服務(wù)器安全防護(hù)措施

服務(wù)器安全防護(hù)措施服務(wù)器是IT系統(tǒng)中的核心設(shè)備。因此，服務(wù)器的安全是每個(gè)用戶都必須重視的問題。本文從服務(wù)器漏洞的修補(bǔ)、HIPS一主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用、對(duì)“拒絕服務(wù)攻擊”的防范、從系統(tǒng)內(nèi)核入手的保護(hù)四個(gè)方面進(jìn)行論述，旨在保護(hù)服務(wù)器，使其免受來自網(wǎng)絡(luò)的威脅。1服務(wù)器漏洞的修補(bǔ)：事實(shí)證明，99%的黑客攻擊事件都是利用未修補(bǔ)的漏洞與錯(cuò)誤的設(shè)定。許多受到防火墻、IDS、防毒軟件保護(hù)的服務(wù)器仍然遭受黑客、蠕蟲的攻擊，其主要原因是企業(yè)缺乏一套完整的弱點(diǎn)評(píng)估管理機(jī)制，未能落實(shí)定期評(píng)估與漏洞修補(bǔ)的工作，因而造成漏洞沒人理睬，最終成為黑客攻擊的管道，或者是病毒攻擊破壞的目標(biāo)。如何避免網(wǎng)絡(luò)服務(wù)器受網(wǎng)上那些惡意的攻擊行為。1.1構(gòu)建好硬件安全防御系統(tǒng)選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等；入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。1.2選用英文的操作系統(tǒng)要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug和Patch多而著稱，中文版的Bug遠(yuǎn)遠(yuǎn)要比英文版多，而中文版的補(bǔ)丁向來是比英文版出的晚，也就是說，如果你的服務(wù)器上裝的是中文版的windows系統(tǒng)，微軟漏洞公布之后你還需要等上一段時(shí)間才能打好補(bǔ)丁，也許黑客、病毒就利用這段時(shí)間入侵了你的系統(tǒng)。另外，企業(yè)需要使用漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，以發(fā)現(xiàn)潛在的安全問題，并確保升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來安全問題。漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)(Server),以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。以某公司的主機(jī)漏洞掃描器為例，它是基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具，這三層分別為控制臺(tái)、管理器和代理?？刂婆_(tái)安裝在一臺(tái)計(jì)算機(jī)中，管理器安裝在企業(yè)網(wǎng)絡(luò)中，代理安裝完后，需要向管理器注冊(cè)。當(dāng)代理收到管理器發(fā)來的掃描指令時(shí)，代理單獨(dú)完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)。掃描結(jié)束后，代理將結(jié)果傳給管理器。最終用戶可以通過控制臺(tái)瀏覽掃描報(bào)告?；谥鳈C(jī)的漏洞掃描器有很多優(yōu)點(diǎn)。掃描的漏洞數(shù)量多。由于在目標(biāo)系統(tǒng)上安裝了一個(gè)代理或者是服務(wù)，以便能夠訪問所有的文件與進(jìn)程，這使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。集中化管理?；谥鳈C(jī)的漏洞掃描器通常都有一個(gè)集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令均從服務(wù)器進(jìn)行控制。這一點(diǎn)與基于網(wǎng)絡(luò)的掃描器類似。這種集中化管理模式，使得基于主機(jī)的漏洞掃描器能夠?qū)崿F(xiàn)快速部署。網(wǎng)絡(luò)流量負(fù)載小。由于管理器與代理之間只有通信的數(shù)據(jù)包，漏洞掃描部分都由代理單獨(dú)完成，這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后，代理再次與管理器進(jìn)行通信，將掃描結(jié)果傳送給管理器。2HIPS-主機(jī)入侵防護(hù)系統(tǒng)的應(yīng)用：HIPS-主機(jī)入侵防護(hù)系統(tǒng)通過在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序。HIPS能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用，它可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動(dòng)態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為。HIPS提升了主機(jī)的安全水平，在防范蠕蟲的攻擊中，起到了很好的防護(hù)作用。在技術(shù)上，HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑，利用包過濾、狀態(tài)包過濾、狀態(tài)包檢測(cè)和實(shí)時(shí)入侵檢測(cè)組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護(hù)服務(wù)器的敏感內(nèi)容，既可以通過攔截針對(duì)操作系統(tǒng)的可疑調(diào)用，提供對(duì)主機(jī)的安全防護(hù)，也可以更改操作系統(tǒng)內(nèi)核程序的方式，提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制。由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上，它不但能夠利用特征和行為規(guī)則檢測(cè)，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對(duì)Web頁面、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)，不同的平臺(tái)需要不同的軟件代理程序。3對(duì)“拒絕服務(wù)攻擊”的防范：目前網(wǎng)絡(luò)中有一種攻擊讓網(wǎng)絡(luò)管理員最為頭疼，就是拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過一種放大或不對(duì)等的方式來達(dá)到消耗對(duì)方資源的目的。同一時(shí)刻很多不同的IP對(duì)服務(wù)器進(jìn)行訪問造成服務(wù)器的服務(wù)失效甚至死機(jī)。防DDoS攻擊的軟件防火墻可全面應(yīng)用在IDC機(jī)房托管、虛擬主機(jī)、電子商務(wù)網(wǎng)站、郵件服務(wù)器上。但有一些產(chǎn)品僅有防御DoS攻擊的功能，遇到針對(duì)服務(wù)器攻擊的黑客，仍然無任何作用，好的產(chǎn)品應(yīng)該擁有強(qiáng)大的網(wǎng)絡(luò)協(xié)議解析能力?？蛇^濾經(jīng)過精心偽裝的惡意代碼和攻擊，有效阻止和預(yù)警各種攻擊行為，可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻擊，以及具有端口防護(hù)、HTTP指紋檢測(cè)、端口應(yīng)用方式定點(diǎn)過濾等功能，并且不限制服務(wù)器連接數(shù)。4從系統(tǒng)內(nèi)核入手的保護(hù)：針對(duì)服務(wù)器的安全，國內(nèi)還出現(xiàn)了操作系統(tǒng)安全加固技術(shù)（ReinforcementOperatingSystemTechniqueRost），結(jié)合其他層面的安全技術(shù)，能夠很好地滿足現(xiàn)有各種復(fù)雜的網(wǎng)絡(luò)環(huán)境的應(yīng)用需求，并已達(dá)到了國家等級(jí)保護(hù)三級(jí)技術(shù)的要求。ROST是一項(xiàng)利用安全內(nèi)核來提升操作系統(tǒng)安全等級(jí)的技術(shù)，這項(xiàng)技術(shù)的核心就是在操作系統(tǒng)的核心層重構(gòu)操作系統(tǒng)的權(quán)限訪問模型，實(shí)現(xiàn)真正的強(qiáng)訪問控制，使操作系統(tǒng)達(dá)到第三等級(jí)（B1級(jí)）的安全技術(shù)要求。此外，ROST在最大程度地確保操作系統(tǒng)安全的基礎(chǔ)上，對(duì)服務(wù)器安全的概念進(jìn)行了重新定義。以往談到服務(wù)器安全，多半會(huì)想到硬件安全，例如容錯(cuò)、災(zāi)備等，而ROST所指的安全服務(wù)器需要具備4項(xiàng)安全指標(biāo)：安全的物理設(shè)備（比如控制硬件的拔插、硬件各零件狀態(tài)的管理檢測(cè)等）、安全的操作系統(tǒng)、安全的應(yīng)用系統(tǒng)（在ROST支持下的應(yīng)用系統(tǒng)）、專業(yè)的管理系統(tǒng)。服務(wù)器安全防護(hù)措施的應(yīng)用，使得服務(wù)器得到了較高的安全防護(hù)。當(dāng)然隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，更為隱密、手段更加高明的不安全措施的增加，為我們繼續(xù)開發(fā)新的服務(wù)器安全防護(hù)措施提供了更高的要求。也許你會(huì)對(duì)服務(wù)器的運(yùn)行感到納悶，為什么它能同時(shí)向外界提供類似信息下載服務(wù)、頁面瀏覽服務(wù)、電子郵件服務(wù)呢，這么多服務(wù)同時(shí)進(jìn)行工作，怎么不會(huì)發(fā)生沖突呢？其實(shí)，服務(wù)器所開通的任何一種服務(wù)，都是通過某一端口來實(shí)現(xiàn)的，不同的服務(wù)使用的服務(wù)器端口號(hào)是完全不一樣的，而服務(wù)器同時(shí)可以開通若干個(gè)通信端口，這樣的話任何一種服務(wù)使用不同的端口工作時(shí)，就不會(huì)發(fā)生沖突現(xiàn)象。當(dāng)然，服務(wù)器的端口被各種網(wǎng)絡(luò)服務(wù)充分利用的同時(shí)，它們也會(huì)被一些非法攻擊者利用，這么一來端口有時(shí)也會(huì)成為黑客攻擊服務(wù)器的一種“通道”。如果對(duì)這樣的“通道”不妥善管理的話，服務(wù)器的安全將會(huì)受到極大的威脅。為此，本文下面就從服務(wù)器的端口細(xì)處出發(fā)，來向各位詳細(xì)介紹一下如何活用網(wǎng)絡(luò)“端口”，保護(hù)服務(wù)器的安全！屏蔽端口防止帳號(hào)被盜大家知道，如果服務(wù)器的超級(jí)管理員帳號(hào)或者特權(quán)用戶的帳號(hào)被盜用的話，那么服務(wù)器的所有隱私信息都可能會(huì)被“任人宰割”；很顯然，阻止管理員帳號(hào)或特權(quán)用戶帳號(hào)被非法盜用，是保護(hù)服務(wù)器信息安全的一種途徑之一。要想保護(hù)好各種帳號(hào)信息，除了管理人員自己要小心、細(xì)致外，還要想辦法“切斷”非法用戶獲取帳號(hào)的“通道”；一般來說，黑客或者非法攻擊者竊取服務(wù)器管理員帳號(hào)時(shí)，往往都會(huì)通過服務(wù)器的3389端口來進(jìn)行的，要是我們能想辦法將通往該端口的信息屏蔽掉的話，就能阻止非法攻擊者來輕易竊取服務(wù)器的各種帳號(hào)信息了，這樣的話服務(wù)器安全就能得到一定程度的保證。要想將3389端口暫時(shí)屏蔽掉的話，你可以按照下面的方法來進(jìn)行：在屏蔽WindowsXP服務(wù)器系統(tǒng)中的3389端口時(shí)，你可以右擊系統(tǒng)桌面中的“我的電腦”，然后執(zhí)行右鍵菜單中的“屬性”命令，在彈出的屬性設(shè)置對(duì)話框中，選中“遠(yuǎn)程”選項(xiàng)卡，接著在對(duì)應(yīng)的選項(xiàng)設(shè)置頁面中，將“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”的選中狀態(tài)以及“允許從這臺(tái)計(jì)算機(jī)發(fā)送遠(yuǎn)程協(xié)助邀請(qǐng)”的選中狀態(tài)都取

消掉（如圖1所示），再單擊設(shè)置窗口中的“確定”按鈕，就可以實(shí)現(xiàn)間接屏蔽WindowsXP服務(wù)器系統(tǒng)3389端口的目的了。圖1要想暫時(shí)屏蔽Windows2000或Windows2003服務(wù)器中的3389端口時(shí)，只要將服務(wù)器的系統(tǒng)服務(wù)“TerminalServices”停用掉就可以了。在停用“TerminalServices”系統(tǒng)服務(wù)時(shí)，可以依次單擊“開始”/“運(yùn)行”命令，在隨后打開的系統(tǒng)運(yùn)行框中，執(zhí)行服務(wù)策略編輯命令“services.msc”，接著服務(wù)器系統(tǒng)將自動(dòng)打開一個(gè)服務(wù)列表窗口；雙擊該窗口中的“TerminalServices”選項(xiàng)名稱，打開如圖2所示的服務(wù)屬性設(shè)置窗口，檢查該窗口中的服務(wù)啟動(dòng)狀態(tài)是否為“已禁用”，要是不是的話，那你必須先單擊該窗口中的“停止”按鈕，再從啟動(dòng)類型下拉列表中選中“已禁用”選項(xiàng)，之后單擊一下“確定”按鈕就OK了。圖2更改端口防止非法連接盡管通過屏蔽3389端口的方法，可以有效地保證服務(wù)器的安全，可這么一來就會(huì)影響到網(wǎng)絡(luò)管理人員對(duì)服務(wù)器的遠(yuǎn)程連接和遠(yuǎn)程管理了；那么有沒有辦法既能保證服務(wù)器的帳號(hào)不被輕易竊取，又能保證網(wǎng)絡(luò)管理人員可以正常對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理和遠(yuǎn)程維護(hù)呢？答案是肯定的，只要你想辦法將終端服務(wù)器缺省的3389端口號(hào)碼，修改成其他非法用戶不知道的端口號(hào)碼，就能防止普通用戶隨意與服務(wù)器建立非法連接了。在修改缺省的3389端口號(hào)碼時(shí)，你可以依次單擊“開始”/“運(yùn)行”命令，在打開的系統(tǒng)運(yùn)行對(duì)話框中，執(zhí)行注冊(cè)表編輯命令“Regedit”，在隨后出現(xiàn)的注冊(cè)表編輯界面中，用鼠標(biāo)逐一展開注冊(cè)表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp，如圖3所示；

文件（I）編輯電）查看⑦收藏夾兔）幫助Glj::國…；"：：國…田…曰…；InpiitDevicesKeybuardTypeMapping::國…；"：：國…田…曰…；InpiitDevicesKeybuardTypeMappingLicensingCoreSysFrocsUtilitiesmiEDIrdpWdB□Tds名稱回默認(rèn)）KJ(fio]InteractiveDelayR]So]OutBiifCmiixlIR]g]OutBu￡DelayEljS^OutBufLerigthRJ|S?|PdClaSER]歧|FdDLLRJI^PdFlagRJ蘭]FdN：EJTiE!KI睡]FortlTiamberRJ^jServicelLdirieRJ理件| ②1Sei圖3在對(duì)應(yīng)“tcp”分支的右邊子窗口中，選中“PortNumber”雙字節(jié)值，并用鼠標(biāo)雙擊之，在隨后打開的數(shù)值設(shè)置窗口中，選中“十進(jìn)制”選項(xiàng)，這樣你將看到缺省的終端服務(wù)端口號(hào)碼為“3389”，此時(shí)你可以在“數(shù)值數(shù)據(jù)”文本框中輸入其他的端口號(hào)碼，不過該號(hào)碼千萬不能與系統(tǒng)中已經(jīng)存在的號(hào)碼相同，否則的話就容易造成端口號(hào)碼發(fā)生沖突現(xiàn)象，從而影響服務(wù)器系統(tǒng)的正常運(yùn)行。比方說，你要將服務(wù)器的終端服務(wù)端口號(hào)碼修改為“98765”，那么只要先選中“十進(jìn)制”選項(xiàng)，再在“數(shù)值數(shù)據(jù)”文