如何配置网络服务器安全

如何配置网络服务器安全

1、安装补丁程序任何操作系统都有漏洞，作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统，因为使用的人特别多，所以发现的Bug也比较多，同时，蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞，在其网站上提供了许多补丁，可以到网上下载并安装相关升级包。对于Windows2003，至少要升级到SP1，对于Windows2000， 至少要升级至ServicePack2。

2、安装和设置防火墙现在有许多基于硬件或软件的防火墙，如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说，安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用，但是并不是安装了防火墙之后就万事大吉了，而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解，需要请技术支持人员协助设置。

3、安装网络杀毒软件现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播，目前，大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时，在网络版的杀毒软件使用中，必须要定期或及时升级杀毒软件。

4、账号和密码保护账号和密码保护可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统，那么前面的防卫措施几乎就没有作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

5、监测系统日志通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

6、关闭不需要的服务和端口　　服务器操作系统在安装的时候，会启动一些不需要的服务，这样会占用系统的资源，而且也增加了系统的安全隐患。对于假期期间完全不用的服务器，可以完全关闭;对于假期期间要使用的服务器，应关闭不需要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。

7、定期对服务器进行备份为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。除了对全系统进行每月一次的备份外，还应对修改过的数据进行每周一次的备份。

是一款微软出品的著名路由级网络防火墙，全名叫Internet Security and Acceleration。目前的版本有ISA2000 ISA2004 ISA2006 ISA2008。其主要功能有：

1、防火墙（firewall）

防火墙可以过滤进出内部网络的流量，可以利用它来控制内部网络与因特网之间的通信，以增加网络的安全性。也可以用它安全地发布（publishing）企业内部的服务器，以便让客户与合作伙伴来分享内部网络的资源，例如电子邮件服务器，网站等。除了一般的数据包筛选功能外，ISA还提供了许多应用程序筛选器，它可以针对应用程序来筛选数据包。

2、虚拟专用网（***）

虚拟专用网（***）可以让远程用户与局域网(LAN)之间，或者是分别位于两地的局域网之间，通过因特网来建立一个安全的通道。

3、网页缓存（web cache）

通过将用户经常访问的网页保存到ISA服务器的硬盘与内存，不但让用户更快的访问网页，同时也提高网络资源的利用，节省网络带宽。

ISA 服务器Microsoft® Internet Security and Acceleration (ISA) Server 2004 是可扩展的企业防火墙以及构建在 Microsoft Windows Server™ 2003 和 Windows® 2000 Server 操作系统安全、管理和目录上的 Web 缓存服务器，以实现基于策略的网际访问控制、加速和管理。

Internet 为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要。ISA 服务器提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server 2004 Web 缓存使得组织可以通过从本地提供对象（而不是通过拥挤的 Internet）来节省网络带宽并提高 Web 访问速度。

无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA 服务器都提供了有助于简化安全和访问管理的统一管理控制台。ISA 服务器为 Windows Server 2003 和 Windows 2000 Server 平台而构建，它通过强大的集成式管理工具来提供安全而快速的 Internet 连接。

ISA 服务器概述Microsoft® Internet Security and Acceleration (ISA) Server 2004 提供安全、快速和可管理的 Internet 连接。ISA 服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的 Web 缓存。它构建在 Microsoft Windows Server™ 2003 和 Windows® 2000 Server 安全和目录之上，以实现基于策略的网际安全、加速和管理。

确保 Internet 连接的安全性

将网络和用户连接到 Internet 会引入安全性和效率问题。ISA Server 2004 为组织提供了在每个用户的基础上控制访问和监视使用的综合能力。ISA 服务器保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。

ISA 服务器是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(***)、系统坚固、集成的入侵检测、智能的第 7 层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等方法，增强安全性。ISA Server 2004 可实现下列功能：

保护网络免受未经授权的访问。

保护 Web 和电子邮件服务器防御外来攻击。

检查传入和传出的网络通讯以确保安全性。

接收可疑活动警报。

快速的 Web 访问

Internet 提高了组织的工作效率，但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2004 缓存通过提供本地缓存的 Web 内容将性能瓶颈控制在最少，并节省网络带宽。ISA 服务器可实现下列功能：

通过从 Web 缓存（而不是拥挤的 Internet）提供对象来提高用户的 Web 访问速度。

通过减少链路上的网络通讯来减少 Internet 带宽成本。

分布 Web 服务器内容和电子商务应用程序，从而有效地覆盖了全世界的客户并有效地控制了成本。

从 ISA 服务器 Web 缓存中提供常用的 Web 内容，并将节省出来的内部网络带宽用于其他内容请求。

统一管理

通过组合防火墙和高性能的 Web 缓存功能，ISA Server 2004 提供了有助于降低网络复杂度和减少成本的公共管理基础结构。ISA 服务器与 Windows Server 2003 和 Windows 2000 紧密集成，从而提供了一种管理用户访问以及防火墙规则配置的一致而有效的途径。

可扩展的平台

安全策略和规则因组织而异。通讯量和内容格式导致了唯一性问题。没有单个产品能够满足所有的安全和性能需求，为了实现高度的可扩展性，ISA Server 2004 便应运而生了。可用于 ISA 服务器的其他资料有：全面的软件开发人员工具包 (SDK)、大型的第三方附加解决方案选集，以及可扩展的管理选件。

使用 ISA 服务器管理组件对象模型 (COM)，可以扩展 ISA 服务器的功能。管理对象还允许对通过 ISA 服务器管理完成的所有任务进行自动化处理。这意味着 ISA 服务器管理员可以通过使用管理对象来自动完成所有任务。(abb)

web服务器安全这问题，很重要，之前服务器被黑，管理员账号也被篡改，远程端口也登陆不了了。，在网上搜索了一些服务器安全设置以及防黑的文章，对着文章，我一个一个的设置起来，费了好几天的时间才设置完，原以为会防止服务器再次被黑，没想到服务器竟然瘫痪了，网站都打不开了，无奈对服务器安全也是一窍不通，损失真的很大，数据库都损坏了，我哪个后悔啊。娘个咪的。最后还是让机房把系统重装了。找了几个做网站服务器方面的朋友，咨询了关于服务器被黑的解决办法，他们建议找国内最有名的服务器安全的安全公司来给做安全维护，推荐了sinesafe，服务器被黑的问题，才得以解决。

一路的走来，才知道，服务器安全问题可不能小看了。经历了才知道，服务器安全了给自己带来的也是长远的利益。 希望我的经历能帮到楼主，帮助别人也是在帮助我自己。

下面是一些关于安全方面的建议！

建站一段时间后总能听得到什么什么网站被挂马，什么网站被黑。好像入侵挂马似乎是件很简单的事情。其实，入侵不简单，简单的是你的网站的必要安全措施并未做好。

一：挂马预防措施：

1、建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2、定期对网站进行安全的检测，具体可以利用网上一些工具，如sinesafe网站挂马检测工具！

序，只要可以上传文件的asp都要进行身份认证!

3、asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称也要有一定复杂性。

5、要尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。

8、要时常备份数据库等重要文件。

9、日常要多维护，并注意空间中是否有来历不明的asp文件。记住：一分汗水，换一分安全!

10、一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。

11、对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻发布、商城及论坛程

二：挂马恢复措施：

1修改帐号密码

不管是商业或不是，初始密码多半都是admin。因此你接到网站程序第一件事情就是“修改帐号密码”。帐号

密码就不要在使用以前你习惯的，换点特别的。尽量将字母数字及符号一起。此外密码最好超过15位。尚若你使用

SQL的话应该使用特别点的帐号密码，不要在使用什么什么admin之类，否则很容易被入侵。

2创建一个robotstxt

Robots能够有效的防范利用搜索引擎窃取信息的骇客。

3修改后台文件

第一步：修改后台里的验证文件的名称。

第二步：修改connasp，防止非法下载，也可对数据库加密后在修改connasp。

第三步：修改ACESS数据库名称，越复杂越好，可以的话将数据所在目录的换一下。

4限制登陆后台IP

此方法是最有效的，每位虚拟主机用户应该都有个功能。你的IP不固定的话就麻烦点每次改一下咯，安全第一嘛。

5自定义404页面及自定义传送ASP错误信息

404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。

ASP错误嘛，可能会向不明来意者传送对方想要的信息。

6慎重选择网站程序

注意一下网站程序是否本身存在漏洞，好坏你我心里该有把秤。

7谨慎上传漏洞

据悉，上传漏洞往往是最简单也是最严重的，能够让黑客或骇客们轻松控制你的网站。

可以禁止上传或着限制上传的文件类型。不懂的话可以找专业做网站安全的sinesafe公司。

8 cookie 保护

登陆时尽量不要去访问其他站点，以防止 cookie 泄密。切记退出时要点退出在关闭所有浏览器。

9目录权限

请管理员设置好一些重要的目录权限，防止非正常的访问。如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。

10自我测试

如今在网上黑客工具一箩筐，不防找一些来测试下你的网站是否OK。

11例行维护

a定期备份数据。最好每日备份一次，下载了备份文件后应该及时删除主机上的备份文件。

b定期更改数据库的名字及管理员帐密。

c借WEB或FTP管理，查看所有目录体积，最后修改时间以及文件数，检查是文件是否有异常，以及查看是否有异常的账号。

很高兴回答你的问题。

这里简单汇总下常见的web问题有：

SQL注入；

CSRF；

XSS等；

常规应对措施：

将输入输出数据进行转义处理，包括特殊符号；

不使用拼接SQL字符串

数据有效性检测；

数据流量监控；

及时更新安全或高危漏洞补丁；

Token机制或验证码设置；

细化文件目录权限等；

上线文件类型、内容校验；

水平权限管理等

Windows提供了一些远程管理功能，像使用Windows PowerShell，ServerManagerexe，或一个telnet服务器，但它并没有提供原生的SSH(安全外壳)或Secure FTP访问。

　　不过，好消息是它是相当容易成立SSH和安全FTP(SFTP)服务器，让您可以安全地访问命令提示符和文件的电脑或远程服务器示例使用的情况下，包括故障排除，维修，或转移/共享文件，当你走出办公室。你甚至可以决定设置它做SSH隧道，以确保你的Wi-Fi流量使用热点时。

　　虽然有很多SSH和SFTP服务器可供选择，在这里我们将讨论freeSSHd以下。freeSSH中是一个SSH和Telnet服务器，支持普通的shell或命令行SSH访问，基于SSH的SFTP访问(使用命令行或GUI客户端)，基于SSH隧道(***一样的功能)。

　　freeSSH中很容易通过一个典型的Windows安装程序安装。做虽然确保创建上面的安装结束时，因为它们所需的加密的私钥。

　　配置服务器

　　一旦你打开freeSSHd以下，你会发现一个系统托盘图标，你可以单击“打开服务器设置。如果你没有在安装过程中创建的私钥SSH选项卡并单击“新建”的关键()。否则，你应该做的，为了获得服务器运行的是创建一些用户通过点击“用户”选项卡。

　为了使你的SSH服务器更加安全，考虑强迫用户进行身份验证，通过自己的密码加上一个私钥，他们必须在他们的PC连接时，在他们的客户端程序配置。

　　如果你知道将远程连接到服务器 - 如果它总是会从另一间办公室，有一个静态IP，例如 - 你也可以考虑远程IP地址白名单，以提高服务器的安全性。要做到这一点，只需点击“主机限制”选项卡，并输入IP地址。

　　如果您打算使用SFTP连接来传输文件，单击SFTP选项卡，为用户指定一个默认路径。

　　测试服务器

　　在打开你的防火墙上的SSH端口，可以测试服务器从客户端程序连接同一台PC上使用本地主机的主机地址或IP地址的PC。您可以使用标准的SSH和SFTP客户端，如腻子，WinSCP赋予或FileZilla的。

　　打开防火墙

　　为了从其他电脑SSH端口22必须打开Windows防火墙或任何其他你可能已经安装了个人防火墙访问SSH服务器。您可能已提醒有关允许或禁止访问，当你第一次运行freeSSH中。如果没有，你就无法通过SSH连接其他电脑，仔细检查防火墙的设置。

　　如果你打算通过互联网连接到SSH服务器，路由器和网络PC连接必须被配置为允许访问。在路由器中，您可以使用虚拟服务器或端口转发设置打开SSH端口22和前瞻性的PC主机的SSH服务器的IP地址的流量。

1及时更新系统，下载安全软件补丁

由于在香港服务器上面安装的软件以及应用都会存在漏洞，∞所以容易被黑客攻击，这也是为什么很多软件会不断更新并推出漏洞修复补丁的原因，因此在安装软件时，应该安装最新型的软件，很多软件升级版有修复漏洞的功能，所以用户要关注软件是否有升级，及时升级软件，这样才能避免应用问题遭受黑客攻击。

2安装软、硬件防火墙

防火墙具有屏蔽异常IP以及过滤异常流量的功能，通过防火墙可以避免某些恶意的IP访问服务器。设置防火墙尤其是硬件防火墙之后，所有访问香港服务器的流量IP都要经过防火墙，从而可以及时检测并排除异常的流量。因此很多注重信息安全的企业都会选择在自己的香港服务器或者服务器集群外面部署硬件防火墙。

3安装防病毒和设置安全机制解决方案

在香港服务器上面安装防病毒软件，可以防止服务器软件受到病毒感染，造成服务器瘫痪另外通过设置一系列的安全解决方案，比如DDOS流量清洗方案也能够在面对攻击的时候可以将异常流量清洗掉，从而不对服务器应用产生大的影响。

酷酷云服务器为您诚意解答