網站服務器的安全配置

網站服務器的安全配置

首先講網絡安全的定義：
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，確保系統能連續可靠正常地運行，網絡服務不中斷。
網絡安全的種類很多，這里單講網站服務器的安全配置，有效防范服務器被入侵。

一 主機的安全配置
1.裝殺毒軟件、防火墻、這些都是必備的也是基本的，還有就是勤打官方的補丁。
2.推薦幾款安全工具，360安全衛士能掃描你系統的漏洞，然后下載補丁修補，間諜軟件，惡意插件，靠他查殺。
冰刃 系統分析特別強，分析系統正在運行的程序 ，開放的端口、內核模塊,系統啟動加載的軟件、開放的服務，等等功能十分強大 可以輔助管理員查找木馬。
3.做安全配置首先將：net.exe，cmd.exe，netstat.exe，regedit.exe，at.exe，attrib.exe， cacls.exe，這些文件都設置只允許administrators訪問。
還有將FTP.exe TFTP.exe
這樣命令黑客可以執行 下載黑客電腦的木馬 安裝到服務器 所以要改名把135、445、139、這些端口都要關閉
4.在“網絡連接”里，把不需要的協議和服務都刪掉，只安裝了基本的Internet協議 （TCP/IP）在高級tcp/ip設置里-- “NetBIOS”設置“禁用tcp/IP上的NetBIOS。
5.把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。
6.在屏幕保護，勾選上在恢復時使用密碼保護，萬一系統被黑客鏈接上 他不知道帳號密碼也是沒用的。
7.系統自帶的TCP/IP篩選只開發你需要的端口，比如你只開放WEB服務和FTP服務，那么你就用TCP/IP篩選把其他端口過濾掉，只開放80和21端口。這樣就減少許多比必要的麻煩黑客就不會利用其他端口入侵你了。

二 ，WEB服務器的安全配置
1.你的WEB服務哪些目錄允許解析哪些目錄不允許解析 。比如存放附件的目錄很容易讓黑客在前臺上傳木馬，黑客會利用得到管理員權限后，利用后臺的一些功能 把附件改名為.ASP或者其他。 如果Web服務器解析了這個目錄的話就會執行黑客的網頁木馬，所以放附件的目錄，或者沒有其他無執行腳本程序目錄，應該在Web服務器上設置這些目錄不能解析
2.就是你這套整站程序是什么整站系統的的,要常關注官方的補丁 勤打補,你用的那套WEB系統有什么漏洞,如果有漏洞請及時修補.

三，防止ASP木馬在服務器上運行
1、刪除FileSystemObject組件
2、刪除WScript.Shell組件
3、刪除Shell.Application組件
4、禁止調用Cmd.exe
關于如何刪除由于時間關系我就不詳細說了

還有就是FTP服務器，大家千萬不要用SERV-U
SERV-U一直以來有個大漏洞，攻擊者可以利用它，創建一個系統管理員的帳號，用終端3389登錄。

四，注入漏洞的防范
1、 ASP程序連接 SQL Server 的賬號不要使用sa,和任何屬于Sysadmin組的賬號，盡量避免應用服務有過高的權限,應使用一個db_owner權限的一般用戶來連接數據庫。
2、WEB應用服務器與DB服務器分別使用不同的機器來存放，并且之間最好通過防火墻來進行邏輯隔離，因為除了有程序在探測 sa 沒密碼的SQL Server,SQL Server 本身及大量的擴展存儲過程也有被溢出攻擊的危險
3、數據庫服務器盡量不要與公網進行連接，如果一定要直接提供公網的連接存儲，應考慮使用一個不是默認端口的端口來鏈接
4、SA一定要設成強悍的密碼，在默認安裝Sql時sa賬號沒有密碼，而一般管理員裝完后也忘了或怕麻煩而不更改密碼
5.DBO可以差異備份.列目錄.SQL用戶不允許訪問硬盤也要設置.刪除XP_CMDSHELL等SQL組件.為了防止EXEC命令執行.
6、不要使用IIS裝好后預設的默認路徑\Inetpub\WWWRoot路 徑.
7、隨時注意是否有新的補丁需要補上，目前SQL2000最新的補本包為SP4。
8、使用過濾和防注入函數來過濾掉一些特殊的字符 ，比如單引號'一定要過濾掉。
9、關閉IIS的錯誤提示 以防止攻擊者獲得ASP的錯誤提示.

五，防范DDOS分布式拒絕服務攻擊
黑客還會利用DDOS分布式拒絕服務攻擊，發送半鏈接數據包把你服務器攻擊直到無法訪問。SYN攻擊是最常見又最容易被利用的一種攻擊手法。 記得2000年YAHOO就遭受到這樣的攻擊。SYN攻擊防范技術，歸納起來，主要有兩大類，一類是通過防火墻、路由器等過濾網關防護，另一類是通過加固TCP/IP協議棧防范.但必須清楚的是 ，SYN攻擊不能完全被阻止，我們所做的是盡可能的減輕SYN攻擊的危害，除非將TCP協 議重新設計。
1、過濾網關防護
這里，過濾網關主要指明防火墻，當然路由器也能成為過濾網關。防火墻部署在不同網絡之間，防范外來非法攻擊和防止保密信息外泄，它處于客戶端和服務器之間，利用它來防護SYN攻擊能起到很好的效果。過濾網關防護主要包括超時設置，SYN網關和 SYN代理三種。
2、加固tcp/ip協議棧
防范SYN攻擊的另一項主要技術是調整tcp/ip協議，修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等。 tcp/ip協議棧的調整可能會引起某些功能的受限，管理員應該在進行充分了解和測試的 前提下進行此項工作。為防范SYN攻擊，win2000系統的tcp/ip協議內嵌了SynAttackProtect機制， Win2003系統也采用此機制。SynAttackProtect機制是通過關閉某些socket選項，增加額外的連接指示和減少超時時間，使系統能處理更多的SYN連接，以達到防范SYN攻擊的目的。默認情況下，Win2000操作系統并不支持 SynAttackProtect保護機制，需要在注冊表以下位置增加SynAttackProtect鍵值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大連接數

六，防范ARP欺騙,其實現在方法比較多了下面只談一種手工的防御方法
1．計算機IP地址與MAC綁定
在CMD方式下，鍵入以下命令：
ARP-s IP地址MAC地址
例： ARP-s 192.168.1.100 XX-XX-XX-XX-XX 這樣，就將靜態IP地址192.168.1.100與網卡地址為XX-XX-XX-XX-XX的計算機綁定在一起了，即使別人盜 用您的IP地址 192.168.1.100，也無法通過代理服務器上網。
2．交換機端口與MAC綁定
登錄進入交換機，輸入管理口令進入全局配置模式，鍵入命令：
(config) #mac—address—table static＜MAC地址＞vlan＜VLAN號＞interface＜模塊 號／端口號表＞該命令可分配一個靜態的MAC地址給某些端口，即使重自交換饑，這個 地址也仍然會存在。從此。該端口只允許這個MAC地址對應的設備連接在該端口上送行 通信。用戶通過注冊表等方式更改MAC地址后，交換機拒絕為其通信。

3.Linux下ARP綁定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
執行arp -f

補充：
6.組件和權限
攻擊者現在擁有一個系統的帳號.你完全不用害怕他會改動你的IIS組件內設置.你可以把INTER信息服務設置一個密碼.然后把系統*.msc復制到你指定的一個文件夾.再設置加密.然后只允許你的帳號使用.接著隱藏起來.那么攻擊者改不了你任何組件.也不能查看和增加刪除.Wscript.shell刪除. Net.exe刪除. Cmd.exe設置好權限.所有目錄全部要設置好權限.如不需要.除WEB目錄外.其他所有目錄.禁止IIS組用戶訪問.只允許Administrators組進行訪問和修改.還一個變態權限的設置.前面我已經說了MSC文件的訪問權限.你可以設置Admin,Admin1,Admin2……,admin只賦予修改權限,admin1只賦予讀取和運行權限,admin2只賦予列出文件夾和目錄權限,admin3只賦予寫入權限,admin4只賦予讀取權限.然后每個帳戶根據需要分配配額.這樣的話.就算有VBS腳本.刪除了NET.EXE,對方也提不起權.如果是沒運行權限的用戶不小心啟動了攻擊者的木馬.那么也沒權限運行和修改.Windows提供了屏幕保護功能.建議大家還可以安裝一個第三方提供的屏幕保護鎖.那樣你的系統又可以多一重安全保障.建議大家千萬不要使用Pcanywhere等軟件.除非你權限設置通過自己的測試了.Pcanywhere有一個文件系統,如果權限沒分配好,用戶可以通過PCANYWHERE的文件系統,在啟動項寫木馬.然后等待你登陸.大家沒這需要.建議就用默認的3389就好了.端口就算改了別人也可以掃出來.還不如就用默認的.攻擊者在獲得你系統權限并登陸到3389以后.你的第二道安全鎖(第三方系統鎖)把他死死的鎖在外面了.這樣別人就進不了你系統了.記住.千萬不能亂開權限.不然后果不堪設想.如果是獨立服務器.沒必要使用WEB時,請把多余的IIS等服務關閉.以免引起不必要的損失.用優化大師禁止遠程注冊表的訪問那些.還有IPC空連接.

【網站服務器的安全配置】相關文章：

某網站社區捐款倡議書(購買服務器)08-15

設備服務器的網絡安全08-12

淺談web服務器的安全保護08-12

服務器安全維護合同08-16

Apache服務器的安全性及實現辦法08-12

打造安全WINDOWS2003服務器的終極手段08-12

用IIS建立高安全性Web服務器08-05

網站安全自查報告02-01

CPLD器件的在系統動態配置08-06