七种维护服务器安全最佳技巧

）：七种维护服务器安全最佳技巧

–>

　　七种维护服务器安全最佳技巧

　　在现如今互联网技术高速发展的时代，越来越多的病毒，心怀不轨的黑客等都对网站安全、网站数据存在重大威胁，尤其是最近的美国明星“艳照门”事件。对于企业来讲，服务器的安全不容忽视，如何保证数据的安全性是当前站长们所关心的问题，针对服务器安全问题，小编大致总结了七种维护服务器安全最佳技巧。

　　第一、定期进行网站备份

　　每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害。但是，安全的问题远不止是备份那么简单。大多数人都没有意识到，你的备份实际上就是一个巨大的安全漏洞。

　　要理解这是为什么，试想一下，大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。整个备份的过程通常是在半夜的时候结束，这取决于你有多少数据要备份。现在，想象一下，时间已经到了早晨四点，你的备份工作已经结束。但是，没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们。

　　首先，可以通过密码保护你的磁带并且如果你的备份程序支持加密功能，你还可以加密这些数据。其次，你可以将备份程序完成工作的时间定在你早晨上班的时间。这样的话，即使有人前一天半夜想要溜进来偷走磁带的话，他们也会因为磁带正在使用而无法得逞。如果窃贼还是把磁带弹出来带走的话，磁带上的数据也就毫无价值了。

　　第二、使用流行的补丁程序

　　微软雇佣了一个程序员团队来检查安全漏洞并修补它们。有时，这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布。通常有两种不同的补丁程序版本：一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。如果你现在还在使用40位的服务包并且生活在美国或是加拿大，我强烈建议你下载128位的版本。

　　有时一个服务包的发布也许要等上好几个月–很明显的，当一个大的安全漏洞被发现的时候，只要有可能修补它，你就不想再等下去。好在你并不需要等待。微软定期将重要的补丁程序发布在它的FTP站点上。这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。我建议你经常查看热点补丁。记住你一定要按逻辑顺序使用这些补丁。如果你以错误的顺序使用它们，结果可能导致一些文件的版本错误，Windows也可能停止工作.

　　第三、对RAS使用回叫功能

　　Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持。不幸的是，一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门。黑客们所需要的一切只是一个电话号码，有时还需要一点耐心，然后就能通过RAS进入一台主机了。但你可以采取一些方法来保证RAS服务器的安全。

　　你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机，我建议你使用回叫功能，它允许远程用户登录以后切断连接。然后RAS服务器拨通一个预先定义的电话号码再次接通用户。因为这个号码是预先设定了的，黑客也就没有机会设定服务器回叫的号码了。

　　另一个可选的办法是限定所有的远程用户都访问单一的服务器。你可以将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上。你于是可以将远程用户的访问限制在一台服务器上，而不是整个网络。这样，即使黑客通过破坏手段来进入主机，那么他们也会被隔离在单一的一台机器上，在这里，他们造成的破坏被减少到了最小。

　　最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议。我知道的每一个人都使用TCP/IP协议作为RAS协议。考虑到TCP/IP协议本身的性质和典型的用途，这看起来象是一个合理的选择。但是，RAS还支持IPX/SPX和NetBEUI协议。如果你使用NetBEUI作为你RAS的协议，你确实可以迷惑一些不加提防的黑客。

　　第四、查看网站防火墙

　　我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。

　　你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器，它们的IP地址也许也要通过防火墙对外界可见。但是，工作站和其他服务器的IP地址必须被隐藏起来。

　　你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通讯，因此你可能并不想堵掉这个端口。但是，你也许永远都不会用端口81因此它应该被关掉。你可以在Internet上找到每个端口使用用途的列表。

　　第五、使用一个强有力的安全政策

　　要提高安全性，另一个你可以做的工作就是制定一个好的，强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。

　　如果你使用Windows 2000 Server，你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样，人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样，不满的员工就不会有机会来搅乱公司的系统了。同时，使用特殊用户权限，你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。