站长论坛:服务器端口安全策略,千万不要变无知
本帖最后由 玖芯科技 于 2023-6-30 15:39 编辑站长论坛 https://www.599cn.com:服务器端口安全策略,千万不要变无知,说到服务器安全,已经是老生常谈的问题了。
但是没有哪个公司或是用户对服务器安全方面的问题不闻不问。其实安全是一个体系,并不仅仅体现在系统,软件,网络或其他单方面的安全。
如果一个安全体系不完善那安全的话题就无从谈起。什么是安全体系,我个人认为,象服务器系统的漏洞,账户权限,文件权限,软件设计时对攻击和漏洞的防御性,网络访问的限制等等都是安全体系的环节,如果其中的一个环节没有设计好那么就如水桶装水一般会从挡板最低的地方流出,这样整个安全体系也就无法达到预期的效果。要达到整体的安全其实有一句话说的很好:最少的服务,最少的账户,最小的权限。安全和便捷(管理的便利性)本身就是一个矛盾体,关键是如何在两者间寻求平衡点。我想为了安全而牺牲部分的便利是值得的也是必要的。
就以上提到的三个“最”以及我个人对安全体系的一些观点和大家共享:
1、服务器系统最好是装英文原版系统(指WINDOWS系列),这样漏洞比较少。
2、一定要定期更新系统补丁。
3、原管理员账户改名或禁用,禁用GUEST账户,IIS,FTP等服务设置单独的账户启动,而且每个账户这给予相应的最少且购用的权限。一定要强制密码的复杂性,最好把服务器管理员帐户的密码设置成如windows序列号的形式。
4、对目录的权限设置本着最少和最小原则。给需要使用这个目录的用户以最小且购用的权限。
5、一定安装杀毒软件,而且开启自动更新功能。
6、最好在网络链路上安装硬件防火墙(如CISCOASA),如果无法达到至少也要安装软件防火墙,或者对系统的网络安全做策略限制。本人还是很推崇用IPsec来保障系统安全的。(关于IPsec实际的配置案例在今后的文章中会介绍)
7、无论用哪种防火墙或者安全策略的目的都是只对外开放必要的端口,关闭其他不必要的端口,降低系统的危险系数,或者对某些端口的连接限制允许接入的IP地址。比如:WEB服务器要对所有用户开放80端口,而象3389,20,21,22,23这类特殊端口需要限制允许接入的IP地址,比如只允许你公司的IP地址通过这些端口连接到服务器,这样做在极大程度上提高了服务器的安全性。
8、健全日志的记录功能,这样才可以让一些非法的操作暴露原型。
9、删除系统默认的共享(C$,D$,ADMIN$,IPC$等),禁用TCP/IP上的NETBIOS(视服务器提供的服务而定),重命名或改变CMD文件的名称或物理路径,禁止远程更改注册表,安装软件时不要放在默认目录。上面提到的这些是保障服务器安全的基础,其实在安全的道路上有很多事情等着我们去做。就象一位朋友所说:只要服务器提供服务,一个80端口足以让服务器危机重重。所以我们任重而道远,和各位朋友共勉,希望能和大家一起交流,共同进步。
页:
[1]