強大 可以輔助管理員查找木馬。
3.做安全配置首先將：net.exe，cmd.exe，netstat.exe，regedit.exe，at.exe，attrib.exe， cacls.exe，這些文件都設(shè)置只允許administrators訪問。
還有將FTP.exe TFTP.exe
這樣命令黑客可以執(zhí)行 下載黑客電腦的木馬 安裝到服務(wù)器 所以要改名把135、445、139、這些端口都要關(guān)閉
4.在“網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，只安裝了基本的Internet協(xié)議 （TCP/IP）在高級tcp/ip設(shè)置里-- “NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS。
5.把不必要的服務(wù)都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說，多余的東西就沒必要開啟，減少一份隱患。
6.在屏幕保護，勾選上在恢復(fù)時使用密碼保護，萬一系統(tǒng)被黑客鏈接上 他不知道帳號密碼也是沒用的。
7.系統(tǒng)自帶的TCP/IP篩選只開發(fā)你需要的端口，比如你只開放WEB服務(wù)和FTP服務(wù)，那么你就用TCP/IP篩選把其他端口過濾掉，只開放80和21端口。這樣就減少許多比必要的麻煩黑客就不會利用其他端口入侵你了。

二 ，WEB服務(wù)器的安全配置
1.你的WEB服務(wù)哪些目錄允許解析哪些目錄不允許解析 。比如存放附件的目錄很容易讓黑客在前臺上傳木馬，黑客會利用得到管理員權(quán)限后，利用后臺的一些功能 把附件改名為.ASP或者其他。 如果Web服務(wù)器解析了這個目錄的話就會執(zhí)行黑客的網(wǎng)頁木馬，所以放附件的目錄，或者沒有其他無執(zhí)行腳本程序目錄，應(yīng)該在Web服務(wù)器上設(shè)置這些目錄不能解析
2.就是你這套整站程序是什么整站系統(tǒng)的的,要常關(guān)注官方的補丁 勤打補,你用的那套WEB系統(tǒng)有什么漏洞,如果有漏洞請及時修補.

三，防止ASP木馬在服務(wù)器上運行
1、刪除FileSystemObject組件
2、刪除WScript.Shell組件
3、刪除Shell.Application組件
4、禁止調(diào)用Cmd.exe
關(guān)于如何刪除由于時間關(guān)系我就不詳細(xì)說了

還有就是FTP服務(wù)器，大家千萬不要用SERV-U
SERV-U一直以來有個大漏洞，攻擊者可以利用它，創(chuàng)建一個系統(tǒng)管理員的帳號，用終端3389登錄。

四，注入漏洞的防范
1、 ASP程序連接 SQL Server 的賬號不要使用sa,和任何屬于Sysadmin組的賬號，盡量避免應(yīng)用服務(wù)有過高的權(quán)限,應(yīng)使用一個db_owner權(quán)限的一般用戶來連接數(shù)據(jù)庫。
2、WEB應(yīng)用服務(wù)器與DB服務(wù)器分別使用不同的機器來存放，并且之間最好通過防火墻來進行邏輯隔離，因為除了有程序在探測 sa 沒密碼的SQL Server,SQL Server 本身及大量的擴展存儲過程也有被溢出攻擊的危險
3、數(shù)據(jù)庫服務(wù)器盡量不要與公網(wǎng)進行連接，如果一定要直接提供公網(wǎng)的連接存儲，應(yīng)考慮使用一個不是默認(rèn)端口的端口來鏈接
4、SA一定要設(shè)成強悍的密碼，在默認(rèn)安裝Sql時sa賬號沒有密碼，而一般管理員裝完后也忘了或怕麻煩而不更改密碼
5.DBO可以差異備份.列目錄.SQL用戶不允許訪問硬盤也要設(shè)置.刪除XP_CMDSHELL等SQL組件.為了防止EXEC命令執(zhí)行.
6、不要使用IIS裝好后預(yù)設(shè)的默認(rèn)路徑\Inetpub\WWWRoot路 徑.
7、隨時注意是否有新的補丁需要補上，目前SQL2000最新的補本包為SP4。
8、使用過濾和防注入函數(shù)來過濾掉一些特殊的字符 ，比如單引號'一定要過濾掉。
9、關(guān)閉IIS的錯誤提示 以防止攻擊者獲得ASP的錯誤提示.

五，防范DDOS分布式拒絕服務(wù)攻擊
黑客還會利用DDOS分布式拒絕服務(wù)攻擊，發(fā)送半鏈接數(shù)據(jù)包把你服務(wù)器攻擊直到無法訪問。SYN攻擊是最常見又最容易被利用的一種攻擊手法。 記得2000年YAHOO就遭受到這樣的攻擊。SYN攻擊防范技術(shù)，歸納起來，主要有兩大類，一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護，另一類是通過加固TCP/IP協(xié)議棧防范.但必須清楚的是 ，SYN攻擊不能完全被阻止，我們所做的是盡可能的減輕SYN攻擊的危害，除非將TCP協(xié) 議重新設(shè)計。
1、過濾網(wǎng)關(guān)防護
這里，過濾網(wǎng)關(guān)主要指明防火墻，當(dāng)然路由器也能成為過濾網(wǎng)關(guān)。防火墻部署在不同網(wǎng)絡(luò)之間，防范外來非法攻擊和防止保密信息外泄，它處于客戶端和服務(wù)器之間，利用它來防護SYN攻擊能起到很好的效果。過濾網(wǎng)關(guān)防護主要包括超時設(shè)置，SYN網(wǎng)關(guān)和 SYN代理三種。
2、加固tcp/ip協(xié)議棧
防范SYN攻擊的另一項主要技術(shù)是調(diào)整tcp/ip協(xié)議，修改tcp協(xié)議實現(xiàn)。主要方法有SynAttackProtect保護機制、SYN cookies技術(shù)、增加最大半連接和縮短超時時間等。 tcp/ip協(xié)議棧的調(diào)整可能會引起某些功能的受限，管理員應(yīng)該在進行充分了解和測試的 前提下進行此項工作。為防范SYN攻擊，win2000系統(tǒng)的tcp/ip協(xié)議內(nèi)嵌了SynAttackProtect機制， Win2003系統(tǒng)也采用此機制。SynAttackProtect機制是通過關(guān)閉某些socket選項，增加額外的連接指示和減少超時時間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下，Win2000操作系統(tǒng)并不支持 SynAttackProtect保護機制，需要在注冊表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大連接數(shù)

六，防范ARP欺騙,其實現(xiàn)在方法比較多了下面只談一種手工的防御方法
1．計算機IP地址與MAC綁定
在CMD方式下，鍵入以下命令：
ARP-s IP地址MAC地址
例： ARP-s 192.168.1.100 XX-XX-XX-XX-XX 這樣，就將靜態(tài)IP地址192.168.1.100與網(wǎng)卡地址為XX-XX-XX-XX-XX的計算機綁定在一起了，即使別人盜 用您的IP地址 192.168.1.100，也無法通過代理服務(wù)器上網(wǎng)。
2．交換機端口與MAC綁定
登錄進入交換機，輸入管理口令進入全局配置模式，鍵入命令：
(config) #mac—address—table static＜MAC地址＞vlan＜VLAN號＞interface＜模塊 號／端口號表＞該命令可分配一個靜態(tài)的MAC地址給某些端口，即使重自交換饑，這個 地址也仍然會存在。從此。該端口只允許這個MAC地址對應(yīng)的設(shè)備連接在該端口上送行 通信。用戶通過注冊表等方式更改MAC地址后，交換機拒絕為其通信。

3.Linux下ARP綁定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
執(zhí)行arp -f

補充：
6.組件和權(quán)限
攻擊者現(xiàn)在擁有一個系統(tǒng)的帳號.你完全不用害怕他會改動你的IIS組件內(nèi)設(shè)置.你可以把INTER信息服務(wù)設(shè)置一個密碼.然后把系統(tǒng)*.msc復(fù)制到你指定的一個文件夾.再設(shè)置加密.然后只允許你的帳號使用.接著隱藏起來.那么攻擊者改不了你任何組件.也不能查看和增加刪除.Wscript.shell刪除. Net.exe刪除. Cmd.exe設(shè)置好權(quán)限.所有目錄全部要設(shè)置好權(quán)限.如不需要.除WEB目錄外.其他所有目錄.禁止IIS組用戶訪問.只允許Administrators組進行訪問和修改.還一個變態(tài)權(quán)限的設(shè)置.前面我已經(jīng)說了MSC文件的訪問權(quán)限.你可以設(shè)置Admin,Admin1,Admin2……,admin只賦予修改權(quán)限,admin1只賦予讀取和運行權(quán)限,admin2只賦予列出文件夾和目錄權(quán)限,admin3只賦予寫入權(quán)限,admin4只賦予讀取權(quán)限.然后每個帳戶根據(jù)需要分配配額.這樣的話.就算有VBS腳本.刪除了NET.EXE,對方也提不起權(quán).如果是沒運行權(quán)限的用戶不小心啟動了攻擊者的木馬.那么也沒權(quán)限運行和修改.Windows提供了屏幕保護功能.建議大家還可以安裝一個第三方提供的屏幕保護鎖.那樣你的系統(tǒng)又可以多一重安全保障.建議大家千萬不要使用Pcanywhere等軟件.除非你權(quán)限設(shè)置通過自己的測試了.Pcanywhere有一個文件系統(tǒng),如果權(quán)限沒分配好,用戶可以通過PCANYWHERE的文件系統(tǒng),在啟動項寫木馬.然后等待你登陸.大家沒這需要.建議就用默認(rèn)的3389就好了.端口就算改了別人也可以掃出來.還不如就用默認(rèn)的.攻擊者在獲得你系統(tǒng)權(quán)限并登陸到3389以后.你的第二道安全鎖(第三方系統(tǒng)鎖)把他死死的鎖在外面了.這樣別人就進不了你系統(tǒng)了.記住.千萬不能亂開權(quán)限.不然后果不堪設(shè)想.如果是獨立服務(wù)器.沒必要使用WEB時,請把多余的IIS等服務(wù)關(guān)閉.以免引起不必要的損失.用優(yōu)化大師禁止遠(yuǎn)程注冊表的訪問那些.還有IPC空連接.

【網(wǎng)站服務(wù)器的安全配置】相關(guān)文章：

某網(wǎng)站社區(qū)捐款倡議書(購買服務(wù)器)08-15

設(shè)備服務(wù)器的網(wǎng)絡(luò)安全08-12

淺談web服務(wù)器的安全保護08-12

服務(wù)器安全維護合同08-16

Apache服務(wù)器的安全性及實現(xiàn)辦法08-12

打造安全WINDOWS2003服務(wù)器的終極手段08-12

用IIS建立高安全性Web服務(wù)器08-05

網(wǎng)站安全自查報告02-01

CPLD器件的在系統(tǒng)動態(tài)配置08-06