服務(wù)器安全解析

服務(wù)器安全1、簡介服務(wù)器是一個企業(yè)信息化資源的重要組成部分，其上運行著各種各樣的服務(wù)，對企事業(yè)單位管理水平和生產(chǎn)效率的提高至關(guān)重要。服務(wù)器從提供的服務(wù)類型上可分為WWW服務(wù)器，數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器，應(yīng)用服務(wù)器等，從服務(wù)對象可分為對外提供服務(wù)的網(wǎng)絡(luò)服務(wù)器和對內(nèi)服務(wù)的局域網(wǎng)服務(wù)器。服務(wù)器面臨著各種類型的攻擊，如DDOS攻擊，病毒木馬等，入侵篡改信息。一旦服務(wù)器被攻擊，就會面臨著服務(wù)器終止服務(wù)，信息泄露的危險。因此加強服務(wù)器安全至關(guān)重要。2、安全措施為加強服務(wù)器安全，可從三個方面進行：事前預防，事中監(jiān)控，事后清理事前預防

事前預防主要是指在服務(wù)器被入侵之前即做好預防措施，使得入侵根本無法進行。事中監(jiān)控

事中監(jiān)控是指在黑客入侵時，及時進行監(jiān)控或報警處理，并對病毒進行清除。事后審查

事后審查是針對監(jiān)控沒有及時發(fā)現(xiàn)的漏洞或入侵行為進行審查，并對發(fā)現(xiàn)的風險及時進行補救。3、事前預防：防火墻事前預防：主要包括的措施有安裝防火墻、訪問控制和認證、漏洞補丁及時修復等。防火墻：是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在國際防火墻市場上占據(jù)兩位數(shù)只有checkpoint和CICSO。近幾年國內(nèi)市場出現(xiàn)了許多生產(chǎn)專業(yè)的防火墻產(chǎn)品的公司，如東方龍馬、天融信公司。防火墻主要涉及下面幾種技術(shù)；網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)虛擬專用網(wǎng)技術(shù)應(yīng)用層狀態(tài)監(jiān)測包過濾（ASPF）DMZ：DemilitarizedZone隔離區(qū)

3、事前預防：防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復用OverLoad。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。3、事前預防：防火墻端口多路復用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復用方式3、事前預防：防火墻虛擬專用網(wǎng)VPN技術(shù)虛擬專用網(wǎng)(VPN)是局域網(wǎng)在廣域網(wǎng)上的擴展，是專用計算機網(wǎng)絡(luò)在Internet上的延伸。VPN通過專用隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點到點的專線，實現(xiàn)安全的信息傳輸。雖然VPN不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。應(yīng)用層狀態(tài)監(jiān)測包過濾（ASPF）aspf（applicationspecificpacketfilter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。aspf能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進行監(jiān)控。3、事前預防：防火墻隔離區(qū)DMZ它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)。因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡。它將部分用于提供對外服務(wù)的服務(wù)器主機劃分到一個特定的子網(wǎng)——DMZ內(nèi)，在DMZ的主機能與同處DMZ內(nèi)的主機和外部網(wǎng)絡(luò)的主機通信，而同內(nèi)部網(wǎng)絡(luò)主機的通信會被受到限制。這使DMZ的主機能被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)所訪問，而內(nèi)部網(wǎng)絡(luò)又能避免外部網(wǎng)絡(luò)所得知。3、事前預防：訪問控制和認證訪問控制和認證：訪問控制和認證是指控制訪問服務(wù)器的人和訪問內(nèi)容。訪問控制是網(wǎng)絡(luò)安裝防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄及控制以及屬性控制多種手段這方面的產(chǎn)品主要有通軟的GNAC，天融信的TDSM-DSM，趨勢科技的EndpointSecurity

3、事前預防：漏洞補丁修復漏洞補丁包是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，針對這種情況對于大型軟件系統(tǒng)（如微軟操作系統(tǒng)）在使用過程中暴露的問題（一般由黑客或病毒設(shè)計者發(fā)現(xiàn)）而發(fā)布的解決問題的小程序包。市場上常見的漏洞補丁管理軟件有江南天安的TASS_Smart_VM，安全狗的safedog、360的服務(wù)器版安全衛(wèi)生

4、事中監(jiān)控事中監(jiān)控：主要是針對當前正在運行的系統(tǒng)發(fā)生的入侵行為進行進行監(jiān)控，并對發(fā)生入侵行為進行處理。如非法軟件運行，A軟件非法調(diào)用B軟件，黑客或者不具備權(quán)限的用戶訪問某些資源，修改注冊表、系統(tǒng)文件等，實時監(jiān)控程序會及時阻止并處理這些非法行為，產(chǎn)生報警，并報告給用戶。事中監(jiān)控的主要軟件包括殺毒軟件和HIPS（基于主機的入侵防御系統(tǒng)）。殺毒軟件主要針對已知病毒的查殺，HIPS是一種能監(jiān)控你電腦中文件的運行和文件運用了其他的文件以及文件對注冊表的修改，并向你報告請求允許的的軟件。市場上殺毒軟件種類繁多，比較流行的有國外的卡巴斯基、諾頓、賽門鐵克，國產(chǎn)的有360、瑞星、江民等HIPS軟件軟件眾多，如GSS(GhostSecuritySuite)、Winpooch、ParadorFileProtectionPE、McAfeeHostIntrusionPrevention

，MalwareDefender（奇虎360旗下軟件）、EQSecure（國產(chǎn)的E盾)。4、事中監(jiān)控殺毒引擎主要涉及以下技術(shù)：虛擬機技術(shù)、實時監(jiān)控技術(shù)、智能碼標識技術(shù)、行為攔截技術(shù)。4、事中監(jiān)控虛擬機技術(shù)：在反病毒界也被稱為通用解密器，已經(jīng)成為反病毒軟件中最重要的組成部分之一。殺毒引擎中的虛擬機，和那些諸如VMWare的“虛擬機”是有區(qū)別的。查毒引擎的虛擬機是一個軟件模擬的CPU，它可以象真正CPU一樣取值，譯碼，執(zhí)行，可以模擬一段代碼在真正CPU上運行得到的結(jié)果。給定一組機器碼序列，虛擬機就會自動從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度，然后在相應(yīng)的函數(shù)中執(zhí)行該指令，并根據(jù)執(zhí)行后的結(jié)果確定下條指令的位置，如此循環(huán)反復直到某個特定情況發(fā)生以結(jié)束工作，這就是虛擬機的基本工作原理和簡單流程。設(shè)計虛擬機查毒的目的，就是為了對付加密變形病毒，虛擬機首先從文件中確定并讀取病毒入口處代碼，然后以上述工作步驟解釋執(zhí)行病毒頭部的解密段（Decryptor），最后在執(zhí)行完的結(jié)果（解密后的病毒體明文）中查找病毒的特征碼。這里所謂的“虛擬”，并非是指創(chuàng)建了什么虛擬環(huán)境，而是指染毒文件并沒有實際執(zhí)行，只不過是虛擬機模擬了其真實執(zhí)行時的效果。這就是虛擬機查毒基本原理。4、事中監(jiān)控實時監(jiān)控：病毒實時監(jiān)控普遍使用了驅(qū)動編程技術(shù)，讓工作于系統(tǒng)核心態(tài)的驅(qū)動程序去攔截所有的文件訪問。當然由于工作系統(tǒng)的不同，驅(qū)動程序無論從結(jié)構(gòu)還是工作原理都不盡相同的，當然程序?qū)懛ê途幾g環(huán)境更是千差萬別了。病毒實時監(jiān)控，實質(zhì)就是對文件的監(jiān)控。除了文件監(jiān)控外，還有各種各樣的實時監(jiān)控工具，都具有各自不同的特點和功用。現(xiàn)在流行的網(wǎng)絡(luò)監(jiān)控，郵件監(jiān)控基本上是對文件監(jiān)控的改進，革命性的改動沒有。病毒實時監(jiān)控，其實就是一個文件監(jiān)視器。它會在文件打開，關(guān)閉，清除，寫入等操作時檢查文件是否是病毒攜帶者，如果是則根據(jù)用戶的決定選擇不同的處理方案，如清除病毒，禁止訪問該文件，刪除該文件或簡單地忽略。這樣就可以有效地避免病毒在本地機器上的感染傳播，因為可執(zhí)行文件裝入器在裝入一個文件執(zhí)行時首先會要求打開該文件，而這個請求又一定會被實時監(jiān)控在第一時間截獲到，它確保了每次執(zhí)行的都是干凈的不帶毒的文件從而不給病毒以任何執(zhí)行和發(fā)作的機會4、事中監(jiān)控特征碼技術(shù):運用程序中某一段或幾段64字節(jié)以下的代碼作為判別程序病毒的主要依據(jù)行為攔截技術(shù)：通過對程序行為的分析來判斷其是否為病毒5、事后審查事后審查：主要針對前期沒有預防和控制的已經(jīng)發(fā)生的風險進行的補救措施。如審查系統(tǒng)的安全日志，發(fā)現(xiàn)非法的行為。如全盤掃描發(fā)現(xiàn)病毒文件等。如端口掃描發(fā)現(xiàn)非法開啟的端口。該部分功能大部分都集成在其他軟件中，作為整體軟件的一個功能點，如殺毒軟件帶有的全盤掃描和端口掃描功能。安全管理軟件一般帶有的日志查看功能。6、集成安全軟件服務(wù)器的安全防護是一個整體工程，因此需要從各個階段進行防護。因此市場上出現(xiàn)一批集中進行管理的安全防護軟件。它將各個功能集中在一起，功能強大，使用方便。下面簡單介紹兩款比較流行的軟件：1、服務(wù)器安全狗

它具備防病毒、防入侵、防攻擊、防篡改功能。實時監(jiān)測Ip和端口訪問的合法性，實時攔截ARP攻擊、DDOS攻擊、暴力破解等。全面開放保護規(guī)則，同時支持監(jiān)控網(wǎng)站目錄，有效保護重要文件、目錄與注冊表不被篡改與刪除，實時防止網(wǎng)站被上傳網(wǎng)頁木馬。系統(tǒng)默認規(guī)則與用戶自定義規(guī)則全支持，靈活定制，全面保護。有效防止未授權(quán)的非法用戶登錄服務(wù)器