監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買(mǎi)價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

尋找維護(hù)網(wǎng)絡(luò)服務(wù)器的技巧 拒絕安全隱患

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

 保證網(wǎng)絡(luò)安全是每個(gè)網(wǎng)絡(luò)工程師的職責(zé),也就是維護(hù)網(wǎng)絡(luò)服務(wù)器,避免網(wǎng)絡(luò)服務(wù)器故障給工作帶來(lái)更多的麻煩。那么作為一名優(yōu)秀的網(wǎng)絡(luò)工程師改如何做呢?希望本文的知識(shí)能對(duì)你有所幫助。

 
技巧一:從基本做起
 
黑客開(kāi)始對(duì)你的網(wǎng)絡(luò)發(fā)起攻擊的時(shí)候,他們首先會(huì)檢查是否存在一般的安全漏洞。因此,當(dāng)你服務(wù)器上的數(shù)據(jù)都存在一個(gè)FAT的磁盤(pán)分區(qū)的時(shí)候,即使安裝上世界上所有的安全軟件也不會(huì)對(duì)你有多大幫助的。因此,維護(hù)網(wǎng)絡(luò)服務(wù)器你需要從基本做起。將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤(pán)分區(qū)都轉(zhuǎn)換成NTFS格式的。同時(shí),可以為Exchange Server安裝反病毒軟件,將被感染的郵件在到達(dá)用戶以前隔離起來(lái)。
 
技巧二:保護(hù)你的備份
 
備份實(shí)際上是一個(gè)巨大的安全漏洞。維護(hù)網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng)該考慮通過(guò)密碼保護(hù)你的磁帶,并且如果你的備份程序支持加密功能,你還可以加密這些數(shù)據(jù),如果竊賊還是把磁帶彈出來(lái)帶走的話,磁帶上的數(shù)據(jù)也就毫無(wú)價(jià)值了。
 
技巧三:使用RAS回叫功能
 
Windows NT最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)(RAS)的支持。維護(hù)網(wǎng)絡(luò)服務(wù)器的同時(shí),不幸的事往往很容易發(fā)生,一個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所需要的一切只是一個(gè)電話號(hào)碼。你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類(lèi)似的不太變動(dòng)的地方呼叫主機(jī),建議你使用回叫功能,它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。黑客也就沒(méi)有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。
 
另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問(wèn)單一的服務(wù)器。這樣,即使黑客通過(guò)破壞手段來(lái)進(jìn)入主機(jī),那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上。
 
最后一個(gè)維護(hù)網(wǎng)絡(luò)服務(wù)器技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議,迷惑一些不加提防的黑客。
 
技巧四:考慮工作站的安全問(wèn)題
 
工作站是通向服務(wù)器的一個(gè)端口,在所有的工作站上使用Windows 2000。Windows 2000是一個(gè)非常安全的操作系統(tǒng)。你也可以使用Windows NT。鎖定工作站,維護(hù)網(wǎng)絡(luò)服務(wù)器使得一些沒(méi)有安全訪問(wèn)權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。
 
另一個(gè)技術(shù)是將工作站的功能限定一個(gè)“聰明的”啞終端,讓程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí),這個(gè)程序?qū)⑹褂帽镜氐馁Y源來(lái)運(yùn)行,而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。
 
技巧五:使用流行的補(bǔ)丁程序
 
微軟雇傭了一個(gè)程序員團(tuán)隊(duì)來(lái)檢查安全漏洞并修補(bǔ)它們。這些補(bǔ)丁被捆綁進(jìn)一個(gè)大的軟件包并做為服務(wù)包(service pack)發(fā)布。維護(hù)網(wǎng)絡(luò)服務(wù)器通常有兩種不同的補(bǔ)丁程序版本:一個(gè)40位的版本和一個(gè)128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。微軟定期將重要的補(bǔ)丁程序發(fā)布在它的FTP站點(diǎn)上。
 
這些熱點(diǎn)補(bǔ)丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補(bǔ)程序。要經(jīng)常查看熱點(diǎn)補(bǔ)丁。但要記住一定要按邏輯順序使用這些補(bǔ)丁。避免導(dǎo)致一些文件的版本錯(cuò)誤。
 
技巧六:使用強(qiáng)有力的安全政策
 
要提高安全性,另一個(gè)可以做的工作就是制定一個(gè)好的,強(qiáng)有力的安全策略。確保每一個(gè)人都知道它并知道它是強(qiáng)制執(zhí)行的。如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權(quán)限來(lái)使用你的服務(wù)器而不需要交出管理員的控制權(quán),可以授予這種刪除和禁用賬號(hào)權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動(dòng)的權(quán)限了。
 
技巧七:反復(fù)檢查防火墻
 
防火墻是網(wǎng)絡(luò)的一個(gè)重要部分,因?yàn)樗鼘⒛愎镜挠?jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對(duì)它們?cè)斐蓳p壞的蠱惑仔們隔離開(kāi)來(lái)。
 
你首先要做的事情是確保防火墻不會(huì)向外界開(kāi)放超過(guò)必要的任何IP地址。你總是至少要讓一個(gè)IP地址對(duì)外界可見(jiàn)。這個(gè)IP地址被使用來(lái)進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS注冊(cè)的Web服務(wù)器或是電子郵件服務(wù)器,它們的IP地址也許也要通過(guò)防火墻對(duì)外界可見(jiàn)。但是,工作站和其他服務(wù)器的IP地址必須被隱藏起來(lái)。
 
你還可以查看端口列表驗(yàn)證你已經(jīng)關(guān)閉了所有并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通訊,因此你可能并不想堵掉這個(gè)端口。但是,你也許永遠(yuǎn)都不會(huì)用端口81,因此它應(yīng)該被關(guān)掉。你可以在Internet上找到每個(gè)端口使用用途的列表。
 
如果你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個(gè)可能用這些數(shù)據(jù)來(lái)對(duì)付你的人竊取。就必須掌握一些維護(hù)網(wǎng)絡(luò)服務(wù)器安全的技巧來(lái)保障它的安全。
 
堵住路由器的漏洞
 
對(duì)于黑客來(lái)說(shuō),利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情。維護(hù)網(wǎng)絡(luò)服務(wù)器保護(hù)路由器安全需要網(wǎng)管員在配置和管理路由器過(guò)程中采取相應(yīng)的安全措施。
 
堵住安全漏洞
 
限制系統(tǒng)物理訪問(wèn)是確保路由器安全的最有效方法之一。限制系統(tǒng)物理訪問(wèn)的方法就是將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。
 
避免身份危機(jī)
 
黑客常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長(zhǎng)口令、選用30到60天的口令有效期等措施有助于防止這類(lèi)漏洞。用戶應(yīng)該啟用路由器上的口令加密功能,這樣即使黑客能夠?yàn)g覽系統(tǒng)的配置文件,他仍然需要破譯密文口令。
 
禁用不必要服務(wù)
 
擁有眾多路由服務(wù)是件好事,但近來(lái)許多安全事件都突顯了禁用不需要本地服務(wù)的重要性。維護(hù)網(wǎng)絡(luò)服務(wù)器的另一個(gè)需要用戶考慮因素是定時(shí),即使用戶確保了部署期間時(shí)間同步,經(jīng)過(guò)一段時(shí)間后,時(shí)鐘仍有可能逐漸失去同步。用戶可以利用名為網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)的服務(wù),對(duì)照有效準(zhǔn)確的時(shí)間源以確保網(wǎng)絡(luò)上的設(shè)備時(shí)針同步。
 
限制邏輯訪問(wèn)
 
限制邏輯訪問(wèn)主要是借助于合理處置訪問(wèn)控制列表,使用入站訪問(wèn)控制將特定服務(wù)引導(dǎo)至對(duì)應(yīng)的服務(wù)器。為了避免路由器成為DoS攻擊目標(biāo),用戶應(yīng)該拒絕以下流量進(jìn)入:沒(méi)有IP地址的包、采用本地主機(jī)地址、廣播地址、多播地址以及任何假冒的內(nèi)部地址的包。用戶還可以采取增加SYN ACK隊(duì)列長(zhǎng)度、縮短ACK超時(shí)等措施來(lái)保護(hù)路由器免受TCP SYN攻擊。
 
監(jiān)控配置更改
 
用戶在對(duì)路由器配置進(jìn)行改動(dòng)之后,需要對(duì)其進(jìn)行監(jiān)控。如果用戶使用SNMP,那么一定要選擇功能強(qiáng)大,提供消息加密功能的SNMP。為進(jìn)一步確保安全管理,用戶可以利用SSH與路由器建立加密的遠(yuǎn)程會(huì)話。配置管理的一個(gè)重要部分就是確保網(wǎng)絡(luò)使用合理的路由協(xié)議。
 
實(shí)施配置管理
 
維護(hù)網(wǎng)絡(luò)服務(wù)器的時(shí)候,用戶應(yīng)該實(shí)施控制存放、檢索及更新路由器配置的配置管理策略,并將配置備份文檔妥善保存在安全服務(wù)器上,以防新配置遇到問(wèn)題時(shí)用戶需要更換、重裝或回復(fù)到原先的配置。

編輯推薦】

網(wǎng)管軟件專區(qū)

網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

網(wǎng)絡(luò)管理基礎(chǔ)知識(shí):網(wǎng)路管理模式

學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

IT運(yùn)維管理專區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:44    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:

泛普重慶OA快博其他應(yīng)用

重慶OA軟件 重慶OA新聞動(dòng)態(tài) 重慶OA信息化 重慶OA客戶 重慶OA快博 重慶OA行業(yè)資訊 重慶軟件開(kāi)發(fā)公司 重慶網(wǎng)站建設(shè)公司 重慶物業(yè)管理軟件 重慶餐飲管理軟件 重慶倉(cāng)庫(kù)管理系統(tǒng) 重慶門(mén)禁系統(tǒng) 重慶微信營(yíng)銷(xiāo) 重慶ERP 重慶監(jiān)控公司 重慶金融行業(yè)軟件 重慶B2B、B2C商城系統(tǒng)開(kāi)發(fā) 重慶建筑施工項(xiàng)目管理系統(tǒng)開(kāi)發(fā)