首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
目前创新互联公司已为超过千家的企业提供了网站建设、域名、网站空间、网站托管、服务器租用、企业网站设计、乐山网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。
第一,做好硬件维护
当处理数据越来越多,占用资源也随之增多时,服务器就需要更多的内存和硬盘容量来储存这些资源,因此,每隔段时间后服务器需要升级,可是需要注意的增加内存或者硬盘时,要考虑到兼容性、稳定性,否则不同型号的内存有可能会引起系统出错。
还有对设备进行卸载和更换时,需要仔细阅读说明书,不要强行拆卸,而且必须在完全断电,服务器接地良好的情况下进行,防止静电对设备造成损坏。
同样,服务器的最大杀手尘土,因此需要定期给服务器除尘。特别要注意电源的除尘。
第二,做好数据的备份
对企业来说,服务器上的数据是非常宝贵,如果数据库丢失了,损失是非常巨大的,因此,企业需对数据进行定期备份,以防万一。一般企业都需要每天对服务器上的数据进行备份,而且要将备份数据放置在不同服务器上,
数据需要备份,同样需要防盗。可以通过密码保护好磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。同时,要定好备份时间,通常备份的过程会选择在晚上10点以后进行,到半夜结束。
第三,定期做好网络检查
第四,关闭不必要的服务,只开该开的端口
对于初学者,建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做,那么至少使用Windows NT。你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
或者关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。
以上是服务器日常操作安全维护的一些技巧。
对网络服务器的恶意网络行为包括两个方面:一是恶意的攻击行为,如拒绝服务攻击,网络病毒等等,这些行为旨在消耗服务器资源,影响服务器的正常运作,甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为,这种行为更是会导致服务器敏感信息泄露,入侵者更是可以为所欲为,肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。
(一) 构建好你的硬件安全防御系统
选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演一个保安的角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色,监视你的服务器出入口,非常智能地过滤掉那些带有入侵和攻击性质的访问。
(二) 选用英文的操作系统
要知道,windows毕竟美国微软的东西,而微软的东西一向都是以Bug 和 Patch多而著称,中文版的Bug远远要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果你的服务器上装的是中文版的windows系统,微软漏洞公布之后你还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。
如何防止黑客入侵
首先,世界上没有绝对安全的'系统。我们只可以尽量避免被入侵,最大的程度上减少伤亡。
(一) 采用NTFS文件系统格式
大家都知道,我们通常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。
(二)做好系统备份
常言道,“有备无患”,虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
(三)关闭不必要的服务,只开该开的端口
关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,而且对防止病毒也有一定的帮助。
( 四)软件防火墙、杀毒软件
虽然我们已经有了一套硬件的防御系统,但是“保镖”多几个也不是坏事。
(五)开启你的事件日志
虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,我们可以分析入侵者在我们的系统上到底做过什么手脚,给我们的系统到底造成了哪些破坏及隐患,黑客到底在我们的系统上留了什么样的后门,我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话,你还可以设置密罐,等待黑客来入侵,在他入侵的时候把他逮个正着。
1、需要合理设计网络的布局,内部网络与公网隔离。对于重要服务器或服务器群采取物理隔离、单向通讯的方式来防止数据泄露。在通讯的路径上架设防火墙。充分确保核心数据的安全。
2、网络设备进行热备部署,保障连接在交换机上的服务器的持续稳定运行。
3、加强服务器管理,在服务器上安装杀毒软件、监控程序、防篡改程序,关闭服务上可能带来威胁的端口。
4、部署安全审计系统,对服务器、交换机等各类设备的相关操作进行安全审计。
5、接入企业内部网络的客户端电脑全面安装杀毒软件并且定期升级病毒库。安装网络接入控制软件,对联网进行准入控制,并限制U盘接入。防止通过U盘把病毒带入企业内网。
一、修改windows默认的远程端口
也许有高手认为自己做的挺安全的,就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵,另外一方面也是防止被扫描影响系统的稳定。
有了解过扫描3389软件的人都知道,一般的攻击者都是扫描3389端口的,所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢?如果您的服务器默认是使用3389端口,扫描软件就会强力尝试密码字典里的密码,与您的主机建议很多的连接,占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的,希望大家重视。
二、修改windows默认的用户名
我们做安全也是针对攻击的行为而制作相对的策略,攻击的人尝试密码破解的时候,都是使用默认的用户名administrator,当你修改了用户名之后,它猜不出您的用户名,即使密码尝试上千万次都不会成功的,如果要使用用户名字典再加下密码字典,我估计攻击者就没有那个心思了,而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。
那么修改成什么样的用户名才是比较安全呢?个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如: 非诚勿扰ADsp0973
三、使用复杂的密码
从扫描以及破解的软件看,都是使用简单的常用的密码进行破解的,例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码,所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。
建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。