網(wǎng)站服務(wù)器的安全配置

首先講網(wǎng)絡(luò)安全的定義：
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統(tǒng)能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。
網(wǎng)絡(luò)安全的種類很多，這里單講網(wǎng)站服務(wù)器的安全配置，有效防范服務(wù)器被入侵。

一 主機(jī)的安全配置
1.裝殺毒軟件、防火墻、這些都是必備的也是基本的，還有就是勤打官方的補(bǔ)丁。
2.推薦幾款安全工具，360安全衛(wèi)士能掃描你系統(tǒng)的漏洞，然后下載補(bǔ)丁修補(bǔ)，間諜軟件，惡意插件，靠他查殺。
冰刃 系統(tǒng)分析特別強(qiáng)，分析系統(tǒng)正在運(yùn)行的程序 ，開(kāi)放的端口、內(nèi)核模塊,系統(tǒng)啟動(dòng)加載的軟件、開(kāi)放的服務(wù)，等等功能十分強(qiáng)大 可以輔助管理員查找木馬。
3.做安全配置首先將：net.exe，cmd.exe，netstat.exe，regedit.exe，at.exe，attrib.exe， cacls.exe，這些文件都設(shè)置只允許administrators訪問(wèn)。
還有將FTP.exe TFTP.exe
這樣命令黑客可以執(zhí)行 下載黑客電腦的木馬 安裝到服務(wù)器 所以要改名把135、445、139、這些端口都要關(guān)閉
4.在“網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，只安裝了基本的Internet協(xié)議 （TCP/IP）在高級(jí)tcp/ip設(shè)置里-- “NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS。
5.把不必要的服務(wù)都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標(biāo)準(zhǔn)上來(lái)說(shuō)，多余的東西就沒(méi)必要開(kāi)啟，減少一份隱患。
6.在屏幕保護(hù)，勾選上在恢復(fù)時(shí)使用密碼保護(hù)，萬(wàn)一系統(tǒng)被黑客鏈接上 他不知道帳號(hào)密碼也是沒(méi)用的。
7.系統(tǒng)自帶的TCP/IP篩選只開(kāi)發(fā)你需要的端口，比如你只開(kāi)放WEB服務(wù)和FTP服務(wù)，那么你就用TCP/IP篩選把其他端口過(guò)濾掉，只開(kāi)放80和21端口。這樣就減少許多比必要的麻煩黑客就不會(huì)利用其他端口入侵你了。

二 ，WEB服務(wù)器的安全配置
1.你的WEB服務(wù)哪些目錄允許解析哪些目錄不允許解析 。比如存放附件的目錄很容易讓黑客在前臺(tái)上傳木馬，黑客會(huì)利用得到管理員權(quán)限后，利用后臺(tái)的一些功能 把附件改名為.ASP或者其他。 如果Web服務(wù)器解析了這個(gè)目錄的話就會(huì)執(zhí)行黑客的網(wǎng)頁(yè)木馬，所以放附件的目錄，或者沒(méi)有其他無(wú)執(zhí)行腳本程序目錄，應(yīng)該在Web服務(wù)器上設(shè)置這些目錄不能解析
2.就是你這套整站程序是什么整站系統(tǒng)的的,要常關(guān)注官方的補(bǔ)丁 勤打補(bǔ),你用的那套WEB系統(tǒng)有什么漏洞,如果有漏洞請(qǐng)及時(shí)修補(bǔ).

三，防止ASP木馬在服務(wù)器上運(yùn)行
1、刪除FileSystemObject組件
2、刪除WScript.Shell組件
3、刪除Shell.Application組件
4、禁止調(diào)用Cmd.exe
關(guān)于如何刪除由于時(shí)間關(guān)系我就不詳細(xì)說(shuō)了

還有就是FTP服務(wù)器，大家千萬(wàn)不要用SERV-U
SERV-U一直以來(lái)有個(gè)大漏洞，攻擊者可以利用它，創(chuàng)建一個(gè)系統(tǒng)管理員的帳號(hào)，用終端3389登錄。

四，注入漏洞的防范
1、 ASP程序連接 SQL Server 的賬號(hào)不要使用sa,和任何屬于Sysadmin組的賬號(hào)，盡量避免應(yīng)用服務(wù)有過(guò)高的權(quán)限,應(yīng)使用一個(gè)db_owner權(quán)限的一般用戶來(lái)連接數(shù)據(jù)庫(kù)。
2、WEB應(yīng)用服務(wù)器與DB服務(wù)器分別使用不同的機(jī)器來(lái)存放，并且之間最好通過(guò)防火墻來(lái)進(jìn)行邏輯隔離，因?yàn)槌�了有程序在探測(cè) sa 沒(méi)密碼的SQL Server,SQL Server 本身及大量的擴(kuò)展存儲(chǔ)過(guò)程也有被溢出攻擊的危險(xiǎn)
3、數(shù)據(jù)庫(kù)服務(wù)器盡量不要與公網(wǎng)進(jìn)行連接，如果一定要直接提供公網(wǎng)的連接存儲(chǔ)，應(yīng)考慮使用一個(gè)不是默認(rèn)端口的端口來(lái)鏈接
4、SA一定要設(shè)成強(qiáng)悍的密碼，在默認(rèn)安裝Sql時(shí)sa賬號(hào)沒(méi)有密碼，而一般管理員裝完后也忘了或怕麻煩而不更改密碼
5.DBO可以差異備份.列目錄.SQL用戶不允許訪問(wèn)硬盤(pán)也要設(shè)置.刪除XP_CMDSHELL等SQL組件.為了防止EXEC命令執(zhí)行.
6、不要使用IIS裝好后預(yù)設(shè)的默認(rèn)路徑\Inetpub\WWWRoot路 徑.
7、隨時(shí)注意是否有新的補(bǔ)丁需要補(bǔ)上，目前SQL2000最新的補(bǔ)本包為SP4。
8、使用過(guò)濾和防注入函數(shù)來(lái)過(guò)濾掉一些特殊的字符 ，比如單引號(hào)'一定要過(guò)濾掉。
9、關(guān)閉IIS的錯(cuò)誤提示 以防止攻擊者獲得ASP的錯(cuò)誤提示.

五，防范DDOS分布式拒絕服務(wù)攻擊
黑客還會(huì)利用DDOS分布式拒絕服務(wù)攻擊，發(fā)送半鏈接數(shù)據(jù)包把你服務(wù)器攻擊直到無(wú)法訪問(wèn)。SYN攻擊是最常見(jiàn)又最容易被利用的一種攻擊手法。 記得2000年YAHOO就遭受到這樣的攻擊。SYN攻擊防范技術(shù)，歸納起來(lái)，主要有兩大類，一類是通過(guò)防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護(hù)，另一類是通過(guò)加固TCP/IP協(xié)議棧防范.但必須清楚的是 ，SYN攻擊不能完全被阻止，我們所做的是盡可能的減輕SYN攻擊的危害，除非將TCP協(xié) 議重新設(shè)計(jì)。
1、過(guò)濾網(wǎng)關(guān)防護(hù)
這里，過(guò)濾網(wǎng)關(guān)主要指明防火墻，當(dāng)然路由器也能成為過(guò)濾網(wǎng)關(guān)。防火墻部署在不同網(wǎng)絡(luò)之間，防范外來(lái)非法攻擊和防止保密信息外泄，它處于客戶端和服務(wù)器之間，利用它來(lái)防護(hù)SYN攻擊能起到很好的效果。過(guò)濾網(wǎng)關(guān)防護(hù)主要包括超時(shí)設(shè)置，SYN網(wǎng)關(guān)和 SYN代理三種。
2、加固tcp/ip協(xié)議棧
防范SYN攻擊的另一項(xiàng)主要技術(shù)是調(diào)整tcp/ip協(xié)議，修改tcp協(xié)議實(shí)現(xiàn)。主要方法有SynAttackProtect保護(hù)機(jī)制、SYN cookies技術(shù)、增加最大半連接和縮短超時(shí)時(shí)間等。 tcp/ip協(xié)議棧的調(diào)整可能會(huì)引起某些功能的受限，管理員應(yīng)該在進(jìn)行充分了解和測(cè)試的 前提下進(jìn)行此項(xiàng)工作。為防范SYN攻擊，win2000系統(tǒng)的tcp/ip協(xié)議內(nèi)嵌了SynAttackProtect機(jī)制， Win2003系統(tǒng)也采用此機(jī)制。SynAttackProtect機(jī)制是通過(guò)關(guān)閉某些socket選項(xiàng)，增加額外的連接指示和減少超時(shí)時(shí)間，使系統(tǒng)能處理更多的SYN連接，以達(dá)到防范SYN攻擊的目的。默認(rèn)情況下，Win2000操作系統(tǒng)并不支持 SynAttackProtect保護(hù)機(jī)制，需要在注冊(cè)表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大連接數(shù)

六，防范ARP欺騙,其實(shí)現(xiàn)在方法比較多了下面只談一種手工的防御方法
1．計(jì)算機(jī)IP地址與MAC綁定
在CMD方式下，鍵入以下命令：
ARP-s IP地址MAC地址
例： ARP-s 192.168.1.100 XX-XX-XX-XX-XX 這樣，就將靜態(tài)IP地址192.168.1.100與網(wǎng)卡地址為XX-XX-XX-XX-XX的計(jì)算機(jī)綁定在一起了，即使別人盜 用您的IP地址 192.168.1.100，也無(wú)法通過(guò)代理服務(wù)器上網(wǎng)。
2．交換機(jī)端口與MAC綁定
登錄進(jìn)入交換機(jī)，輸入管理口令進(jìn)入全局配置模式，鍵入命令：
(config) #mac—address—table static＜MAC地址＞vlan＜VLAN號(hào)＞interface＜模塊 號(hào)／端口號(hào)表＞該命令可分配一個(gè)靜態(tài)的MAC地址給某些端口，即使重自交換饑，這個(gè) 地址也仍然會(huì)存在。從此。該端口只允許這個(gè)MAC地址對(duì)應(yīng)的設(shè)備連接在該端口上送行 通信。用戶通過(guò)注冊(cè)表等方式更改MAC地址后，交換機(jī)拒絕為其通信。

3.Linux下ARP綁定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
執(zhí)行arp -f

補(bǔ)充：
6.組件和權(quán)限
攻擊者現(xiàn)在擁有一個(gè)系統(tǒng)的帳號(hào).你完全不用害怕他會(huì)改動(dòng)你的IIS組件內(nèi)設(shè)置.你可以把INTER信息服務(wù)設(shè)置一個(gè)密碼.然后把系統(tǒng)*.msc復(fù)制到你指定的一個(gè)文件夾.再設(shè)置加密.然后只允許你的帳號(hào)使用.接著隱藏起來(lái).那么攻擊者改不了你任何組件.也不能查看和增加刪除.Wscript.shell刪除. Net.exe刪除. Cmd.exe設(shè)置好權(quán)限.所有目錄全部要設(shè)置好權(quán)限.如不需要.除WEB目錄外.其他所有目錄.禁止IIS組用戶訪問(wèn).只允許Administrators組進(jìn)行訪問(wèn)和修改.還一個(gè)變態(tài)權(quán)限的設(shè)置.前面我已經(jīng)說(shuō)了MSC文件的訪問(wèn)權(quán)限.你可以設(shè)置Admin,Admin1,Admin2……,admin只賦予修改權(quán)限,admin1只賦予讀取和運(yùn)行權(quán)限,admin2只賦予列出文件夾和目錄權(quán)限,admin3只賦予寫(xiě)入權(quán)限,admin4只賦予讀取權(quán)限.然后每個(gè)帳戶根據(jù)需要分配配額.這樣的話.就算有VBS腳本.刪除了NET.EXE,對(duì)方也提不起權(quán).如果是沒(méi)運(yùn)行權(quán)限的用戶不小心啟動(dòng)了攻擊者的木馬.那么也沒(méi)權(quán)限運(yùn)行和修改.Windows提供了屏幕保護(hù)功能.建議大家還可以安裝一個(gè)第三方提供的屏幕保護(hù)鎖.那樣你的系統(tǒng)又可以多一重安全保障.建議大家千萬(wàn)不要使用Pcanywhere等軟件.除非你權(quán)限設(shè)置通過(guò)自己的測(cè)試了.Pcanywhere有一個(gè)文件系統(tǒng),如果權(quán)限沒(méi)分配好,用戶可以通過(guò)PCANYWHERE的文件系統(tǒng),在啟動(dòng)項(xiàng)寫(xiě)木馬.然后等待你登陸.大家沒(méi)這需要.建議就用默認(rèn)的3389就好了.端口就算改了別人也可以掃出來(lái).還不如就用默認(rèn)的.攻擊者在獲得你系統(tǒng)權(quán)限并登陸到3389以后.你的第二道安全鎖(第三方系統(tǒng)鎖)把他死死的鎖在外面了.這樣別人就進(jìn)不了你系統(tǒng)了.記住.千萬(wàn)不能亂開(kāi)權(quán)限.不然后果不堪設(shè)想.如果是獨(dú)立服務(wù)器.沒(méi)必要使用WEB時(shí),請(qǐng)把多余的IIS等服務(wù)關(guān)閉.以免引起不必要的損失.用優(yōu)化大師禁止遠(yuǎn)程注冊(cè)表的訪問(wèn)那些.還有IPC空連接.

【網(wǎng)站服務(wù)器的安全配置】相關(guān)文章：

某網(wǎng)站社區(qū)捐款倡議書(shū)(購(gòu)買服務(wù)器)08-15

設(shè)備服務(wù)器的網(wǎng)絡(luò)安全08-12

淺談web服務(wù)器的安全保護(hù)08-12

服務(wù)器安全維護(hù)合同08-16

Apache服務(wù)器的安全性及實(shí)現(xiàn)辦法08-12

打造安全WINDOWS2003服務(wù)器的終極手段08-12

用IIS建立高安全性Web服務(wù)器08-05

網(wǎng)站安全自查報(bào)告02-01

CPLD器件的在系統(tǒng)動(dòng)態(tài)配置08-06