2023年7月8日发(作者：)

服务器安全防护措施

服务器是IT系统中的核心设备。因此,服务器的安全是每个用户都必须重视的问题。本文从服务器漏洞的修补、HIPS—主机入侵防护系统的应用、对“拒绝服务攻击”的防范、从系统内核入手的保护四个方面进行论述，旨在保护服务器，使其免受来自网络的威胁。

1 服务器漏洞的修补：

事实证明，99％的黑客攻击事件都是利用未修补的漏洞与错误的设定。许多受到防火墙、IDS、防毒软件保护的服务器仍然遭受黑客、蠕虫的攻击，其主要原因是企业缺乏一套完整的弱点评估管理机制，未能落实定期评估与漏洞修补的工作，因而造成漏洞没人理睬，最终成为黑客攻击的管道，或者是病毒攻击破坏的目标。

如何避免网络服务器受网上那些恶意的攻击行为。

1.1 构建好硬件安全防御系统

选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等；入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

1.2 选用英文的操作系统

要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

另外，企业需要使用漏洞扫描和风险评估工具定期对服务器进行扫描，以发现潜在的安全问题，并确保升级或修改配置等正常的维护工作不会带来安全问题。

漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。基于主机的漏洞扫描器通常在目标系统上安装了一个代理（Agent）或者是服务 （Server）,以便能够访问所有的文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。

以某公司的主机漏洞扫描器为例，它是基于主机的Client/Server三层体系结构的漏洞扫描工具，这三层分别为控制台、管理器和代理。控制台安装在一台计算机中，管理器安装在企业网络中，代理安装完后，需要向管理器注册。当代理收到管理器发来的扫描指令时，代理单独完成本目标系统的漏洞扫描任务。扫描结束后，代理将结果传给管理器。最终用户可以通过控制台浏览扫描报告。

基于主机的漏洞扫描器有很多优点。

扫描的漏洞数量多。由于在目标系统上安装了一个代理或者是服务，以便能够访问所有的文件与进程，这使得基于主机的漏洞扫描器能够扫描更多的漏洞。

集中化管理。基于主机的漏洞扫描器通常都有一个集中的服务器作为扫描服务器。所有扫描的指令均从服务器进行控制。这一点与基于网络的扫描器类似。这种集中化管理模式，使得基于主机的漏洞扫描器能够实现快速部署。

网络流量负载小。由于管理器与代理之间只有通信的数据包，漏洞扫描部分都由代理单独完成，这就大大减少了网络的流量负载。当扫描结束后，代理再次与管理器进行通信，将扫描结果传送给管理器。

2 HIPS-主机入侵防护系统的应用：

HIPS-主机入侵防护系统通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。HIPS能够保护服务器的安全弱点不被不法分子所利用，它可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为。HIPS提升了主机的安全水平，在防范蠕虫的攻击中，起到了很好的防护作用。

在技术上，HIPS采用独特的服务器保护途径，利用包过滤、状态包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以通过拦截针对操作系统的可疑调用，提供对主机的安全防护，也可以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。

由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页 面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

3 对“拒绝服务攻击”的防范：

目前网络中有一种攻击让网络管理员最为头疼，就是拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）。它是一种滥用资源性的攻击，目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

防DDoS攻击的软件防火墙可全面应用在IDC机房托管、虚拟主机、电子商务网站、邮件服务器上。但有一些产品仅有防御DoS攻击的功能，遇到针对服务器攻击的黑客，仍然无任何作用，好的产品应该拥有强大的网络协议解析能力。可过滤经过精心伪装的恶意代码和攻击，有效阻止和预警各种攻击行为，可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻击，以及具有端口防护、HTTP指纹检测、端口应用方式定点过滤等功能，并且不限制服务器连接数。

4 从系统内核入手的保护：

针对服务器的安全，国内还出现了操作系统安全加固技术（Reinforcement

Operating System Technique Rost），结合其他层面的安全技术，能够很好地满足现有各种复杂的网络环境的应用需求，并已达到了国家等级保护三级技术的要求。

ROST是一项利用安全内核来提升操作系统安全等级的技术，这项技术的核心就是在操作系统的核心层重构操作系统的权限访问模型，实现真正的强访问控制，使操作系统达到第三等级（B1级）的安全技术要求。此外，ROST在最大程度地确保操作系统安全的基础上，对服务器安全的概念进行了重新定义。以往谈到服务器安全，多半会想到硬件安全，例如容错、灾备等，而ROST所指的安全服务器需要具备4项安全指标：安全的物理设备（比如控制硬件的拔插、硬件各零件状态的管理检测等）、安全的操作系统、安全的应用系统（在ROST支持下的应用系统）、专业的管理系统。

服务器安全防护措施的应用，使得服务器得到了较高的安全防护。当然随着计算机技术的飞速发展，更为隐密、手段更加高明的不安全措施的增加，为我们继续开发新的服务器安全防护措施提供了更高的要求。

也许你会对服务器的运行感到纳闷，为什么它能同时向外界提供类似信息下载服务、页面浏览服务、电子邮件服务呢，这么多服务同时进行工作，怎么不会发生冲突呢？其实，服务器所开通的任何一种服务，都是通过某一端口来实现的，不同的服务使用的服务器端口号是完全不一样的，而服务器同时可以开通若干个通信端口，这样的话任何一种服务使用不同的端口工作时，就不会发生冲突现象。当然，服务器的端口被各种网络服务充分利用的同时，它们也会被一些非法攻击者利用，这么一来端口有时也会成为黑客攻击服务器的一种“通道”。如果对这样的“通道”不妥善管理的话，服务器的安全将会受到极大的威胁。

为此，本文下面就从服务器的端口细处出发，来向各位详细介绍一下如何活用网络“端口”，保护服务器的安全！

屏蔽端口防止帐号被盗

大家知道，如果服务器的超级管理员帐号或者特权用户的帐号被盗用的话，那么服务器的所有隐私信息都可能会被“任人宰割”；很显然，阻止管理员帐号或特权用户帐号被非法盗用，是保护服务器信息安全的一种途径之一。要想保护好各种帐号信息，除了管理人员自己要小心、细致外，还要想办法“切断”非法用户获取帐号的“通道”；一般来说，黑客或者非法攻击者窃取服务器管理员帐号时，往往都会通过服务器的3389端口来进行的，要是我们能想办法将通往该端口的信息屏蔽掉的话，就能阻止非法攻击者来轻易窃取服务器的各种帐号信息了，这样的话服务器安全就能得到一定程度的保证。要想将3389端口暂时屏蔽掉的话，你可以按照下面的方法来进行：

在屏蔽Windows XP服务器系统中的3389端口时，你可以右击系统桌面中的“我的电脑”，然后执行右键菜单中的“属性”命令，在弹出的属性设置对话框中，选中“远程”选项卡，接着在对应的选项设置页面中，将“允许用户远程连接到这台计算机”的选中状态以及“允许从这台计算机发送远程协助邀请”的选中状态都取 消掉（如图1所示），再单击设置窗口中的“确定”按钮，就可以实现间接屏蔽Windows XP服务器系统3389端口的目的了。

图1

要想暂时屏蔽Windows 2000或Windows 2003服务器中的3389端口时，只要将服务器的系统服务“Terminal Services”停用掉就可以了。在停用“Terminal

Services”系统服务时，可以依次单击“开始”/“运行”命令，在随后打开的系统运行框中，执行服务策略编辑命令“”，接着服务器系统将自动打开一个服务列表窗口；双击该窗口中的“Terminal Services”选项名称，打开如图2所示的服务属性设置窗口，检查该窗口中的服务启动状态是否为“已禁用”，要是不是的话，那你必须先单击该窗口中的“停止”按钮，再从启动类型下拉列表中选中“已禁用”选项，之后单击一下“确定”按钮就OK了。

图2

更改端口防止非法连接

尽管通过屏蔽3389端口的方法，可以有效地保证服务器的安全，可这么一来就会影响到网络管理人员对服务器的远程连接和远程管理了；那么有没有办法既能保证服务器的帐号不被轻易窃取，又能保证网络管理人员可以正常对服务器进行远程管理和远程维护呢？答案是肯定的，只要你想办法将终端服务器缺省的3389端口号码，修改成其他非法用户不知道的端口号码，就能防止普通用户随意与服务器建立非法连接了。

在修改缺省的3389端口号码时，你可以依次单击“开始”/“运行”命令，在打开的系统运行对话框中，执行注册表编辑命令“Regedit”，在随后出现的注册表编辑界面中，用鼠标逐一展开注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

ServerWdsrdpwdTdstcp，如图3所示；

图3

在对应“tcp”分支的右边子窗口中，选中“PortNumber”双字节值，并用鼠标双击之，在随后打开的数值设置窗口中，选中“十进制”选项，这样你将看到缺省的终端服务端口号码为“3389”，此时你可以在“数值数据”文本框中输入其他的端口号码，不过该号码千万不能与系统中已经存在的号码相同，否则的话就容易造成端口号码发生冲突现象，从而影响服务器系统的正常运行。比方说，你要将服务器的终端服务端口号码修改为“98765”，那么只要先选中“十进制”选项，再在“数值数据”文本框中输入数字“98765”，如图4所示；接着将鼠标再定位于注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal

ServerWinStationsRDP-Tcp上，再在对应“RDP-Tcp”分支的右边子窗口中，双击“PortNumber”双字节值，然后在对应的数值设置窗口中，输入新的数字“98765”，再单击“确定”按钮，最后把服务器系统重新启动一下，这样服务器的终端服务端口号码就成了“98765”了。