简述服务器的主要特点
服务器是计算机的一种,在网络中为其它客户机提供计算或者应用服务。具体特点如下:
1、可扩展性
服务器必须具有一定的“可扩展性”,为了保持可扩展性,通常需要在服务器上具备一定的可扩展空间和冗余件(如磁盘阵列架位、PCI和内存条插槽位等)。
2、易使用性
服务器的易使用性主要体现在服务器是不是容易操作,用户导航系统是不是完善,机箱设计是不是人性化,有没有关键恢复功能,是否有操作系统备份,以及有没有足够的培训支持等方面。
3、可用性
可用性,即所选服务器能满足长期稳定工作的要求,不能经常出问题。服务器所面对的是整个网络的用户,而不是单个用户,在大中型企业中,通常要求服务器是永不中断的。为了确保服务器具有高的可用性,除了要求各配件质量过关,还可采取必要的技术和配置措施,如硬件冗余等。
4、易管理性
在服务器虽然在稳定性方面有足够保障,但也应有必要的避免出错的措施,以及时发现问题,而且出了故障也能及时得到维护。这不仅可减少服务器出错的机会,同时还可大大提高服务器维护的效率。
扩展资料:
服务器按体系架构分类:
1、非x86服务器
非x86服务器包括大型机、小型机和UNIX服务器,是使用RISC(精简指令集)或EPIC(并行指令代码) 处理器,并且主要采用UNIX和其它专用操作系统的服务器,精简指令集处理器主要有IBM公司的POWER和PowerPC处理器,SUN与富士通公司合作研发的SPARC处理器等。
2、x86服务器
x86服务器,即通常所讲的PC服务器,它是基于PC机体系结构,使用Intel或其它兼容x86指令集的处理器芯片和Windows操作系统的服务器。价格便宜、兼容性好、稳定性较差、安全性不算太高,主要用在中小企业和非关键业务中。
-服务器
内容包括:Web服务器的工作原理以从相关技术的实现,以IIS与Apache服务器为例讲解Web服务器的配置与管理方法,Web服务器常用的客广端及服务器端开发技术,Web优化基本知识等。《Web服务器开发技术》旨在帮助读者初步掌握各类开发技术,以便在Web站点的规划与设计过程中制定合适的技术方案,并具备深入学习各炎Web服务器开发技术的能力。
服务器的特点
1、可扩展性
服务器必须具有一定的“可扩展性”,这是因为企业网络不可能长久不变,特别是在当今信息时代。如果服务器没有一定的可扩展性,当用户一增多就不能胜任的话,一台价值几万,甚至几十万的服务器在短时间内就要遭到淘汰,这是任何企业都无法承受的。为了保持可扩展性,通常需要在服务器上具备一定的可扩展空间和冗余件(如磁盘阵列架位、PCI和内存条插槽位等)。
可扩展性具体体现在硬盘是否可扩充,CPU是否可升级或扩展,系统是否支持WindowsNT、Linux或UNIX等多种可选主流操作系统等方面,只有这样才能保持前期投资为后期充分利用。
2、易使用性
服务器的功能相对于PC机来说复杂许多,不仅指其硬件配置,更多的是指其软件系统配置。服务器要实现如此多的功能,没有全面的软件支持是无法想象的。但是软件系统一多,又可能造成服务器的使用性能下降,管理人员无法有效操纵。所以许多服务器厂商在进行服务器的设计时,除了在服务器的可用性、稳定性等方面要充分考虑外,还必须在服务器的易使用性方面下足功夫。
服务器的易使用性主要体现在服务器是不是容易操作,用户导航系统是不是完善,机箱设计是不是人性化,有没有关键恢复功能,是否有操作系统备份,以及有没有足够的培训支持等方面。
3、可用性
对于一台服务器而言,一个非常重要的方面就是它的“可用性”,即所选服务器能满足长期稳定工作的要求,不能经常出问题。其实就等同于Sun所提出的可靠性(Reliability)。
因为服务器所面对的是整个网络的用户,而不是单个用户,在大中型企业中,通常要求服务器是永不中断的。在一些特殊应用领域,即使没有用户使用,有些服务器也得不间断地工作,因为它必须持续地为用户提供连接服务,而不管是在上班,还是下班,也不管是工作日,还是休息、节假日。这就是要求服务器必须具备极高的稳定性的根本原因。
一般来说专门的服务器都要7X24小时不间断地工作,特别像一些大型的网络服务器,如大公司所用服务器、网站服务器,以及提供公众服务iqdeWEB服务器等更是如此。对于这些服务器来说,也许真正工作开机的次数只有一次,那就是它刚买回全面安装配置好后投入正式使用的那一次,此后,它不间断地工作,一直到彻底报废。如果动不动就出毛病,则网络不可能保持长久正常运作。为了确保服务器具有高得“可用性”,除了要求各配件质量过关外,还可采取必要的技术和配置措施,如硬件冗余、在线诊断等。
4、易管理性
在服务器的主要特性中,还有一个重要特性,那就是服务器的“易管理性”。虽然我们说服务器需要不间断地持续工作,但再好的产品都有可能出现故障,拿人们常说的一句话来说就是:不
是不知道它可能坏,而是不知道它何时坏。服务器虽然在稳定性方面有足够保障,但也应有必要的避免出错的措施,以及时发现问题,而且出了故障也能及时得到维护。这不仅可减少服务器
出错的机会,同时还可大大提高服务器维护的效率。其实也就是Sun提出的可服务性(Serviceability)。
服务器的易管理性还体现在服务器有没有智能管理系统,有没有自动报警功能,是不是有独立与系统的管理系统,有没有液晶监视器等方面。只有这样,管理员才能轻松管理,高效工作。
服务器的分类
按照体系架构来区分,服务器主要分为两类:
非x86服务器
非x86服务器:包括大型机、小型机和UNIX服务器,它们是使用RISC(精简指令集)或EPIC(并行指令代码) 处理器,并且主要采用UNIX和其它专用操作系统的服务器,精简指令集处理器主要有IBM公司的POWER和PowerPC处理器,SUN与富士通公司合作研发的SPARC处理器、EPIC处理器主要是Intel研发的安腾处理器等。这种服务器价格昂贵,体系封闭,但是稳定性好,性能强,主要用在金融、电信等大型企业的核心系统中。
x86服务器
x86服务器:又称CISC(复杂指令集)架构服务器,即通常所讲的PC服务器,它是基于PC机体系结构,使用Intel或其它兼容x86指令集的处理器芯片和Windows操作系统的服务器。价格便宜、兼容性好、稳定性较差、安全性不算太高,主要用在中小企业和非关键业务中。
按应用层次划分
按应用层次划分通常也称为“按服务器档次划分”或 “按网络规模”分,是服务器最为普遍的一种划分方法,它主要根据服务器在网络中应用的层次(或服务器的档次来)来划分的。要注意的是这里所指的服务器档次并不是按服务器CPU主频高低来划分,而是依据整个服务器的综合性能,特别是所采用的一些服务器专用技术来衡量的。按这种划分方法,服务器可分为:入门级服务器、工作组级服务器、部门级服务器、企业级服务器。
1、入门级服务器
这类服务器是最基础的一类服务器,也是最低档的服务器。随着PC技术的日益提高,许多入门级服务器与PC机的配置差不多,所以也有部分人认为入门级服务器与“PC服务器”等同。这类服务器所包含的服务器特性并不是很多,通常只具备以下几方面特性:
1有一些基本硬件的冗余,如硬盘、电源、风扇等,但不是必须的;
2通常采用SCSI接口硬盘,也有采用SATA串行接口的;
3部分部件支持热插拔,如硬盘和内存等,这些也不是必须的;
4通常只有一个CPU,但不是绝对;
5内存容量最大支持16GB。
这类服务器主要采用Windows或者NetWare网络操作系统,可以充分满足办公室型的中小型网络用户的文件共享、数据处理、Internet接入及简单数据库应用的需求。这种服务器与一般的PC机很相似,有很多小型公司干脆就用一台高性能的品牌PC机作为服务器,所以这种服务器无论在性能上,还是价格上都与一台高性能PC品牌机相差无几。
入门级服务器所连的终端比较有限(通常为20台左右),况且在稳定性、可扩展性以及容错冗余性能较差,仅适用于没有大型数据库数据交换、日常工作网络流量不大,无需长期不间断开机的小型企业。不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次,其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器",这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义,不过这种划分的还是比较少。还有一点就是,这种服务器一般采用Intel的专用服务器CPU芯片,是基于Intel架构(俗称"IA结构")的,当然这并不是一种硬性的标准规定,而是由于服务器的应用层次需要和价位的限制。
2、工作组服务器
工作组服务器是一个比入门级高一个层次的服务器,但仍属于低档服务器之类。从这个名字也可以看出,它只能连接一个工作组(50台左右)那么多用户,网络规模较小,服务器的稳定性也不像下面我们要讲的企业级服务器那样高的应用环境,当然在其它性能方面的要求也相应要低一些。工作组服务器具有以下几方面的主要特点:
1通常仅支持单或双CPU结构的应用服务器(但也不是绝对的,特别是SUN的工作组服务器就有能支持多达4个处理器的工作组服务器,当然这类型的服务器价格方面也就有些不同了)。
2可支持大容量的ECC内存和增强服务器管理功能的SM总线。
3功能较全面、可管理性强,且易于维护。
4采用Intel服务器CPU和Windows/NetWare网络操作系统,但也有一部分是采用UNIX系列操作系统的。
5可以满足中小型网络用户的数据处理、文件共享、Internet接入及简单数据库应用的需求。
工作组服务器较入门级服务器来说性能有所提高,功能有所增强,有一定的可扩展性,但容错和冗余性能仍不完善、也不能满足大型数据库系统的应用,但价格也比前者贵许多,一般相当于2~3台高性能的PC品牌机总价。
3、部门级服务器
这类服务器是属于中档服务器之列,一般都是支持双CPU以上的对称处理器结构,具备比较完全的硬件配置,如磁盘阵列、存储托架等。部门级服务器的最大特点就是,除了具有工作组服务器全部服务器特点外,还集成了大量的监测及管理电路,具有全面的服务器管理能力,可监测如温度、电压、风扇、机箱等状态参数,结合标准服务器管理软件,使管理人员及时了解服务器的工作状况。同时,大多数部门级服务器具有优良的系统扩展性,能够满足用户在业务量迅速增大时能够及时在线升级系统,充分保护了用户的投资。它是企业网络中分散的各基层数据采集单位与最高层的数据中心保持顺利连通的必要环节,一般为中型企业的首选,也可用于金融、邮电等行业。
部门级服务器一般采用IBM、SUN和HP各自开发的CPU芯片,这类芯片一般是RISC结构,所采用的操作系统一般是UNIX系列操作系统,LINUX也在部门级服务器中得到了广泛应用。
部门级服务器可连接100个左右的计算机用户、适用于对处理速度和系统可靠性高一些的中小型企业网络,其硬件配置相对较高,其可靠性比工作组级服务器要高一些,当然其价格也较高(通常为5台左右高性能PC机价格总和)。由于这类服务器需要安装比较多的部件,所以机箱通常较大,采用机柜式的。
4、企业级服务器
企业级服务器是属于高档服务器行列,正因如此,能生产这种服务器的企业也不是很多,但同样因没有行业标准硬件规定企业级服务器需达到什么水平,所以也看到了许多本不具备开发、生产企业级服务器水平的企业声称自己有了企业级服务器。企业级服务器最起码是采用4个以上CPU的对称处理器结构,有的高达几十个。
另外一般还具有独立的双PCI通道和内存扩展板设计,具有高内存带宽、大容量热插拔硬盘和热插拔电源、超强的数据处理能力和群集性能等。这种企业级服务器的机箱就更大了,一般为机柜式的,有的还由几个机柜来组成,像大型机一样。企业级服务器产品除了具有部门级服务器全部服务器特性外,最大的特点就是它还具有高度的容错能力、优良的扩展性能、故障预报警功能、在线诊断和RAM、PCI、CPU等具有热插拔性能。有的企业级服务器还引入了大型计算机的许多优良特性。这类服务器所采用的芯片也都是几大服务器开发、生产厂商自己开发的独有CPU芯片,所采用的操作系统一般也是UNIX(Solaris)或LINUX。
企业级服务器适合运行在需要处理大量数据、高处理速度和对可靠性要求极高的金融、证券、交通、邮电、通信或大型企业。企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求非常高的大型网络。企业级服务器的硬件配置最高,系统可靠性也最强。
服务器中配置固态硬盘已经是一个普遍的选择,特别是如果只有很小比例的服务器存在性能问题的话尤其如此。固态硬盘可以帮助用户解决服务器性能的瓶颈。固态硬盘也可以让高速存储更加的接近处理器并将共享存储网络这个潜在的瓶颈剔除掉。目前有三种固态硬盘的形式作为达标:即硬盘驱动型SSD,SSD DIMM和PCIs SSD。
5、典型服务器应用
办公OA服务器
ERP服务器
WEB服务器
数据库服务器
财务服务器
邮件服务器
打印服务器
集群服务器
无盘办公系统
无盘网吧服务器
无盘教学系统
视频监控服务器
流媒体服务器
VOD视频点播服务器
网络下载
SP服务
网络教学服务器
IDC-主机出租
IDC-虚拟空间
IDC-网游
IDC-主机托管
游戏服务器
高性能计算(HPC)
桌面超算
论坛服务器
服务器的简介
服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。
服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
在网络环境下,根据服务器提供的服务类型不同,分为文件服务器,数据库服务器,应用程序服务器,WEB服务器等。
服务器的安全问题
1、服务器所处运行环境不佳
对于计算机网络服务器来说,运行的环境是非常重要的。其中所指的环境主要包括运行温度和空气湿度两个方面。网络服务器与电力的关系是非常紧密的,电力是保证其正常运行的能源支撑基础,电力设备对于运行环境的温度和湿度要求通常来说是比较严格的,在温度较高的情况下,网络服务器与其电源的整体温度也会不断升高,如果超出温度耐受临界值,设备会受到不同程度的损坏,严重者甚至会引发火灾。如果环境中的湿度过高,网络服务器中会集结大量水汽,很容易引发漏电事故,严重威胁使用人员的人身安全。
2、缺乏正确的网络服务器安全维护意识
系统在运行期间,部分计算机用户由于缺乏基本的网络服务器安全维护意识,对于网络服务器的安全维护不能给予充分重视。计算机在长期使用的过程中,缺少有效的安全维护措施,最终导致网络服务器出现一系列运行故障。与此同时,某些用户由于没有选择正确的防火墙软件,系统不断出现各种漏洞,用户个人信息极易遭到泄露。
3、服务器系统漏洞过多
计算机网络本身具有开放自由的特性,这种属性既存在技术性优势,在某种程度上也会对计算机系统的安全造成威胁。一旦系统中出现很难修复的程序漏洞,某些不法人员很可能借助漏洞对缓冲区进行信息查找,然后攻击计算机系统,这样一来,不但用户信息面临泄露的风险,计算机运行系统也会遭到损坏。
服务器的维护保养
1、注重机房环境的建设
机房环境对服务器的正常运转有着重要的影响作用。因此,服务器维护和保养的首要环节就是做好机房环境建设。机房要保证充足的空间,用以安装和配置服务器的相关设备,机房的隔断,地板等要做好防静电等细节处理。机房的防火工作也很关键,要做好墙面和电缆等的防火处理。一旦遇到火情等,如何保障设备的安全,如何保障人员的有序撤离等都是机房建设中需要考虑的因素。机房的温度和湿度也应当操持在一定的范围,温度和湿度对于电子产品的正常工作有着非常大的影响作用。服务器是电子设备中对温度和湿度都较为敏感的设备。如果服务器所在的机房太过于干燥,那么人员在机房中与设备接触的过程中非常容易产生静电。这种静电一般都有几千伏乃至上万伏,这对服务器的正常运行时非常危险的,极易引起严重的事故。如何科学合理的做好机房布局和管理工作是机房建设的关键。目前我国的计算机服务器机房管理还存在着很多需要完善的地方,比如机房的管理现代化水平还不高,很多监测和维护工作还单纯依靠人力完成,没有形成信息化和网络化的管理机制。其实,电子检测系统不管是在设计上还是在实施上并没有多少难度,但由于我们重视程度的不够,机房建设的总体水平依然在低位徘徊。
服务器的硬件组成较为复杂,对于服务器硬件的维护应由专业人员进行。在维护和保养存储设备时,我们首先应当对其容量进行测试,看是否需要进行扩容等操作。存储容量一定要能满足任务的需求,并留有一定的冗余量。在拆卸和更新服务器设备时,务必让设备处于断电状态并进行接地处理。即便是更换最简单的部件,这些环节也不能省略。对于一些不熟悉的部件,要反复仔细的阅读说明书和参照文件,在没有十足把握的前提下切忌盲目拆解。要定期对服务器进行除尘处理。灰尘对硬件的工作有着很强的影响,特别是服务器这种高温高速运行的设备,大量的积尘对设备造成的伤害往往是致命的。除尘工作要科学有序的进行,不能想当然,也不能蛮干。在除尘过程中特别注意对电源系统的保护。
3、维护好服务器软件
软件是服务器的重要组成部分,服务器的稳定高效运行离不开相应的软件。我们要定期对服务器的软件系统进行巡检,及时发现漏洞,及时安装官方给定的补丁程序。在扩展服务器数据库时,在条件允许的情况下,最好对原有数据进行备份,以免造成不必要的损失。
4、做好电力控制
做好电力控制。没有稳定的电力保证,服务器就没有办法正常工作。电子控制是一个非常关键,但又非常容易被忽视的问题。在机房建设之初,我们就应当充分考虑到服务器的电力保障。要为机房设计和配置一套稳定,可靠的电力供应系统。这套系统还要有处置和应对突发事件的能力,例如,不可预知的停电、雷电等。
5、密码管理
服务器的密码管理是服务器防御能力的最关键组成部分。密码的管理和更换应当形成一套长效机制。我们要定期对服务器的密码进行更换,密码应有专人管理。选用的密码要有一定的专业性,一定的复杂度,最好是将数字和字母等结合起来,大小写也要融合进去。在日常的检查中,我们要做好登统计,关闭一些不太使用的端口。
目前服务器常用的操作系统有三类: -Unix -Linux -Windows NT/2000/2003 Server 这些操作系统都是符合C2级安全级别的操作系 统但是都存在不少漏洞,如果对这些漏洞不了 解,不采取相应的措施,就会使操作系统完全暴 露给入侵者 BJFU Info Department, QiJd第七章操作系统安全配置方案 UNIX系统 UNIX操作系统是由美国贝尔实验室开发的 一种多用户,多任务的通用操作系统 诞生于1969年,在GE645计算机上实现一 种分时操作系统的雏形 1970年给系统正式取名为Unix操作系统 到1973年,Unix系统的绝大部分源代码都 用C语言重新编写过,大大提高了Unix系统 的可移植性,也为提高系统软件的开发效率 创造了条件 BJFU Info Department, QiJd第七章操作系统安全配置方案 主要特色 UNIX操作系统经过20多年的发展后,已经成为一种成 熟的主流操作系统,并在发展过程中逐步形成了一些 新的特色,其中主要特色包括5个方面 -(1)可靠性高 -(2)极强的伸缩性 -(3)网络功能强 -(4)强大的数据库支持功能 -(5)开放性好 BJFU Info Department, QiJd第七章操作系统安全配置方案 Linux系统 Linux是一套可以免费使用和自由传播的 类Unix操作系统,主要用于基于Intel x86 系列CPU的计算机上 Linux是在GPL(General Public License)保护下的自由软件,版本有: Redhatlinux,Suse,Slackware, Debian等;国内有:XteamLinux,红旗 LinuxLinux流行的原因是免费并且功能 强大 BJFU Info Department, QiJd第七章操作系统安全配置方案 Linux典型的优点 (1)完全免费 (2)完全兼容POSIX 10标准 (3)多用户,多任务 (4)良好的界面 (5)丰富的网络功能 (6)可靠的安全,稳定性能 (7)支持多种平台 BJFU Info Department, QiJd第七章操作系统安全配置方案 Windows系统 Windows NT(New Technology)是微软 公司第一个真正意义上的网络操作系统, 发展经过NT30,NT40,NT50 (Windows 2000)和NT60(Windows 2003)等众多版本,并逐步占据了广大的 中小网络操作系统的市场 Windows NT众多版本的操作系统使用了 与Windows 9X完全一致的用户界面和完全 相同的操作方法,使用户使用起来比较方 便与Windows 9X相比,Windows NT的 网络功能更加强大并且安全 BJFU Info Department, QiJd第七章操作系统安全配置方案 Windows NT系列操作系统 Windows NT系列操作系统具有以下三方面的优点 (1)支持多种网络协议 -由于在网络中可能存在多种客户机,如Windows 95/98,Apple Macintosh,Unix,OS/2等等,而这些客户机可能使用了不同的 网络协议,如TCP/IP协议,IPX/SPX等Windows NT系列操作支 持几乎所有常见的网络协议 (2)内置Internet功能 -内置IIS(Internet Information Server),可以使网络管理员轻松 的配置WWW和FTP等服务 (3)支持NTFS文件系统 -NT同时支持FAT和NTFS的磁盘分区格式使用NTFS的好处主要 是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文 件,目录设置权限,这样当多用户同时访问系统的时候,可以增加 文件的安全性 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案初级篇 安全配置方案初级篇主要介绍常规的操作 系统安全配置,包括十二条基本配置原 则: (1)物理安全,(2)停止Guest帐号, (3)限制用户数量 (4)创建多个管理员帐号,(5)管理员帐号改名 (6)陷阱帐号,(7)更改默认权限,(8)设置 安全密码 (9)屏幕保护密码,(10)使用NTFS分区 (11)运行防毒软件,(12)确保备份盘安全 BJFU Info Department, QiJd第七章操作系统安全配置方案 1,物理安全 服务器应该安放在安装了监视器的隔离房 间内,并且监视器要保留15天以上的摄像 记录 另外,机箱,键盘,电脑桌抽屉要上锁, 以确保旁人即使进入房间也无法使用电 脑,钥匙要放在安全的地方 2,停止Guest帐号 在计算机管理的用户里面把Guest帐号停用,任何时候都不允许 Guest帐号登陆系统 为了保险起见,最好给Guest 加一个复杂的密码,包含特殊字符,数 字,字母的长字符串 用它作为Guest帐号的密码并且修改Guest帐号的属性,设置拒绝 远程访问,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 3 限制用户数量 去掉所有的测试帐户,共享帐号和普通部门帐号 等等用户组策略设置相应权限,并且经常检查 系统的帐户,删除已经不使用的帐户 帐户很多是黑客们入侵系统的突破口,系统的帐 户越多,黑客们得到合法用户的权限可能性一般 也就越大 对于Windows NT/2000主机,如果系统帐户超过 10个,一般能找出一两个弱口令帐户,所以帐户 数量不要大于10个 BJFU Info Department, QiJd第七章操作系统安全配置方案 4 多个管理员帐号 虽然这点看上去和上面有些矛盾,但事实上是服 从上面规则的创建一个一般用户权限帐号用来 处理电子邮件以及处理一些日常事物,另一个拥 有Administrator权限的帐户只在需要的时候使 用 因为只要登录系统以后,密码就存储再 WinLogon进程中,当有其他用户入侵计算机的 时候就可以得到登录用户的密码,尽量减少 Administrator登录的次数和时间 5 管理员帐号改名 Windows 2000中的Administrator帐号是不能被停用的,这意味着 别人可以一遍又一边的尝试这个帐户的密码把Administrator帐户 改名可以有效的防止这一点 不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用 户,比如改成:guestone具体操作的时候只要选中帐户名改名就 可以了,如图所示 6 陷阱帐号 所谓的陷阱帐号是创建一个名为"Administrator"的本地帐 户,把它的权限设置成最低,什么事也干不了的那种,并 且加上一个超过10位的超级复杂密码 这样可以让那些企图入侵者忙上一段时间了,并且可以借 此发现它们的入侵企图可以将该用户隶属的组修改成 Guests组,如图所示 7 更改默认权限 共享文件的权限从"Everyone"组改成"授权用户""Everyone"在 Windows 2000中意味着任何有权进入你的网络的用户都能够获得这 些共享资料 任何时候不要把共享文件的用户设置成"Everyone"组包括打印共 享,默认的属性就是"Everyone"组的,一定不要忘了改设置某文 件夹共享默认设置如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 8安全密码 一些网络管理员创建帐号的时候往往用公司名, 计算机名,或者一些别的一猜就到的字符做用户 名,然后又把这些帐户的密码设置得比较简单, 这样的帐户应该要求用户首此登陆的时候更改成 复杂的密码,还要注意经常更改密码 这里给好密码下了个定义:安全期内无法破解出 来的密码就是好密码,也就是说,如果得到了密 码文档,必须花43天或者更长的时间才能破解出 来,密码策略是42天必须改密码 9屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏 障 还有一点,所有系统用户所使用的机器也最好加上屏幕保 护密码 将屏幕保护的选项"密码保护"选中就可以了,并将等待时 间设置为最短时间"1秒",如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 NTFS分区 把服务器的所有分区都改成NTFS格式NTFS文 件系统要比FAT,FAT32的文件系统安全得多 11防毒软件 Windows 2000/NT服务器一般都没有安装防毒软 件的,一些好的杀毒软件不仅能杀掉一些著名的 病毒,还能查杀大量木马和后门程序 要经常升级病毒库 BJFU Info Department, QiJd第七章操作系统安全配置方案 12备份盘的安全 一旦系统资料被黑客破坏,备份盘将是恢 复资料的唯一途径备份完资料后,把备 份盘防在安全的地方 把资料备份放在多台服务器上 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策 略配置,包括十条基本配置原则: (1)操作系统安全策略, (2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略 (5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件 (8)不显示上次登陆名,(9)禁止建立空连接 (10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微 软提供了一套的基于管理控制台的安全配置和分析工具, 可以配置服务器的安全策略 在管理工具中可以找到"本地安全策略" 可以配置四类安全策略:帐户策略,本地策略,公钥策略 和IP安全策略在默认的情况下,这些策略都是没有开启 的 BJFU Info Department, QiJd第七章操作系统安全配置方案 2 关闭不必要的服务 Windows 2000的Terminal Services(终 端服务)和IIS(Internet 信息服务)等都 可能给系统带来安全漏洞 为了能够在远程方便的管理服务器,很多 机器的终端服务都是开着的,如果开了, 要确认已经正确的配置了终端服务 有些恶意的程序也能以服务方式悄悄的运 行服务器上的终端服务要留意服务器上 开启的所有服务并每天检查 Windows2000可禁用的服务 服务名说明 Computer Browser维护网络上计算机的最新列表以及提供这个 列表 Task scheduler允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由 服务 Removable storage管理可移动媒体,驱动程序和库 Remote Registry Service允许远程注册表操作 Print Spooler将文件加载到内存中以便以后打印要用打 印机的用户不能禁用这项服务 IPSEC Policy Agent管理IP安全策略以及启动 ISAKMP/Oakley(IKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通 知 Com+ Event System提供事件的自动发布到订阅COM组件 3 关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵 的机会就会少一些,但是不可以认为高枕无忧了 用端口扫描器扫描系统所开放的端口,在 Winnt\system32\drivers\etc\services文件中有知名端口和服务的对 照表可供参考该文件用记事本打开如图所示 设置本机开放的端口 设置本机开放的端口和服务,在IP地址设置窗口 中点击按钮"高级",如图所示 设置本机开放的端口 在出现的对话框中选择选项卡"选项",选中 "TCP/IP筛选",点击按钮"属性",如图所示 设置本机开放的端口 设置端口界面如图所示 一台Web服务器只允许TCP的80端口通过就可以了 TCP/IP筛选器是Windows自带的防火墙,功能比较强 大,可以替代防火墙的部分功能 4 开启审核策略 安全审核是Windows 2000最基本的入侵检测方法当有人尝试对系 统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件 访问等等)入侵的时候,都会被安全审核记录下来 必须开启的审核如下表: 策略设置 审核系统登陆事件成功,失败 审核帐户管理成功,失败 审核登陆事件成功,失败 审核对象访问成功 审核策略更改成功,失败 审核特权使用成功,失败 审核系统事件成功,失败 审核策略默认设置 审核策略在默认的情况下都是没有开启的,如图所 示 设置审核策略 双击审核列表的某一项,出现设置对话框,将复 选框"成功"和"失败"都选中,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 5 开启密码策略 密码对系统安全非常重要本地安全设置 中的密码策略在默认的情况下都没有开 启需要开启的密码策略如表所示 策略设置 密码复杂性要求启用 密码长度最小值6位 密码最长存留期15天 强制密码历史5个 设置密码策略 设置选项如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 6 开启帐户策略 开启帐户策略可以有效的防止字典式攻击, 设置如表所示 策略设置 复位帐户锁定计数器30分钟 帐户锁定时间30分钟 帐户锁定阈值5次 BJFU Info Department, QiJd第七章操作系统安全配置方案 设置帐户策略 设置的结果如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 7 备份敏感文件 把敏感文件存放在另外的文件服务器中; 把一些重要的用户数据(文件,数据表和 项目文件等)存放在另外一个安全的服务 器中,并且经常备份它们 8 不显示上次登录名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆 的帐户名,本地的登陆对话框也是一样黑客们可以得到系统的一些 用户名,进而做密码猜测 修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键 下修改子键: Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont DisplayLastUserName,将键值改成1,如图所示 9 禁止建立空连接 默认情况下,任何用户通过空连接连上服务器,进而可以 枚举出帐号,猜测密码 可以通过修改注册表来禁止建立空连接在 HKEY_LOCAL_MACHINE主键下修改子键: System\CurrentControlSet\Control\LSA\RestrictAnon ymous,将键值改成"1"即可如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 下载最新的补丁 很多网络管理员没有访问安全站点的习 惯,以至于一些漏洞都出了很久了,还放 着服务器的漏洞不补给人家当靶子用 经常访问微软和一些安全站点,下载最新 的Service Pack和漏洞补丁,是保障服务 器长久安全的唯一方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置,包 括十四条配置原则: (1)关闭DirectDraw,(2)关闭默认共享 (3)禁用Dump File,(4)文件加密系统 (5)加密Temp文件夹(6)锁住注册表, (7)关机时清除文件 (8)禁止软盘光盘启动(9)使用智能卡, (10)使用IPSec (11)禁止判断主机类型,(12)抵抗DDOS (13)禁止Guest访问日志 (14)数据恢复软件 1 关闭DirectDraw C2级安全标准对视频卡和内存有要求关闭DirectDraw可能对一些 需要用到DirectX的程序有影响(比如游戏),但是对于绝大多数的 商业站点都是没有影响的 在HKEY_LOCAL_MACHINE主键下修改子键: SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeo ut,将键值改为"0"即可,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 2 关闭默认共享 Windows 2000安装以后,系统会创建一些隐藏的 共享,可以在DOS提示符下输入命令Net Share 查 看,如图所示 停止默认共享 禁止这些共享,打开管理工具>计算机管理>共享文件夹> 共享,在相应的共享文件夹上按右键,点"停止共享"即 可,如图所示 3 禁用Dump文件 在系统崩溃和蓝屏的时候,Dump文件是一份很有用资 料,可以帮助查找问题然而,也能够给黑客提供一些敏 感信息,比如一些应用程序的密码等 需要禁止它,打开控制面板>系统属性>高级>启动和故障 恢复,把写入调试信息改成无,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 4 文件加密系统 Windows2000强大的加密系统能够给磁盘,文 件夹,文件加上一层安全保护这样可以防止别 人把你的硬盘挂到别的机器上以读出里面的数 据 微软公司为了弥补Windows NT 40的不足,在 Windows 2000中,提供了一种基于新一代 NTFS:NTFS V5(第5版本)的加密文件系统 (Encrypted File System,简称EFS) EFS实现的是一种基于公共密钥的数据加密方 式,利用了Windows 2000中的CryptoAPI结 构 BJFU Info Department, QiJd第七章操作系统安全配置方案 5 加密Temp文件夹 一些应用程序在安装和升级的时候,会把 一些数据拷贝到Temp文件夹,但是当程序 升级完毕或关闭的时候,并不会自己清除 Temp文件夹的内容 所以,给Temp文件夹加密可以多一层保 护 6 锁住注册表 在Windows2000中,只有Administrators和Backup Operators才有从 网络上访问注册表的权限当帐号的密码泄漏以后,黑客也可以在远程 访问注册表,当服务器放到网络上的时候,一般需要锁定注册表修改 Hkey_current_user下的子键 Software\microsoft\windows\currentversion\Policies\system 把DisableRegistryTools的值该为0,类型为DWORD,如图所示 7 关机时清除文件 页面文件也就是调度文件,是Windows 2000用来存储没有装入内存 的程序和数据文件部分的隐藏文件 一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文 件中可能含有另外一些敏感的资料要在关机的时候清除页面文件, 可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键: -SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management -把ClearPageFileAtShutdown的值设置成1,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 8 禁止软盘光盘启动 一些第三方的工具能通过引导系统来绕过原有的 安全机制比如一些管理员工具,从软盘上或者 光盘上引导系统以后,就可以修改硬盘上操作系 统的管理员密码 如果服务器对安全要求非常高,可以考虑使用可 移动软盘和光驱,把机箱锁起来仍然不失为一个 好方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 9 使用智能卡 对于密码,总是使安全管理员进退两难, 容易受到一些工具的攻击,如果密码太复 杂,用户把为了记住密码,会把密码到处 乱写 如果条件允许,用智能卡来代替复杂的密 码是一个很好的解决方法 BJFU Info Department, QiJd第七章操作系统安全配置方案 10 使用IPSec 正如其名字的含义,IPSec提供IP数据包的 安全性 IPSec提供身份验证,完整性和可选择的机 密性发送方计算机在传输之前加密数 据,而接收方计算机在收到数据之后解密 数据 利用IPSec可以使得系统的安全性能大大增 强 11 禁止判断主机类型 黑客利用TTL(Time-To-Live,生存时间)值可以鉴别操作系统的类 型,通过Ping指令能判断目标主机类型Ping的用处是检测目标主 机是否连通 许多入侵者首先会Ping一下主机,因为攻击某一台计算机需要根据 对方的操作系统,是Windows还是Unix如过TTL值为128就可以认 为你的系统为Windows 2000,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 TTL值-判断主机类型 从表中可以看出,TTL值为128,说明改主机的操作系统 是Windows 2000操作系统下表给出了一些常见操作系 统的对照值 操作系统类型TTL返回值 Windows 2000128 Windows NT107 win9x128 or 127 solaris252 IRIX240 AIX247 Linux241 or 240 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 修改TTL的值,入侵者就无法入侵电脑了比如将操作系统的TTL值 改为111,修改主键HKEY_LOCAL_MACHINE的子键: SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAME TERS 新建一个双字节项,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 在键的名称中输入"defaultTTL",然后双击改键名,选择 单选框"十进制",在文本框中输入111,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 修改TTL的值 设置完毕重新启动计算机,再用Ping指令,发现 TTL的值已经被改成111了,如图所示 12 抵抗DDOS 添加注册表的一些键值,可以有效的抵抗DDOS的攻击在键值 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcp ip\Parameters]下增加响应的键及其说明如表所示 增加的键值键值说明 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000000 "KeepAliveTime"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 基本设置 "EnableICMPRedirects"=dword:00000000防止ICMP重定向报文的攻击 "SynAttackProtect"=dword:00000002防止SYN洪水攻击 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxHalfOpen"=dword:00000100 仅在TcpMaxHalfOpen和 TcpMaxHalfOpenRetried设置 超出范围时,保护机制才会采取 措施 "IGMPLevel"=dword:00000000不支持IGMP协议 "EnableDeadGWDetect"=dword:00000000禁止死网关监测技术 "IPEnableRouter"=dword:00000001支持路由功能 BJFU Info Department, QiJd第七章操作系统安全配置方案 13 禁止Guest访问日志 在默认安装的Windows NT和Windows 2000中,Guest 帐号和匿名用户可以查看系统的事件日志,可能导致许多 重要信息的泄漏,修改注册表来禁止Guest访问事件日 志 禁止Guest访问应用日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 系统日志: -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\System下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 安全日志 -HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Security下添加键值名称为: RestrictGuestAccess,类型为:DWORD,将值设置为1 14 数据恢复软件 当数据被病毒或者入侵者破坏后,可以利用数据恢复软件 可以找回部分被删除的数据,在恢复软件中一个著名的软 件是Easy Recovery软件功能强大,可以恢复被误删除 的文件,丢失的硬盘分区等等软件的主界面如图所示 Easy Recovery 比如原来在E盘上有一些数据文件,被删除了,选择左边 栏目"Data Recovery",然后选择左边的按钮 "Advanced Recovery",如图所示 Easy Recovery 进入Advanced Recovery对话框后,软件自动扫描出目 前硬盘分区的情况,分区信息是直接从分区表中读取出来 的,如图所示 Easy Recovery 现在要恢复E盘上的文件,所以选择E盘,点击按 钮"Next",如图所示 Easy Recovery 软件开始自动扫描该盘上曾经有哪些被删除了文件,根据 硬盘的大小,需要一段比较长的时间,如图所示 Easy Recovery 扫描完成以后,将该盘上所有的文件以及文件夹显示出 来,包括曾经被删除文件和文件夹,如图所示 Easy Recoery 选中某个文件夹或者文件前面的复选框,然后点 击按钮"Next",就可以恢复了如图所示 Easy Recovery 在恢复的对话框中选择一个本地的文件夹,将文件保存到 该文件夹中,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 Easy Recovery 选择一个文件夹后,点击按钮"Next",就出现了恢复的 进度对话框,如图所示 BJFU Info Department, QiJd第七章操作系统安全配置方案 本章总结 本章分成三部分介绍Windows 2000的安 全配置 三部分共介绍安全配置三十六项,如果每 一条都能得到很好的实施的话,该服务器 无论是在局域网还是广域网,即使没有网 络防火墙,已经比较安全了 需要重点理解三大部分中的每一项设置, 并掌握如何设置
服务器对于许多人来说,接触的都比较少,但在许多企业或者公司中,都是必不可少的。现在就为大家揭开它的神秘面纱,请大家点击下面链接,一起来认识下功能强大的服务器吧!
1、服务器的定义及分类
摘要:服务器网络上一种为客户端计算机提供各种服务的高性能的计算机,它在网络操作系统的控制下,将与其相连的硬盘、磁带、打印机、Modem及各种专用通讯设备提供给网络上的客户站点共享,也能为网络用户提供集中计算、信息发表及数据管理等服务。
2、服务器硬件技术介绍之内存
摘要:在制约服务器性能的硬件条件中,内存可以说是重中之重,其性能和品质也是考验服务器性能的一个重要方面。可是对于服务器内存,由于平时接触较少,很多人对其还是缺乏了解。不过没有关系,今天我就给大家介绍一下什么是服务器内存,它与普通内存之间存在着什么样的本质差别以及服务器内存的一些常用技术。
3、服务器硬件解析之服务器硬盘
摘要:服务器硬盘,顾名思义,就是服务器上使用的硬盘(Hard Disk)。如果说服务器是网络数据的核心,那么服务器硬盘就是这个核心的数据仓库,所有的软件和用户数据都存储在这里。对用户来说,储存在服务器上的硬盘数据是最宝贵的,因此硬盘的可靠性是非常重要的。
4、服务器、存储硬件技术解析之 RAID
摘要:简单地解释,RAID就是将N台硬盘通过RAID Controller(分Hardware,Software)结合成虚拟单台大容量的硬盘使用,其特色是N台硬盘同时读取速度加快及提供容错性Fault Tolerant,所以RAID是当成平时主要访问数据的Storage不是Backup Solution。
5、AMD服务器处理器技术解析
摘要:在x86服务器领域,“至强(Xeon)”很好很强大,但随着AMD“皓龙(Opteron)”系列处理器在寻求更佳的价性比着力点上不断发力,让这个市场变得更多姿。
6、服务器热门技术解析之虚拟化
摘要:虚拟化是一个广义的术语,是指计算元件在虚拟的基础上而不是真实的基础上运行,是一个为了简化管理,优化资源的解决方案。如同现在空旷、通透的写字楼,整个楼层几乎看不到墙壁,用户可以用同样的成本构建出更加自主适用的办公空间,进而节省成本,发挥空间最大利用率。这种把有限的固定的资源根据不同需求进行重新规划以达到最大利用率的思路,在IT领域就叫做虚拟化技术。
7、服务器热门技术解析之云计算
摘要:狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。 提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,按使用付费。这种特性经常被称为像水电一样使用IT基础设施。
8、刀片服务器与机架式服务器的比较
摘要:近几年,服务器市场上最为热门的服务器架构莫过于刀片服务器了,它大量的出现在各种媒体上,各大厂商也推出了各种相应的机型。刀片服务器与传统的服务器比到底有什么优势呢?消费者选购服务器时该怎样选择呢?本文就把刀片服务器与传统的机架式服务器进行比较,向大家介绍两者在选择方面的一些经验。
9、如何选择服务器托管IDC
摘要:作为数据中心(Data Center)项目,主机托管是目前所有IDC的主要核心业务。IDC除了为企业提供主机托管的基本服务外,还应提供更多的优质服务和增值服务,如系统,网络的管理,用户数据管理和数据中心网络及系统的安全管理等。
0条评论