對于一個網絡而言,維護其服務器安全的重要性是不言而喻的,那么作為管理員的你如何來更好地保障服務器的安全呢?本文較系統(tǒng)地給您介紹一些實用的技巧。

技巧一:從基本做起

黑客開始對你的網絡發(fā)起攻擊的時候,他們首先會檢查是否存在一般的安全漏洞。因此,當你服務器上的數(shù)據都存在一個FAT的磁盤分區(qū)的時候,即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。

因此,你需要從基本做起。將服務器上所有包含了敏感數(shù)據的磁盤分區(qū)都轉換成NTFS格式的。同時,可以為Exchange Server安裝反病毒軟件,將被感染的郵件在到達用戶以前隔離起來。

技巧二:保護你的備份

備份實際上是一個巨大的安全漏洞。應該考慮通過密碼保護你的磁帶,并且如果你的備份程序支持加密功能,你還可以加密這些數(shù)據,如果竊賊還是把磁帶彈出來帶走的話,磁帶上的數(shù)據也就毫無價值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是對服務器進行遠程訪問(RAS)的支持。不幸的是,一個RAS服務器對一個企圖進入你的系統(tǒng)的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個電話號碼。

你所要使用的技術將在很大程度上取決于你的遠程用戶如何使用RAS。如果遠程用戶經常是從家里或是類似的不太變動的地方呼叫主機,建議你使用回叫功能,它允許遠程用戶登錄以后切斷連接。然后RAS服務器撥通一個預先定義的電話號碼再次接通用戶。黑客也就沒有機會設定服務器回叫的號碼了。

另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。這樣,即使黑客通過破壞手段來進入主機,那么他們也會被隔離在單一的一臺機器上。

最后還有一個技巧就是在你的RAS服務器上使用出人意料的協(xié)議,迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題

工作站是通向服務器的一個端口,在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統(tǒng)。你也可以使用Windows NT。鎖定工作站,使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能。

另一個技術是將工作站的功能限定一個聰明的啞終端,讓程序和數(shù)據駐留在服務器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務器上的應用程序的圖標。當你點擊一個圖標運行程序時,這個程序將使用本地的資源來運行,而不是消耗服務器的資源。這比你運行一個完全的啞終端程序對服務器造成的壓力要小得多。

技巧五:使用流行的補丁程序

微軟雇傭了一個程序員團隊來檢查安全漏洞并修補它們。這些補丁被捆綁進一個大的軟件包并做為服務包(service pack)發(fā)布。通常有兩種不同的補丁程序版本:一個40位的版本和一個128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。微軟定期將重要的補丁程序發(fā)布在它的FTP站點上。這些熱點補丁程序是自上一次服務包發(fā)布以后被公布的安全修補程序。要經常查看熱點補丁。但要記住一定要按邏輯順序使用這些補丁。避免導致一些文件的版本錯誤。

技巧六:使用強有力的安全政策

要提高安全性,另一個可以做的工作就是制定一個好的,強有力的安全策略。確保每一個人都知道它并知道它是強制執(zhí)行的。如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權,可以授予這種刪除和禁用賬號權限并限制創(chuàng)建用戶或是更改許可等這些活動的權限了。

技巧七:反復檢查防火墻

防火墻是網絡的一個重要部分,因為它將你公司的計算機同互聯(lián)網上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進行所有的互聯(lián)網通訊。如果你還有DNS注冊的Web服務器或是電子郵件服務器,它們的IP地址也許也要通過防火墻對外界可見。但是,工作站和其他服務器的IP地址必須被隱藏起來。

你還可以查看端口列表驗證你已經關閉了所有并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通訊,因此你可能并不想堵掉這個端口。但是,你也許永遠都不會用端口81,因此它應該被關掉。你可以在Internet上找到每個端口使用用途的列表。

如果你不希望緊要的數(shù)據被病毒或是黑客破壞或是被一個可能用這些數(shù)據來對付你的人竊取。就必須掌握一些維護服務器安全的技巧來保障它的安全。

堵住路由器的漏洞

對于黑客來說,利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情。保護路由器安全需要網管員在配置和管理路由器過程中采取相應的安全措施。

堵住安全漏洞

限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一。限制系統(tǒng)物理訪問的方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)。避免將調制解調器連接至路由器的輔助端口也很重要。

避免身份危機

黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。用戶應該啟用路由器上的口令加密功能,這樣即使黑客能夠瀏覽系統(tǒng)的配置文件,他仍然需要破譯密文口令。

禁用不必要服務

擁有眾多路由服務是件好事,但近來許多安全事件都突顯了禁用不需要本地服務的重要性。另一個需要用戶考慮的因素是定時,即使用戶確保了部署期間時間同步,經過一段時間后,時鐘仍有可能逐漸失去同步。用戶可以利用名為網絡時間協(xié)議(NTP)的服務,對照有效準確的時間源以確保網絡上的設備時針同步。

限制邏輯訪問

限制邏輯訪問主要是借助于合理處置訪問控制列表,使用入站訪問控制將特定服務引導至對應的服務器。為了避免路由器成為DoS攻擊目標,用戶應該拒絕以下流量進入:沒有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內部地址的包。用戶還可以采取增加SYN ACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN攻擊。

監(jiān)控配置更改

用戶在對路由器配置進行改動之后,需要對其進行監(jiān)控。如果用戶使用SNMP,那么一定要選擇功能強大,提供消息加密功能的SNMP。為進一步確保安全管理,用戶可以利用SSH與路由器建立加密的遠程會話。配置管理的一個重要部分就是確保網絡使用合理的路由協(xié)議。

實施配置管理

用戶應該實施控制存放、檢索及更新路由器配置的配置管理策略,并將配置備份文檔妥善保存在安全服務器上,以防新配置遇到問題時用戶需要更換、重裝或回復到原先的配置。