服务器托管安全吗
大致有四点优点:
一、服务器托管可以节约成本
大多数的创业型企业在网站建设前期资金方面可能比较紧张,并希望能够在满足服务器稳定运行的前提下尽可能的节约成本的投入,我们知道企业使用服务器有两种三种方式,第一是自己架设服务器以及机房;第二是服务器租用;第三是服务器托管。对于前两种方式要么需要投入大量的资金,要么就是对服务器的配置不了解,而服务器托管则不需要组建机房和通讯路线,并对服务器的相关配置比较了解,兼容性高。只需要租用服务器托管商的机房以及贷款等,所以可以为企业省去不少的资金。
二、服务器托管省去专业数据中心人员的支出
对于创业型网站前期不仅资金紧张,还存在各项专业人员的缺失等问题,而服务器是需要24小时全天开机的,所以需要专业的技术人员724小时值班,以解决服务器运行过程中出现的各种故障。而服务器托管则是由IDC中心专业技术人员全天候咨询维护,省去了对维护人员的支出。IDC机房有着完善的电力、监控、空调等设备保证企业服务器的正常运转,节省了大量建设机房的费用。并且也可以灵活性比较高,用户根据需要灵活选择数据中心提供的线路、端口以及增值服务。无须受虚拟主机服务的功能限制,可以根据实际需要灵活配置服务器,以达到充分应用的目的。
三、服务器托管可以独享服务器资源
共享主机就是和主机内的其他站点共享同一主机内的所有资源,因此,当主机内的某一站点占用资源过高时,影响其他站点的访问速度。而服务器托管可以自己选择足够的网络带宽、独立IP等资源,从而提高了主机响应速度和网络的高速性。
四、服务器托管提高服务器的稳定性和安全性
服务器托管不会因为共享主机,而引起的主机负载过重,导致服务器性能下降或瘫痪。在独立主机的环境下,可以对自己的行为和程序严密把关、精密测试,将服务器的稳定性提升到最高。共享主机时,对于不同的用户会有不同的权限,这就存在安全隐患。在独立主机的环境下,可以自己设置主机权限,自由选择防火墙和防病毒设施。
服务器的安全分为3个部分,你的操作系统安全,你的应用(apache\IIS等)安全,单纯的服务器安全加固并不能保证网站安全,这和你的网站代码有关系。
通常现在的做法是在进行一定的加固之后,采购安全设备(例如WAF)进行防护。若果我没猜错,你的网站应该是被SQL注入攻击了。
需要加固的地方太多,把目录列给你吧,写出来就是一本书了。在提醒你的是,就算下面这些加固全做完,仍然不能保证你的网站安全。
WINDOWS2003安全加固 1
一 系统信息 2
二 补丁管理 2
21 补丁安装 2
三 账号口令 3
31 优化账号 3
32 口令策略 3
四 网络服务 4
41 优化服务 4
42 关闭共享 4
43 网络限制 5
五 文件系统 5
51 使用NTFS 5
52 检查EVERYONE权限 6
53 限制命令权限 6
六 日志审核 7
61 增强日志 7
62 增强审核 7
IIS6安全加固 1
11 补丁安装 2
12 IIS组件 2
13 IIS用户 3
14 监听地址 3
15 SSL加密 4
16 应用程序扩展 5
17 网站权限 5
18 限制IP访问 6
19 WEB服务扩展 7
110 上传目录设置 8
111 日志设置 8
112 自定义错误信息 10
技巧一:从基本做起
我知道这听起来象是废话,但是当我们谈论网络服务器的安全的时候,我所能给你的最好的建议就是不要做门外汉。当黑客开始对你的网络发起攻击的时 候,他们首先会检查是否存在一般的安全漏洞,然后才会考虑难度更加高一点的突破安全系统的手段。因此,比方说,当你服务器上的数据都存在于一个FAT的磁 盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的。
因为这个原因,你需要从基本做起。你需要将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的。同样,你还需要将所有的反病毒软件及 时更新。我建议你同时在服务器和桌面终端上运行反病毒软件。这些软件还应该配置成每天自动下载最新的病毒数据库文件。你还更应该知道,可以为 Exchange Server安装反病毒软件。这个软件扫描所有流入的电子邮件,寻找被感染了的附件,当它发现一个病毒时,会自动将这个被感染的邮件在到达用户以前隔离起 来。
另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间。一个通常在白天工作的临时员工不应该被允许在临晨三点的时候访问网络,除非那个员工的主管告诉你那是出于一个特殊项目的需要。
最后,记住用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码。在 Windows NT Server资源包里有一个很好的用于这个任务的工具。你还应该经常将一些过期密码作废并更新还要要求用户的密码不得少于八个字符。如果你已经做了这所有 的工作但还是担心密码的安全,你可以试一试从互联网下载一些黑客工具然后自己找出这些密码到底有多安全。
技巧二:保护你的备份
每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害。但是,安全的问题远不止是备份那么简单。大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞。 电脑入门到精通网
要理解这是为什么,试想一下,大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。整个备份的过程通常是在半夜的时候结束, 这取决于你有多少数据要备份。现在,想象一下,时间已经到了早晨四点,你的备份工作已经结束。但是,没有什么东西能够阻止一些人偷走你磁带记录上的数据并 将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们。
不过,你可以阻止这种事情的发生。首先,可以通过密码保护你的磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。其次,你可以将备 份程序完成工作的时间定在你早晨上班的时间。这样的话,即使有人前一天半夜想要溜进来偷走磁带的话,他们也会因为磁带正在使用而无法得逞。如果窃贼还是把 磁带弹出来带走的话,磁带上的数据也就毫无价值了。
技巧三:对RAS使用回叫功能
Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持。不幸的是,一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门。黑客们所 需要的一切只是一个电话号码,有时还需要一点耐心,然后就能通过RAS进入一台主机了。但你可以采取一些方法来保证RAS服务器的安全。
你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机,我建议你使用 回叫功能,它允许远程用户登录以后切断连接。然后RAS服务器拨通一个预先定义的电话号码再次接通用户。因为这个号码是预先设定了的,黑客也就没有机会设 定服务器回叫的号码了。
另一个可选的办法是限定所有的远程用户都访问单一的服务器。你可以将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上。你于是可以将 远程用户的访问限制在一台服务器上,而不是整个网络。这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的 破坏被减少到了最校
最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议。我知道的每一个人都使用 TCP/IP协议作为RAS协议。考虑到TCP/IP协议本身的性质和典型的用途,这看起来象是一个合理的选择。但是,RAS还支持IPX/SPX和 NetBEUI协议。如果你使用NetBEUI作为你RAS的协议,你确实可以迷惑一些不加提防的黑客。
技巧四:考虑工作站的安全问题
在一个关于服务器安全的文章里谈论工作站的安全看起来很奇怪。但是,工作站正是通向服务器的一个端口。加强工作站的安全能够提高整个网络的安全 性。对于初学者,我建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做,那么至少使用Windows NT。你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
另一个技术是控制哪个人能够访问哪台工作站。例如,有一个员工叫Bob,并且你已经知道他是一个麻烦制造者。显然,你不想Bob能够在午餐的时 候打开他朋友的电脑或是差上他自己的笔记本然后黑掉整个系统。因此,你应该使用工作组用户管理程序还修改Bob的帐号以便他只能从他自己的电脑(并且是在 你指定的时间内)登录。Bob远不太可能从他自己的电脑上攻击网络,因为他知道别人可以将他追查出来。
技巧五:给工作站和服务器合理分工
另一个技术是将工作站的功能限定为一个哑终端,或者,我没有更好的词语来形容,一个聪明的哑终端。总的来说,它的意思是没有任何数据和应用程序 驻留在独立的工作站上。当你将计算机作为哑终端使用的时候,服务器被配置成运行Windows NT 终端服务程序,而且所有的应用程序物理上都运行在服务器上。所有送到工作站的东西都不过是更新的屏幕显示而已。这意味着工作站上只有一个最小化的 Windows版本和一份微软终端服务程序的客户端。使用这种方法也许是最安全的网络设计方案。 使用一个聪明的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服 务器上的应用程序的图标。当你点击一个图标运行程序时,这个程序将使用本地的资源来运行,而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务 器造成的压力要小得多。
微软雇佣了一个程序员团队来检查安全漏洞并修补它们。有时,这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布。通常有两种不同的补丁程序版本:一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本。128位的版本使用 128位的加密算法,比40位的版本要安全得多。如果你现在还在使用40位的服务包并且生活在美国或是加拿大,我强烈建议你下载128位的版本。
有时一个服务包的发布也许要等上好几个月很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就不想再等下去。好在你并不需要等 待。微软定期将重要的补丁程序发布在它的FTP站点上。这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。我建议你经常查看热点补叮记住 你一定要按逻辑顺序使用这些补叮如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,Windows也可能停止工作。
技巧六:使用一个强有力的安全政策
要提高安全性,另一个你可以做的工作就是制定一个好的,强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。
如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这 样,人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样,不满的员工就不会有机会来搅乱公司的系统了。同时,使 用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。
试一试免费的 TechProGuild吧! 如果你觉得这篇文章有用,可以看看TechRepublic的TechProGuild注册资源,它提供有深度的技术文章,覆盖了一些IT的主题,包括 Windows服务器和客户端平台,Linux,疑难解答问题,和数字网络项目的难点,以及NetWare。拥有一个TechProGuild的帐户,你 还可以在线阅读流行的IT工业书籍的全文。点击这里注册享受30天免费的TechProGuild试用期。
技巧七:检查防火墙设置
我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。
你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的 互联网通讯。如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。但是,工作站和其他服务器的IP地址 必须被隐藏起来。
你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通讯,因此你可能并不想堵掉这个端口。但是,你也许永远都不会用端口81因此它应该被关掉。你可以在Internet上找到每个端口使用用途的列表。
不安装不必要的软件服务器不能像自己的电脑一样什么软件都装,比如你的服务器仅仅放一个ASP网站,那么只需要IIS及防火墙之类的安全软件即可。如非必要也不要去装serv-u之类的软件,因为不少服务器软件经常会出现各种各样的漏洞,这样会给“入侵者”留下可乘之机。及时更新补丁
经常关注最新的漏洞补丁,然后选择必要的进行修复。一些软件的漏洞也要修复,这样才可以最大限度的确保服务器的安全。如果觉得有困难可以使用360进行有选择的更新,安装360安全卫士后进入漏洞修复。
不使用弱口令
弱口令这种低级错误,一直在被入侵的原因有很大的占有率,然而这是非常容易避免的。我们在设置密码时最好数字、字母、符号混合使用,长度要大于等于6位数,不要使用生日、姓名等和自己相关的密码。
如果不怕麻烦的话,可以使用百度应用随机密码生成器,生成随机密码。
关闭不必要的端口和服务
用netstat -an命令查看开放的端口,如发现一些不必要的端口可以使用IP安全策略来关闭。查到的端口只要用不到就可以关闭,也可以通过防火墙软件对危险端口进行屏蔽。服务关闭一些用不到的即可,如果对Windows服务不了解尽量查阅相关资料进行关闭。
修改3389默认端口
打开注册表修改如下两个注册表项:
1HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
2HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
设置需使用十进制,然后设置成需要的端口即可。如下图:
限制目录权限
1建议给每个网站设置独立用户
2设置各磁盘administrator、system拥有完全控制权限
3设置Documents and Settings及所有子目录administrator、system拥有完全控制权限
4设置caclsexe、cmdexe、netexe、net1exe、ftpexe、tftpexe、telnetexe、netstatexe、regeditexe、atexe、attribexe、formatcom、del文件administrator、system拥有完全控制权限
5C盘下inetpub目录如无必要建议删除
安装安全软件
建议安装杀毒软件、防火墙各一个,防火墙一定要有防止CC、ARP、SQL注入等功能。安装杀毒软件的目的是为了防止上传病毒木马后,利用管理员的疏忽进行执行从而服务器被控制。安装防火墙的目的则为了防止网络攻击,可以可以避免一些不必要的攻击。
做好以上七招可以防止一些常见的服务器入侵,从而让服务器上的网站更加安全。
1、及时安装系统补丁
2、安装和设置防火墙
3、安装网络
4、关闭不需要的服务和端口
5、定期对服务器进行备份
6、账号和密码保护
7、监测系统日志
1及时安装系统补丁:不论是Windows还是Linux,任何操作系统都有漏洞,及时的打上补丁避免漏洞被蓄意攻击利用,是服务器安全最重要的保证之一。
2安装和设置防火墙:现在有许多基于硬件或软件的防火墙,很多安全厂商也都推出了相关的产品。对服务器安全而言,安装防火墙非常必要。防火墙对于非法访问具有很好的预防作用,但是安装了防火墙并不等于服务器安全了。在安装防火墙之后,你需要根据自身的网络环境,对防火墙进行适当的配置以达到最好的防护效果。
3安装网络:现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播,同时,在网络杀毒软件的使用中,必须要定期或及时升级杀毒软件,并且每天自动更新病毒库。
4关闭不需要的服务和端口:服务器操作系统在安装时,会启动一些不需要的服务,这样会占用系统的资源,而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器,可以完全关闭;对于期间要使用的服务器,也应该关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
5定期对服务器进行备份:为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。同时,应该将修改过的重要系统文件存放在不同服务器上,以便出现系统崩溃时(通常是硬盘出错),可以及时地将系统恢复到正常状态。
6账号和密码保护:账号和密码保护可以说是服务器系统的第一道防线,目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统,那么前面的防卫措施几乎就失去了作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
7监测系统日志:通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。
0条评论