尋找維護網(wǎng)絡(luò)服務(wù)器的技巧拒絕安全隱患

保證網(wǎng)絡(luò)安全是每個網(wǎng)絡(luò)工程師的職責，也就是維護網(wǎng)絡(luò)服務(wù)器，避免網(wǎng)絡(luò)服務(wù)器故障給工作帶來更多的麻煩。那么作為一名優(yōu)秀的網(wǎng)絡(luò)工程師改如何做呢？希望本文的知識能對你有所幫助。

技巧一:從基本做起

黑客開始對你的網(wǎng)絡(luò)發(fā)起攻擊的時候，他們首先會檢查是否存在一般的安全漏洞。因此，當你服務(wù)器上的數(shù)據(jù)都存在一個FAT的磁盤分區(qū)的時候，即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。因此，維護網(wǎng)絡(luò)服務(wù)器你需要從基本做起。將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成NTFS格式的。同時，可以為Exchange Server安裝反病毒軟件，將被感染的郵件在到達用戶以前隔離起來。

技巧二:保護你的備份

備份實際上是一個巨大的安全漏洞。維護網(wǎng)絡(luò)服務(wù)器時應(yīng)該考慮通過密碼保護你的磁帶，并且如果你的備份程序支持加密功能，你還可以加密這些數(shù)據(jù)，如果竊賊還是把磁帶彈出來帶走的話，磁帶上的數(shù)據(jù)也就毫無價值了。

技巧三:使用RAS回叫功能

Windows NT最酷的功能之一就是對服務(wù)器進行遠程訪問(RAS)的支持。維護網(wǎng)絡(luò)服務(wù)器的同時，不幸的事往往很容易發(fā)生，一個RAS服務(wù)器對一個企圖進入你的系統(tǒng)的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個電話號碼。你所要使用的技術(shù)將在很大程度上取決于你的遠程用戶如何使用RAS。如果遠程用戶經(jīng)常是從家里或是類似的不太變動的地方呼叫主機，建議你使用回叫功能，它允許遠程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個預(yù)先定義的電話號碼再次接通用戶。黑客也就沒有機會設(shè)定服務(wù)器回叫的號碼了。

另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務(wù)器。這樣，即使黑客通過破壞手段來進入主機，那么他們也會被隔離在單一的一臺機器上。

最后一個維護網(wǎng)絡(luò)服務(wù)器技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議，迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題

工作站是通向服務(wù)器的一個端口，在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統(tǒng)。你也可以使用Windows NT。鎖定工作站，維護網(wǎng)絡(luò)服務(wù)器使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

另一個技術(shù)是將工作站的功能限定一個“聰明的”啞終端，讓程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標。當你點擊一個圖標運行程序時，這個程序?qū)⑹褂帽镜氐馁Y源來運行，而不是消耗服務(wù)器的資源。這比你運行一個完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。

技巧五:使用流行的補丁程序

微軟雇傭了一個程序員團隊來檢查安全漏洞并修補它們。這些補丁被捆綁進一個大的軟件包并做為服務(wù)包(service pack)發(fā)布。維護網(wǎng)絡(luò)服務(wù)器通常有兩種不同的補丁程序版本:一個40位的版本和一個128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。微軟定期將重要的補丁程序發(fā)布在它的FTP站點上。

這些熱點補丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補程序。要經(jīng)常查看熱點補丁。但要記住一定要按邏輯順序使用這些補丁。避免導(dǎo)致一些文件的版本錯誤。

技巧六:使用強有力的安全政策

要提高安全性，另一個可以做的工作就是制定一個好的，強有力的安全策略。確保每一個人都知道它并知道它是強制執(zhí)行的。如果你使用Windows 2000 Server，你就有可能指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán)，可以授予這種刪除和禁用賬號權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動的權(quán)限了。

技巧七:反復(fù)檢查防火墻

防火墻是網(wǎng)絡(luò)的一個重要部分，因為它將你公司的計算機同互聯(lián)網(wǎng)上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS注冊的Web服務(wù)器或是電子郵件服務(wù)器，它們的IP地址也許也要通過防火墻對外界可見。但是，工作站和其他服務(wù)器的IP地址必須被隱藏起來。

你還可以查看端口列表驗證你已經(jīng)關(guān)閉了所有并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通訊，因此你可能并不想堵掉這個端口。但是，你也許永遠都不會用端口81，因此它應(yīng)該被關(guān)掉。你可以在Internet上找到每個端口使用用途的列表。

如果你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個可能用這些數(shù)據(jù)來對付你的人竊取。就必須掌握一些維護網(wǎng)絡(luò)服務(wù)器安全的技巧來保障它的安全。

堵住路由器的漏洞

對于黑客來說，利用路由器的漏洞發(fā)起攻擊通常是一件比較容易的事情。維護網(wǎng)絡(luò)服務(wù)器保護路由器安全需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。

堵住安全漏洞

限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一。限制系統(tǒng)物理訪問的方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。

避免身份危機

黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。用戶應(yīng)該啟用路由器上的口令加密功能，這樣即使黑客能夠瀏覽系統(tǒng)的配置文件，他仍然需要破譯密文口令。

禁用不必要服務(wù)

擁有眾多路由服務(wù)是件好事，但近來許多安全事件都突顯了禁用不需要本地服務(wù)的重要性。維護網(wǎng)絡(luò)服務(wù)器的另一個需要用戶考慮因素是定時，即使用戶確保了部署期間時間同步，經(jīng)過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網(wǎng)絡(luò)時間協(xié)議(NTP)的服務(wù)，對照有效準確的時間源以確保網(wǎng)絡(luò)上的設(shè)備時針同步。

限制邏輯訪問

限制邏輯訪問主要是借助于合理處置訪問控制列表，使用入站訪問控制將特定服務(wù)引導(dǎo)至對應(yīng)的服務(wù)器。為了避免路由器成為DoS攻擊目標，用戶應(yīng)該拒絕以下流量進入：沒有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內(nèi)部地址的包。用戶還可以采取增加SYN ACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN攻擊。

監(jiān)控配置更改

用戶在對路由器配置進行改動之后，需要對其進行監(jiān)控。如果用戶使用SNMP，那么一定要選擇功能強大，提供消息加密功能的SNMP。為進一步確保安全管理，用戶可以利用SSH與路由器建立加密的遠程會話。配置管理的一個重要部分就是確保網(wǎng)絡(luò)使用合理的路由協(xié)議。

實施配置管理

維護網(wǎng)絡(luò)服務(wù)器的時候，用戶應(yīng)該實施控制存放、檢索及更新路由器配置的配置管理策略，并將配置備份文檔妥善保存在安全服務(wù)器上，以防新配置遇到問題時用戶需要更換、重裝或回復(fù)到原先的配置。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級錯誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識：網(wǎng)路管理模式

◆學習高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:44 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]