摘要:如何确保服务器的安全性,保障服务器上相关应用服务进程的稳定性已经成为人们关注的焦点。本文首先分析了服务器的网络安全体系防护体系,其次根据笔者多年的工作经历,探讨一下实现服务器安全架构的几种有效措施。
关键词:网络安全;服务器;网络架构
中图分类号:TP3文献标识码:A文章编号:1671—7597(2012)0510
【《硅谷》杂志2012年5月刊文】
0引言
随着网络的发展,计算机安全问题日益突出。由于网络的共享性与开放性,计算机在网络中会面临着各种各样的安全隐患,如何确保计算机的安全性,保障计算机上相关应用服务的稳定性已经成为人们关注的焦点。而对于网络中的各种应用而言,几乎所有的应用系统都会涉及到服务器,而服务器本身也属于计算机范畴。如果服务器出现问题的话,就会导致整个应用系统的全面崩溃,就会引起不必要的损失。
本文就是重点探讨一下计算机网络安全理念下的服务器架构,以期通过安全架构的方法尽可以避免网络事故的发生,进一步加强网络服务器的安全建设。
1服务器的网络安全体系防护体系
任何一个服务器都有与之相关联的终端设备,故服务器的安全不是“孤立”地进行防护,应该以服务器为中心,将与之相关的设备以一个整体的对象进行规划,建立一套完整有效的网络安全体系。
而一套完整有效的网络安全体系涉及到两大部分,分别是:安全管理以及安全技术。其中,安全管理是要求网络服务器管理员必须遵循相关的规章制定,以规范化的操作处理及设置处理;而安全技术就是通过硬件以及软件的各种技术方法去服务器进行安全方面的加固。针对于服务器而言,主要有:对服务器的数据访问权限应该分角色、分用户;加强服务器机房的管理,禁止外来人员随意进出以及对服务器进行任何非授权操作;通过服务器上操作系统的安全设置对服务器进行配置等。
2服务器的网络安全架构分析
确保计算机网络服务器的安全性,是网络管理员的主要职责之一。下面根据笔者多年的工作经历,探讨一下实现服务器安全架构的几种有效措施,希望能为同道提供一定的借鉴参考价值。
2.1服务器的基础防护措施
由于服务器端存在各种漏洞,而漏洞是网络安全的首要隐患,大部分的网络攻击都是基于漏洞加以实施的。所以,网络管理员应借助于现有的网络安全技术架构服务器。比如:可以选择NTFS格式,因为FAT格式的安全隐患远远多于NTFS格式,尽可能将服务器上的敏感数据区所在的磁盘转换成NTFS格式为宜;购买一套正版的网络监测软件,对服务器所在的网络进行实时的监控,能够识别出绝大部分的非法侵入;有效的网络版杀毒软件也是必须的。
此外,由于服务器面向互联网,可以将服务器IP地址对外进行隐藏,因为将服务器的IP地址完全公开化,就会提高可以受攻击的机率。当然至少一个IP地址应该完全公开的,可以Web服务器或邮件服务器的IP公开。而IP地址与外界的通讯是通过端口来实现的,而端口有很多,因此通过软件来查看端口,排查不必要开放的端口,将其屏蔽掉,尽可能的减少由于操作系统或其他软件漏洞而带来的服务器端危机。
2.2加强服务器的数据备份
除了网络攻击、病毒之外,由于外在环境因素或者人为误操作等原因,有时会发生服务器上数据丢失的现象,这是直接导致或多或少的损失。所以网络管理人员应该通过备份技术做好服务器端的定时数据备份,尤其是在数据备份的时候应考虑采取“密码保护”方式对备份存储介质进行二次加密处理,这样也能避免备份数据因窃取而泄密。
2.3远程访问的安全控制
对于服务器的操作,并不都是限于本地的,有时因为工作空间的改变,网络管理人员就会借助于网络对服务器进行远程访问(RAS),这给网络管理人员带来便利的同时也为服务器的安全隐患打了大门。若非法用户知道RAS相关的号码,则能够较容易地实现服务器入侵,所以管理员必须对远程访问进行安全强化管理工作,控制远程用户所使用的RAS,可以通过“回叫”功能拒绝一部分非法用户的连通请求。
此外,也可以通过防火墙的设置将服务器可访问的远程终端限定于某个终端,也可以通过密罐技术以及协议技术对非法入侵者进行迷惑,这样就会增加技术成本,但服务器的安全性也会得到很大的提升。
2.4服务器上操作系统的安全配置
本文以windowsserver2003操作系统为例。
首先,要选择合适的授权模式。建议选择“每服务器”模式,若须开通许可证模式,则可以选择“每客户”模式。其中许可证模式CAL是指对于访问服务器端的用户都应进行授权认证,可以规定许可证的数量,该数量就是指同一时间片连接到服务器端的最多用户数。
其次,为服务器操作系统盘设置成NTFS格式,并进行权限设置,若服务器上有asp或者是aspx之类的网络应用程序,则应该在操作系统的windows目录上添加users用户的默认权限,否则就会造成asp或者aspx之类网络应用程序的无法正常运行。
另外,对于system32文件夹下的一些可执行文件,比如:net.exe、tftp.exe、attrib.ext以及cacls.ext等,应该将其访问权限只赋予超级管理员,也就是administrators用户组。而且documentsandsetting这个文件夹也是至关重要的,该文件夹后面的相关子文件夹权限并不完全继承于父文件夹,默认的everyone也有权限对其进行访问,甚至可以进行脚本的写入,所以必须对documentsandsetting文件夹下的重要子目录进行权限设置。
此外,一些不必要的服务应该禁止,这样可进一步增强服务器的网络安全连接。可在服务器端的“网络连接”内,将不必要的协议以及服务都禁止,只开放一些必须的协议,比如:TCP/IP之类,如果要对服务器的带宽流量进行控制,则可以安装QoS数据包计划程序。在服务器操作系统的高级TCP/IP设置项里面,有个“禁用TCP/IP上的NetBIOS(S)”,这项应该处于打勾选中状态,并使用操作系统的“Internet连接防火墙”,因为通过这个服务器操作系统自带的防火墙,能够避免较多的网络攻击。不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候,如果仅仅只开放21端口,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
3总结
总之,随首网络技术的不断更新,网络安全隐患问题呈现多样化发展,实现计算机网络安全服务器的架构是一个长期、不断持续的过程。而且安全性都是相对性,网络管理人员必须针对现有的一些网络安全问题,借助于各类网络安全技术尽可能地提升服务器的安全性以及稳定性。
参考文献:
[1]孟祥羽.网络的架构与应用[J].信息与电脑(理论版),2010,(04).
[2]徐立国.浅析Web服务器应对攻击的安全防范对策[J].科技资讯,2010,(24).(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
