服務器安全1、簡介服務器是一個企業信息化資源的重要組成部分，其上運行著各種各樣的服務，對企事業單位管理水平和生產效率的提高至關重要。服務器從提供的服務類型上可分為WWW服務器，數據庫服務器、FTP服務器，應用服務器等，從服務對象可分為對外提供服務的網絡服務器和對內服務的局域網服務器。服務器面臨著各種類型的攻擊，如DDOS攻擊，病毒木馬等，入侵篡改信息。一旦服務器被攻擊，就會面臨著服務器終止服務，信息泄露的危險。因此加強服務器安全至關重要。2、安全措施為加強服務器安全，可從三個方面進行：事前預防，事中監控，事后清理事前預防

事前預防主要是指在服務器被入侵之前即做好預防措施，使得入侵根本無法進行。事中監控

事中監控是指在黑客入侵時，及時進行監控或報警處理，并對病毒進行清除。事后審查

事后審查是針對監控沒有及時發現的漏洞或入侵行為進行審查，并對發現的風險及時進行補救。3、事前預防：防火墻事前預防：主要包括的措施有安裝防火墻、訪問控制和認證、漏洞補丁及時修復等。防火墻：是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。在國際防火墻市場上占據兩位數只有checkpoint和CICSO。近幾年國內市場出現了許多生產專業的防火墻產品的公司，如東方龍馬、天融信公司。防火墻主要涉及下面幾種技術；網絡地址轉換技術虛擬專用網技術應用層狀態監測包過濾（ASPF）DMZ：DemilitarizedZone隔離區

3、事前預防：防火墻網絡地址轉換技術

實現方式有三種，即靜態轉換StaticNat、動態轉換DynamicNat和端口多路復用OverLoad。

靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助于靜態轉換，可以實現外部網絡對內部網絡中某些特定設備(如服務器)的訪問。動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時。可以采用動態轉換的方式。3、事前預防：防火墻端口多路復用(PortaddressTranslation,PAT)是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換(PAT，PortAddressTranslation).采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式3、事前預防：防火墻虛擬專用網VPN技術虛擬專用網(VPN)是局域網在廣域網上的擴展，是專用計算機網絡在Internet上的延伸。VPN通過專用隧道技術在公共網絡上仿真一條點到點的專線，實現安全的信息傳輸。雖然VPN不是真正的專用網絡，但卻能夠實現專用網絡的功能。應用層狀態監測包過濾（ASPF）aspf（applicationspecificpacketfilter）是針對應用層的包過濾，即基于狀態的報文過濾。它和普通的靜態防火墻協同工作，以便于實施內部網絡的安全策略。aspf能夠檢測試圖通過防火墻的應用層協議會話信息，阻止不符合規則的數據報文穿過。為保護網絡安全，基于acl規則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。aspf能夠檢測應用層協議的信息，并對應用的流量進行監控。3、事前預防：防火墻隔離區DMZ它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內。在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡。因為這種網絡部署，比起一般的防火墻方案，對來自外網的攻擊者來說又多了一道關卡。它將部分用于提供對外服務的服務器主機劃分到一個特定的子網——DMZ內，在DMZ的主機能與同處DMZ內的主機和外部網絡的主機通信，而同內部網絡主機的通信會被受到限制。這使DMZ的主機能被內部網絡和外部網絡所訪問，而內部網絡又能避免外部網絡所得知。3、事前預防：訪問控制和認證訪問控制和認證：訪問控制和認證是指控制訪問服務器的人和訪問內容。訪問控制是網絡安裝防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄及控制以及屬性控制多種手段這方面的產品主要有通軟的GNAC，天融信的TDSM-DSM，趨勢科技的EndpointSecurity

3、事前預防：漏洞補丁修復漏洞補丁包是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統，針對這種情況對于大型軟件系統（如微軟操作系統）在使用過程中暴露的問題（一般由黑客或病毒設計者發現）而發布的解決問題的小程序包。市場上常見的漏洞補丁管理軟件有江南天安的TASS_Smart_VM，安全狗的safedog、360的服務器版安全衛生

4、事中監控事中監控：主要是針對當前正在運行的系統發生的入侵行為進行進行監控，并對發生入侵行為進行處理。如非法軟件運行，A軟件非法調用B軟件，黑客或者不具備權限的用戶訪問某些資源，修改注冊表、系統文件等，實時監控程序會及時阻止并處理這些非法行為，產生報警，并報告給用戶。事中監控的主要軟件包括殺毒軟件和HIPS（基于主機的入侵防御系統）。殺毒軟件主要針對已知病毒的查殺，HIPS是一種能監控你電腦中文件的運行和文件運用了其他的文件以及文件對注冊表的修改，并向你報告請求允許的的軟件。市場上殺毒軟件種類繁多，比較流行的有國外的卡巴斯基、諾頓、賽門鐵克，國產的有360、瑞星、江民等HIPS軟件軟件眾多，如GSS(GhostSecuritySuite)、Winpooch、ParadorFileProtectionPE、McAfeeHostIntrusionPrevention

，MalwareDefender（奇虎360旗下軟件）、EQSecure（國產的E盾)。4、事中監控殺毒引擎主要涉及以下技術：虛擬機技術、實時監控技術、智能碼標識技術、行為攔截技術。4、事中監控虛擬機技術：在反病毒界也被稱為通用解密器，已經成為反病毒軟件中最重要的組成部分之一。殺毒引擎中的虛擬機，和那些諸如VMWare的“虛擬機”是有區別的。查毒引擎的虛擬機是一個軟件模擬的CPU，它可以象真正CPU一樣取值，譯碼，執行，可以模擬一段代碼在真正CPU上運行得到的結果。給定一組機器碼序列，虛擬機就會自動從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度，然后在相應的函數中執行該指令，并根據執行后的結果確定下條指令的位置，如此循環反復直到某個特定情況發生以結束工作，這就是虛擬機的基本工作原理和簡單流程。設計虛擬機查毒的目的，就是為了對付加密變形病毒，虛擬機首先從文件中確定并讀取病毒入口處代碼，然后以上述工作步驟解釋執行病毒頭部的解密段（Decryptor），最后在執行完的結果（解密后的病毒體明文）中查找病毒的特征碼。這里所謂的“虛擬”，并非是指創建了什么虛擬環境，而是指染毒文件并沒有實際執行，只不過是虛擬機模擬了其真實執行時的效果。這就是虛擬機查毒基本原理。4、事中監控實時監控：病毒實時監控普遍使用了驅動編程技術，讓工作于系統核心態的驅動程序去攔截所有的文件訪問。當然由于工作系統的不同，驅動程序無論從結構還是工作原理都不盡相同的，當然程序寫法和編譯環境更是千差萬別了。病毒實時監控，實質就是對文件的監控。除了文件監控外，還有各種各樣的實時監控工具，都具有各自不同的特點和功用。現在流行的網絡監控，郵件監控基本上是對文件監控的改進，革命性的改動沒有。病毒實時監控，其實就是一個文件監視器。它會在文件打開，關閉，清除，寫入等操作時檢查文件是否是病毒攜帶者，如果是則根據用戶的決定選擇不同的處理方案，如清除病毒，禁止訪問該文件，刪除該文件或簡單地忽略。這樣就可以有效地避免病毒在本地機器上的感染傳播，因為可執行文件裝入器在裝入一個文件執行時首先會要求打開該文件，而這個請求又一定會被實時監控在第一時間截獲到，它確保了每次執行的都是干凈的不帶毒的文件從而不給病毒以任何執行和發作的機會4、事中監控特征碼技術:運用程序中某一段或幾段64字節以下的代碼作為判別程序病毒的主要依據行為攔截技術：通過對程序行為的分析來判斷其是否為病毒5、事后審查事后審查：主要針對前期沒有預防和控制的已經發生的風險進行的補救措施。如審查系統的安全日志，發現非法的行為。如全盤掃描發現病毒文件等。如端口掃描發現非法開啟的端口。該部分功能大部分都集成在其他軟件中，作為整體軟件的一個功能點，如殺毒軟件帶有的全盤掃描和端口掃描功能。安全管理軟件一般帶有的日志查看功能。6、集成安全軟件服務器的安全防護是一個整體工程，因此需要從各個階段進行防護。因此市場上出現一批集中進行管理的安全防護軟件。它將各個功能集中在一起，功能強大，使用方便。下面簡單介紹兩款比較流行的軟件：1、服務器安全狗

它具備防病毒、防入侵、防攻擊、防篡改功能。實時監測Ip和端口訪問的合法性，實時攔截ARP攻擊、DDOS攻擊、暴力破解等。全面開放保護規則，同時支持監控網站目錄，有效保護重要文件、目錄與注冊表不被篡改與刪除，實時防止網站被上傳網頁木馬。系統默認規則與用戶自定義規則全支持，靈活定制，全面保護。有效防止未授權的非法用戶登錄服務器