如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的

Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的

安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000，

至少要升级至ServicePack2。

2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的产品。对于企业内

部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当的设置才能起作

用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。

3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软

件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用

中，必须要定期或及时升级杀毒软件。

4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始

的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、监测系统日

志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分

析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加

了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没

有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的

备份外，还应对修改过的数据进行每周一次的备份。

1、定期更新系统和软件补丁

不论是Windows还是Linux，任何操作系统都有漏洞，及时安装补丁，避免被不法分子恶意利用攻击。同时，需要定期安装最新的操作系统，减少系统漏洞，提高服务器的安全性。

2、加强密码保护

密码保护是安全防护的第一道防线，大部分的网络攻击都是从弱口令入手。一旦网络不法分子进入了系统，之前做的安全防护工作将会大打折扣。加强对服务器系统账号和密码管理，是保证系统安全非常重要的措施。

3、定期进行备份

为防止不能预料的系统故障或用户不小心的非法操作导致最重要的数据和文件丢失等情况发生，必须对服务器进行安全备份。备份很重要，除了对全系统进行每月一次备份之外，还应对修改过的数据进行每周一次备份，本地备份的同时还要进行异地备份。当发生原始数据不幸损坏、丢失等情况时，企业可以利用备份数据保证业务的运行。

4、关闭非必须的服务和端口

在服务器操作系统安装时，会启动一些不需要的服务，占用系统资源的同时，还会增加系统的安全隐患。对于不常用的服务，可以将其完全关闭。

5、监测系统日志

通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号等。日志程序会定期生成报表，企业相关人员通过对报表进行分析，可以知道是否有异常现象。

6、及时更新软件版本

可以避免你的服务器处于危险之中，使其漏洞被黑客利用并入侵，使用专业的安全漏洞扫描程序是一种保持软件实时更新的方式之一。

7、进行定期和频繁的安全检查

如果不定期开展安全检查工作，就无法知道潜藏的安全问题，从而服务器得不到基本的安全保障。定期对服务器进行安全检测，可采取漏洞扫描、渗透测试、代码审计等手段进行安全漏洞排查。

以下属于安全的服务器登录方式是ssh。SSH(远程连接工具)连接原理：ssh服务是一个守护进程(demon)，系统后台监听客户端的连接，ssh服务端的进程名为sshd，负责实时监听客户端的请求(IP22端口)。

1、系统漏洞的修复

安装好的系统都会有系统漏洞需要进行补丁，一些高危漏洞是需要我们及时补丁的, 否则黑客容易利用漏洞进行服务器攻击。

2、系统账号优化

我们服务器的密码需要使用强口令，同时有一些来宾账户例如guest一定要禁用掉。

3、目录权限优化

对于不需要执行与写入权限的服务器我们要进行权限修改，确保不把不该出现的的权限暴露给攻击者让攻击者有机可趁。

例如我们的windows文件夹权限，我们给的就应该尽可能的少，对于用户配置信息文件夹，不要给予everyone权限。

4、数据库优化

针对数据密码和数据库端口访问都要进行优化，不要将数据库暴露在公网访问环境。

5、系统服务优化

去除一些不必要的系统服务，可以优化我们系统性能，同时优化系统服务可以提升系统安全性。

6、注册表优化

注册表优化可以提升网络并发能力，去除不必要的端口，帮助抵御snmp攻击，优化网络，是我们优化服务器不可缺少的环节。

7、扫描垃圾文件

垃圾文件冗余可能会造成我们的服务器卡顿，硬盘空间不足，需要我们定期进行清理。

一、修改windows默认的远程端口

　　也许有高手认为自己做的挺安全的，就算是默认端口也不用被入侵以及被破密。其实修改默认的远程端口一方面是防止入侵，另外一方面也是防止被扫描影响系统的稳定。

　　有了解过扫描3389软件的人都知道，一般的攻击者都是扫描3389端口的，所以改成其它的端口可以防止被扫描到您的主机。为什么说另外一方面也是防止被扫描3389端口影响到系统的稳定呢？如果您的服务器默认是使用3389端口，扫描软件就会强力尝试密码字典里的密码，与您的主机建议很多的连接，占用系统里的资源导致服务器出现卡的现象。所以修改默认的远程端口是有几个好处的，希望大家重视。

二、修改windows默认的用户名

　　我们做安全也是针对攻击的行为而制作相对的策略，攻击的人尝试密码破解的时候，都是使用默认的用户名administrator，当你修改了用户名之后，它猜不出您的用户名，即使密码尝试上千万次都不会成功的，如果要使用用户名字典再加下密码字典，我估计攻击者就没有那个心思了，而且也不会一时间破密到您的用户名。所以修改用户名就会减低被入侵的可能。

　　那么修改成什么样的用户名才是比较安全呢？个人建议使用中文再加上数字再上字母这样的用户名就非常强大了。例如： 非诚勿扰ADsp0973

三、使用复杂的密码

　　从扫描以及破解的软件看，都是使用简单的常用的密码进行破解的，例如1q2w3e4r5t或者123456或者12345qwert等简单的组合密码，所以使用这些密码是非常不安全的。我个人就建议避免使用简单的密码防止被破解。

　　建议使用的密码里包含 大字字母+小字字母+数字+特殊字符。 长度至少要12以上这样会好一些。