二、访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段,可以说是保证网络安全最重要的核心策略之一。
当今网络在安全攻击面前显得如此脆弱源于以下几个方面的原因:
第一,TCP/IP的脆弱性。 因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP
很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。通通领航服务器设置经验总结
一 取消匿名访问功能
默认情况下,Windows 2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows 2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,d出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS50自带的FTP服务器,下面通通网络以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,接着d出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号才行。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
当然,通通网络现在说的只是最基本最简单的安全设置,并不能完全的防范病毒木马以及黑客入侵,如果要加强服务器的安全性,还要更进一步的对服务器进行设置。一、服务器选购策略
选择一款合适的服务器来满足用户的需要,需要对服务器使用有一个正确的理解。在进行服务器选配时,应根据以下3个方面来考虑。
1网络环境及应用软件
是
指整个系统主要做什么应用。具体来说就是服务器支持的用户数量、用户类型、处理的数据量等方面内容。不同的应用软件工作机理不同,对服务器选配的要求区别很大,常见的应用可以分为文件服务、Web服务、一般应用和数据库等。
2可用性
服务器是整个网络的核心,不但在性能上能够满足网络应用需求,而且还要具有不间断地向网络客户提供服务的能力。实际上,服务器的可靠运行是整个系统稳定发挥功能的基础。
3服务器选配
服务器类型,如低端、中端和高端的分类,只是确定了服务器所能支持的最大用户数。但要用好服务器,还需要优化配置,用最小的代价获得最佳的性能。
二、常见应用分析
在中小企业环境中,常见应用可以概括为以下几种,它们对服务器的要求各有所侧重。下面为了描述方便,把服务器划分为4个功能模块,即CPU、内存、磁盘子系统和网络子系统。
1文件服务
这是最基本的应用服务,服务器相当于一个信息系统的大仓库,保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中,对系统性能影响最大的首先是网络子系统,其次是磁盘子系统,再次是内存容量,而对CPU的要求一般不高。
2数据库服务
对系统各方面(除网络子系统外)性能要求最高的应用,如财务、库存和人事管理应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和CPU。
3邮件服务
扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和CPU。
4Web服务
服务器的性能是由网站内容来决定的。如果Web站点是静态的,系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页),系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。
5多媒体服务
负责媒体控制及媒体流在网络上传输的功能,I/O吞吐量对服务器性能起着关键的影响。视频服务器的瓶颈依次是: 网络子系统、磁盘子系统和内存。音频服务对服务器硬件配置要求很低,现在的服务器子系统一般不会成为瓶颈。
6终端服务
执行各种应用程序并把结果传送给用户,所有负载均加在服务器上。系统的瓶颈通常依次为: 内存、CPU、网络子系统。
7主域控制器
主域控制器是网络、用户和计算机的管理中心,负责提供安全的网络工作环境。主域控制器不但响应用户的登录需求,而且在服务器间同步和备份用户帐号、WINS和DHCP数据库等,另外,主域控制器还做DNS服务。系统瓶颈是网络子系统、内存。
三、可用性的影响
一台经常死机的服务器是不可忍受的,由此所造成的损失不仅仅是时间的浪费,还可能使多日的工作量付之流水。现在越来越多的人已经意识到系统可用性的重要性。
可
用性通常用系统的理论正常运行时间和实际使用时间百分比来衡量。例如,我们说一系统提供24×7环境下99%的可用性,也就意味着一年可能要停机88小时,这对大部分用户来说是都是不能接受的。99999%的可用性可以保证系统一年停机的时间在 525分钟之内,但是这种系统的价格非常昂贵。
服务器的可用性主要取决于2个方面:一个是服务器本身的质量,具体体现在服务器厂商专业的设计、严格的质量控制以及市场的长期验证三点上; 另一个是对易损部件采取的保护措施,比如: 采用网卡冗余技术、磁盘阵列技术、电源冗余技术、双机或集群方案等来保证网络、磁盘、电源甚至整个主机的在线冗余。
在低档服务器中,通常采用以下措施来提高单机的可用性。
1IDE RAID
通过廉价的磁盘阵列提供数据冗余功能。磁盘故障是服务器硬件故障的主体,故障率高达52%。数据丢失的危害也是惊人的,造成大量时间、人力的浪费。目前IDE RAID能够实现RAID-0、RAID-1、RAID-0+1共三种方式,其中RAID-0不具备数据冗余功能,但能显著提高磁盘子系统的性能。
2ECC技术
可以检查出两位内存错、并能够纠正一位错,来保证内存、缓存中数据的高可靠性。
3服务器专用电源
可以保证系统有一个洁净的用电环境,减少各种隐性故障的发生,而劣质电源容易引起各种古怪故障,如电路中的高频串扰会造成系统经常性的崩溃、低频震荡则会烧毁电子元器件于无形,这类故障也增加了维修难度。
4附加措施
如防尘网的设计、多个风扇的散热(有的服务器还具有自动调节风扇转速功能),可以帮助服务器在普通环境中也能稳定运行。
四、服务器选择的多样性
目前中小企业在选购服务器时,通常在高档商用PC、伪服务器以及低档服务器三种产品之间选择。下面分别对这三种服务器作一简单分析。
1高档商用PC
PC工作在单用户和单线程环境中,与服务器的多用户环境有显著的不同。PC在设计时采用不同部件选型、配置的策略,如增强的显示性能、相对较差的网络子系统等。高档PC的目标是进军低档工作站市场。
2伪服务器
最差劲的是用PC的处理器芯片、服务器的名来充当服务器,稍微好一些的服务器采用部分服务器技术,如专业电源等。
3低档服务器
通常兼顾性能、可扩展性、可用性和可管理性等多个性能指标,兼容多种 *** 作系统以支持多种网络环境。此种产品的缺点(也是辨别方法)是:体积大(通常外形不够美观)、噪音大(散热风扇多)、功率大。
五、 *** 作系统配置
一个性能优良的信息系统除了取决于网络硬件设备的性能和网络结构设计外,很大程度地受到局域网中服务器的 *** 作系统性能的影响。作为工作组级服务器的 *** 作系统,在选择上应考虑
系统的可靠性,即是否能负担大量用户的服务请求,以较快的速度处理数据,合理地排列服务等问题;系统是否方便使用和管理,在单机和联机环境中,易用性都是最大化雇员工作效率和满意度的关键因素,与此同时,降低成本也是绝大多数企业优先考虑的问题。
目前,考虑连接局域网与广域网方面的性能,连入Internet几乎是目前所有企业用户的选择,在选择服务器 *** 作系统时一定要注意系统在兼容局域网与广域网连接方面的能力,这样才能使企业真正地融入世界。在局域网中,用户一般要实现文件共享、打印机共享、网络服务共享等功能,因而服务器的 *** 作系统必须能较好地完成上述 *** 作。目前Microsoft公司推出的Windows 2000就是这样一款针对局域网客户机的 *** 作系统软件,Windows 2000的综合特性使其很快成为所有企业中工作组级服务器上的主流 *** 作系统。其标准的安全性、可管理性和可靠性等强大功能,是目前小企业用户首选的 *** 作系统。
另外,对于某些高级用户,尤其是政府等对安全比较关注的用户来说,他们本身具备较强的技术实力,可以考虑采用Linux *** 作系统。
目前,服务器厂商还推出完全方案化的产品——功能服务器,即把 *** 作系统和应用系统直接安装在服务器中,以实现某些特定功能,如长城集团推出的E 通教育功能服务器,它主要是采用Linux系统,具有非常好的稳定性和易用性,而且不需要用户对Linux有深入了解就可以使用。
六、服务器选配方法
国内市场上,服务器厂商多达十几个,低档服务器更有几十款之多。下面结合至翔899来谈谈服务器配置问题。
1磁盘子系统
上面已经提过磁盘的故障概率及危害,不如直接配置双硬盘做RAID-1,因为现在硬盘的价格已降到了冰点,既提高了磁盘读取数据的性能,又保护了数据,可使用户高枕无忧。令Linux用户放心的是,至翔899的IDE RAID支持Linux。
2内存
在小型用户环境中,内存通常得不到重视,用户往往花费更多的时间关注CPU的性能。由于Windows 2000就要消耗100MB以上的内存,再加上应用,所以系统最少应配置256MB内存,配置到1GB也不为过。请牢牢记住,提高内存容量通常是提高服务器性能的最有效的方法。
3CPU
通常不会成为系统瓶颈。但对于需要CPU进行密集型的运算,如数据库类应用,CPU的作用就很巨大。记住:如果再增加一颗CPU,内存容量要同时加倍,才能有效发挥CPU的性能。
4网卡
低端应用环境中,100Mbps网卡足够了。至翔899的网卡还支持网络冗余(ALB)功能。有兴趣的用户可以另买一款同型号的Intel 82559网卡进行网卡绑
定,既提高网络子系统的吞吐量,又保证了线路冗余。
让我们再看看文章开头的例子,可以发现那台部门级服务器用于6人工作组中,CPU过于强大,而文件服务对CPU的依赖又不大,显然是个浪费,而如果该部门级服务器内存配置过低的话,这台服务器的性能就会大打折扣。
最后,需要指出的是,小企业非常关心服务器的可扩充性。可扩充性主要体现在计算性能的提升和存储容量的增长,而金长城至翔新899,在价格完全满足小型网络用户需求的情况下,仍然在这两方面有充分考虑。至翔新899采用双处理器的系统设计,目前,设计主频已达到14GHz,用户可以在初期购买单CPU配置,待到企业增长或数据量增大时,可以升级为双CPU,其运算能力将大大提高,也保护了先前的投资。至翔新899服务器在存储方面,采用先进的 IDE RAID技术,最大支持160GB×4的硬盘容量,为用户的业务扩展预留了足够的空间。
用途用户数量CPU数量内存大小(MB)硬盘文件/域控制服务器60左右12562硬盘RAID-1数据库应用服务器10左右15122硬盘 RAID-1综合应用服务器30左右15122硬盘RAID-1无盘站服务器60左右15122硬盘RAID-1视频服务器50(并发)12564硬盘 RAID-0
厂商型号CPU最高CPU主频(GHz)CPU个数(最大)最大内存(GB)二级缓存(KB)内置硬盘架数量(最大)磁盘控制器I/O扩展槽系统总线(MHz)长城至翔1800Pentium 417135124个IDE控制器,可选的IDE RAID功能,可以实现RAID0/1/0+15个32位/33MHz PCI扩展槽400至翔2800Intel PentiumⅢ Tualatin14245124个集成2个Ultra ATA/100通道的Promise IDE RAID控制芯片,支持RAID 0/1/0+1或JBOD5个32位/33MHz PCI扩展槽133联想万全T 100Pentium 42125124个ATA100 IDE控制器,Ultra160 SCSI控制器5个PCI 22标准扩展槽400万全T 200PentiumXeon22165124个ATA100 IDE控制器,集成双通道Ultra160 SCSI控制器2个64位/133MHz PCI扩展槽,1个64位/100MHz PCI扩展槽,2个64位/66MHz PCI扩展槽400浪潮
NP60Pentium 4
2212256/5125个IDE硬盘或4个SCSI硬盘集成双通道ATA100 IDE控制器;可选IDE RAID控制器能实现RAID 0/1;可选Ultra160 SCSI4个32位/33MHz PCI,1个ISA扩展槽,1个AGP扩展槽,1个CNR扩展槽400NP220TPentium Ⅲ1262155125块IDE硬盘或4块SCSI硬盘集成双通道ATA100 IDE 控制器5个32位/33MHz PCI扩展槽,1个16位的ISA扩展槽133方正园明1050DPentium 4212256/5125个IDE5个32位/33MHz PCI扩展槽400园明1250DPentium Ⅲ1422256/5125个集成ATA 100 IDE RAID控制器5个32位/33MHz PCI扩展槽,1个16位的ISA扩展槽133
总之,企业选购服务器,一定要根据自己的实际应用情况,合理选择型号和配置,做到既满足需求,又经济实惠。1、修改网站后台的用户名和密码及后台的默认路径。
2、更改数据库名,如果是ACCESS数据库,那文件的扩展名最好不要用mdb,改成ASP的,文件名也可以多几个特殊符号。
3、接着检查一下网站有没有注入漏洞或跨站漏洞,如果有的话就相当打上防注入或防跨站补丁。
4、检查一下网站的上传文件,常见了有欺骗上传漏洞,就对相应的代码进行过滤。
5、尽可能不要暴露网站的后台地址,以免被社会工程学猜解出管理用户和密码。
6、写入一些防挂马代码,让框架代码等挂马无效。
7、禁用FSO权限也是一种比较绝的方法。
8、修改网站部分文件夹的读写权限。
9、如果你是自己的服务器,那就不仅要对你的网站程序做一下安全了,而且要对你的服务器做一下安全也是很有必要了!小鸟云可提供的超高防御峰值只能从基础上进行防护,一套完整的、能为用户提供长久保障的安全防护体系才是用户选择信赖的。基于此,小鸟云对于网络流量攻击除了以强大的硬件防火墙以及高度冗余的网络资源作为支撑,充分利用路由器、防火墙等硬件设备将网络有效保护起来外,同时还高频率定期扫描网络骨干节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
在安全防护体系的人工服务环节,小鸟云安全工程师则会根据攻击信息,帮助用户溯源求证,准确找到攻击源头,并协助用户进行安全架构优化,减少安全隐患,全方位确保用户网站业务安全。同样的,在售后服务保障上,小鸟云独特的1V1专席客服服务发挥着重要作用。专席客服会实时对用户服务器情况进行监控,并在存在异常情况下主动联合724小时运维追踪异常源头,及时联系用户,真正做到主动服务,最大程度实现用户网站业务的平稳增长。
从安全防护综合水平上评估,在硬件防护峰值、安全防护体系、并设立独有的服务保障,三个环节下来,防护与服务相得益彰,防患于未然同时更有效抵御DDoS等恶意攻击,为用户提供更为稳定、安全的云服务。
网站要依靠计算机服务器来运行整个体系,计算机服务器的安全程度直接关系着网站的稳定程度,加强计算机服务器的安全等级,避免网站信息遭恶意泄露。
一、基于帐户的安全策略
1、帐户改名
Administrator和guest是Windows系统默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的`加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。
3、帐户锁定
当计算机服务器帐户密码不够安全时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。
二、安全登录系统
1、远程桌面
远程桌面是比较常用的远程登录方式,但是开启“远程桌面”就好像系统打开了一扇门,合法用户可以进来,恶意用户也可以进来,所以要做好安全措施。
(1)用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。
(2)更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且 *** 作简单,所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
3、第三方软件
可用来远程控制的第三方工具软件非常多,这些软件一般都包括客户端和计算机服务器端两部分,需要分别在两边都部署好,才能实现远控控制。一般情况下,这些软件被安全软件定义为木马或者后门,从而进行查杀。安全期间建议大家不要使用此类软件,因为使用此类工具需要对安全软件进行设置(排除、端口允许等),另外,这类软件也有可能被人植入木马或者留有后门,大家在使用时一定要慎重。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)