站点主机安全档案 (2)

使用反向NAT，会大大提高服务器的安全性。因为任何用户的访问都不是直接面对服务器，而是先要经过防火墙才被转交。而且，服务器使用私有IP地址，这总比使用真实地址要安全。在抗拒绝服务攻击上，这种方式的成效更显然。但是，相对于透明模式的防火墙，采用反向NAT方式的防火墙会影响网络速度。如果你的站点访问流量超大，那么就不要使用该种方式。值得一提的是，CISCO的PIX在NAT的处理上性能异常卓越。
另外一种情况是，服务器使用真实IP地址，防火墙配置成路由模式，不使用它的NAT功能。这种情况虽然可以实现，但会使你的网络结构变得很复杂，似乎也不会带来效益的提高。
大多数IDC的机房不提供防火墙服务，你需要自己购买和配置使用防火墙。你完全可以按透明模式或NAT模式来配置，具体怎么配取决于你的实际情况。有些IDC公司会提供防火墙服务，作为他们吸引客户的一个手段。一般来说，他们的防火墙服务会收费。
如果你的服务器在IDC提供的公共防火墙后面，那么就有必要仔细考虑你的内网结构了。如果IDC提供给你的防火墙使用透明模式，也即是你的服务器全部使用真实IP地址，在这种情况下，除非你的服务器数量足够多（象我们在北京有500多台），那么在你的逻辑网段里肯定还有其他公司的主机存在。这样，虽然有防火墙，你的系统管理任务也不会轻松多少，因为你要受到同一网段里其他公司主机的威胁。例如，你的服务器的IP地址段是211.139.130.0/24，你使用了其中的几个地址，那么在这个网段里还会有200多台其他公司的主机，它们与你的主机同处于一个防火墙之后，虽然防火墙可以屏蔽来自因特网的某些访问，然而，内部这些主机之间的相互访问却没有任何屏蔽措施。于是，其他公司不怀好意的人可以通过他们的主机来攻击你。或者，网络中一台主机被黑客入侵，则所有服务器都会面临严重威胁。在这样的网络中，你不要运行NFS、Sendmail、BIND这样的危险服务。
这种问题的解决方法是自己购买防火墙，并配置使用透明模式，不要使用公用防火墙的透明模式。
有的IDC公司会给你提供NAT方式的防火墙，你需要在服务器上设置私有IP地址，然后由防火墙来给服务器做地址转换。这种情况与上述情况存在同样的问题，那就是，在你的服务器所在的逻辑网段里还有其他公司的主机。例如在172.16.16.0/24这个网段可容纳254台主机，你的服务器使用了其中的几个IP，那么可能还有200多台其他公司的主机与你的服务器在同一个网段里。这样，虽然对外有防火墙保护，但无法防范来自内网的攻击。
要解决这个问题，你不必自己购买防火墙。既然私有IP是可以任意分配的，那么你可以向IDC单独要一个网段，例如172.16.19.0/24网段，把你的服务器都放在这个网段里，其中不要有其他公司的主机。这样一来，你的内网也无懈可击了。
实际上，如果你有一个大的UNIX主机的网络，那么没必要让每台主机都在防火墙上打开登陆端口。你可以特别设置一台或两台主机做为登陆入口，对其他主机的访问都必须使用入口主机作为跳板。这样做牺牲了使用的方便性，但带来更强的安全性。当然，前提是你必须管理好入口主机。有一种电子令牌卡适合这种应用，它是一张随身携带的卡，每隔一段时间（这个时间通常很小，几分钟或者几十秒）动态产生一个口令，你只有使用这个口令才能登陆主机，并且该口令很快就会失效。
不仅是UNIX主机，对Windows主机的终端管理也可以采用这种跳板的方式。但Windows的终端比UNIX的shell要麻烦得多，如果你不愿牺牲太多的方便性，那么就不要这样做。

三． 系统安全
系统安全是站点安全的主要部分。如果你的系统存在明显漏洞，那么再好的物理环境和网络环境也保不了你。一个很明显的问题是，如果你的WEB服务器存在安全漏洞，你在没有将其修补的情况下对外提供服务，那么不管你的防火墙有多坚固，也会很快被入侵。因此，系统管理员在保证系统功能稳定的同时，不得不花时间来研究系统的安全问题。
我所接触的服务器主要有Windows2000 Server、Freebsd、Linux和Solaris。第一种是微软的产品，方便好用，但是，你必须要不断的patch它。Freebsd是一种优雅的操作系统，它简洁的内核和优异的性能让人感动。Linux和Freebsd一样，是免费的操作系统，它们都广泛使用GNU（一个伟大的组织）的实用工具集，Linux容易上手，但不如Freebsd简洁。Solaris是SUN的商用操作系统，关于SUN OS的文章在网上被贴得到处都是，但遗憾的是，它看起来并不快，而且，你也要经常对它打补丁。
关于这几种操作系统的安全，每种都可以写一本书。我不会在这里对它们进行详细描述，只讲一些系统初始化安全配置。

1． Windows2000 Server的初始安全配置
Windows的服务器在运行时，都会打开一些端口，如135、139、445等。这些端口用于Windows本身的功能需要，冒失的关闭它们会影响到Windows的功能。然而，正是因为这些端口的存在，给Windows服务器带来诸多的安全风险。远程攻击者可以利用这些开放端口来广泛的收集目标主机信息，包括操作系统版本、域SID、域用户名、主机SID、主机用户名、帐号信息、网络共享信息、网络时间信息、Netbios名字、网络接口信息等，并可用来枚举帐号和口令。今年8月份和9月份，微软先后发布了两个基于135端口的RPC DCOM漏洞的安全公告，分别是MS03-026和MS03-039，该漏洞风险级别高，攻击者可以利用它来获取系统权限。而类似于这样的漏洞在微软的操作系统中经常存在。
解决这类问题的通用方法是打补丁，微软有保持用户补丁更新的良好习惯，并且它的Windows2000 SP4安装后可通过Windows Update来自动升级系统补丁。另外，在防火墙上明确屏蔽来自因特网的对135-139和445、593端口的访问也是明智之举。
Microsoft的SQL Server数据库服务也容易被攻击，今年3月份盛行的SQL蠕虫即使得多家公司损失惨重，因此，如果安装了微软的SQL Server，有必要做这些事：1）更新数据库补丁；2）更改数据库的默认服务端口（1433）；3）在防火墙上屏蔽数据库服务端口；4）保证sa口令非空。
另外，在Windows服务器上安装杀毒软件是绝对必须的，并且要经常更新病毒库，定期运行杀毒软件查杀病毒。
不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1）操作系统补丁版本不得低于SP3；2）不要在默认路径运行WEB（默认是c:\inetpub\wwwroot）；3）以下ISAPI应用程序扩展可被删掉：.ida .idq .idc .shtm .shtml .printer。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有