隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,服務(wù)器面臨著越來越多的安全威脅�。因此����,如何加強服務(wù)器的安全防護,是一項迫切需要解決的問題����。那么到底該怎么做����,才能使服務(wù)器更安全呢�?今天��,我們來談一談服務(wù)器安全防護的思維和舉措�����。
服務(wù)器的安全防護�����,可以從以下五大方面入手:
一���、 安全設(shè)置
1����、 加強服務(wù)器的安全設(shè)置
以Linux為操作平臺的服務(wù)器的安全設(shè)置策略����,能夠有效降低服務(wù)器的安全隱患,以確保服務(wù)器的安全性�����。安全設(shè)置主要包括:登錄用戶名與密碼的安全設(shè)置、系統(tǒng)口令的安全設(shè)置�����、BIOS的安全設(shè)置�、使用SSL通信協(xié)議、命令存儲的修改設(shè)置��、隱藏系統(tǒng)信息�、啟用日志記錄功能以及設(shè)置服務(wù)器有關(guān)目錄的權(quán)限等。
2���、加強內(nèi)網(wǎng)和外網(wǎng)的安全防范
服務(wù)器需要對外提供服務(wù)��,它既有域名,又有公網(wǎng)IP��,顯然存在著一些安全隱患�。因此��,可以給服務(wù)器分配私有的IP地址���,并且運用防火墻來做NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)���,可將其進行隱藏��。
有些攻擊來源于內(nèi)網(wǎng),如果把內(nèi)網(wǎng)計算機和服務(wù)器放置在相同的局域網(wǎng)之內(nèi)����,則在一定程度上會增加很多安全隱患,所以必須把它劃分為不同的虛擬局域網(wǎng)����。運用防火墻的“網(wǎng)絡(luò)地址轉(zhuǎn)換”來提供相互間的訪問,這樣就能極大提高服務(wù)器的安全性和可靠性����。
把服務(wù)器連接至防火墻的DMZ(隔離區(qū))端口,將不適宜對外公布的重要信息的服務(wù)器���,放在內(nèi)部網(wǎng)絡(luò)���,進而在提供對外服務(wù)的同時,可以最大限度地保護好內(nèi)部網(wǎng)絡(luò)����。
3��、網(wǎng)絡(luò)管理員,要不斷加強網(wǎng)絡(luò)日常安全的維護與管理
要對“管理員用戶名與密碼”定期修改���;要對服務(wù)器系統(tǒng)的新增用戶情況進行定時核對�,并且需要認真仔細了解網(wǎng)絡(luò)用戶的各種功能����;要及時更新服務(wù)器系統(tǒng)的殺毒軟件以及病毒數(shù)據(jù)庫,必要時��,可針對比較特殊的病毒�����,安裝專門的殺毒程序���,同時要定期查殺服務(wù)器的系統(tǒng)病毒�����,定期查看CPU的正常工作使用狀態(tài)�����、后臺工作進程以及應(yīng)用程序等����。如若發(fā)現(xiàn)異常情況,需要及時給予妥當處理���。因為很多“病毒與木馬程序”,都是運用系統(tǒng)漏洞來進行攻擊的�����,所以需要不斷自動更新服務(wù)器系統(tǒng)����,以及定期掃描服務(wù)器系統(tǒng)的漏洞。
很多服務(wù)器已經(jīng)成為了“病毒�����、木馬程序”感染的重災(zāi)區(qū)�。不但企業(yè)的門戶網(wǎng)站被篡改、資料被竊取����,而且本身還成為了“病毒與木馬程序”的傳播者。有些服務(wù)器管理員采取了一些措施�,雖然可以保證門戶網(wǎng)站的主頁不被篡改����,但是卻很難避免自己的網(wǎng)站被當作“肉雞”�����,來傳播“病毒����、惡意插件、木馬程序”等等���。這很大一部分原因是�,網(wǎng)絡(luò)管理員在網(wǎng)站安全的防護上太被動�。他們只是被動的防御,而沒有進行主動防御和檢測�����。為了徹底提高服務(wù)器的安全等級�,網(wǎng)站安全需要主動出擊。
防御吧為用戶提供的“云服務(wù)器���、高防服務(wù)器”���,具有“木馬病毒檢測�、暴力破解防護��、系統(tǒng)漏洞掃描”等基礎(chǔ)防護功能��。超大防護帶寬和超強清洗能力�,專門應(yīng)對各類網(wǎng)站攻擊行為,保障用戶網(wǎng)站業(yè)務(wù)服務(wù)的正常穩(wěn)定運行����。
二�、 漏洞測試
現(xiàn)在很多企業(yè)網(wǎng)站做的越來越復(fù)雜、功能越來越強大���。不過這些都不是憑空而來的�����,而是通過代碼堆積起來的��。如果這些代碼只供企業(yè)內(nèi)部使用�,那么不會帶來多大的安全隱患��。但是如果放在互聯(lián)網(wǎng)上對外服務(wù)使用的話,這些為實現(xiàn)特定功能的代碼��,就有可能成為攻擊者的目標�����。
例如:在網(wǎng)頁中可以嵌入“SQL代碼”���,而攻擊者就可以利用這些“SQL代碼”發(fā)動攻擊��,以此進行“獲取管理員用戶名和密碼”等破壞性的操作�。有時候訪問某些網(wǎng)站����,還需要有某些特定的控件,用戶在安裝這些控件時���,其實就有可能是在安裝一個木馬(可能訪問者與被訪問者都沒有意識到)��。
為此在為網(wǎng)站某個特定功能編寫代碼時����,就要主動出擊,從代碼的設(shè)計到編寫�����、再到測試�����,都需要意識到是否存在著安全漏洞�。在日常工作中,在這方面需要對于員工提出較高的要求����,各個程序員,必須要對自己所開發(fā)的功能負責���,已知的“病毒和木馬”不能夠在其所開發(fā)的插件中有機可乘。通過這種層層把關(guān)�����,就可以提高代碼編寫的安全性�。
三、全天候的安全監(jiān)控
“冰凍三尺�����,非一日之寒”,這就好像“人免疫力下降����,導(dǎo)致身體生病”一樣,都有一個過程��������!安《��、木馬”等在攻擊服務(wù)器時��,也需要一個過程��������;蛘哒f,在攻擊取得成功之前��,它們會有一些試探性的動作。比如����,對于一個采取了一定安全措施的服務(wù)器,從攻擊開始到取得效果��,至少要有半天的時間�����。網(wǎng)站管理員����,要對服務(wù)器進行全天候的監(jiān)控,在發(fā)現(xiàn)有異常行為時����,及早的采取措施,將病毒與木馬阻擋在門戶之外��。這種“主動出擊”的防御方式�����,可以極大地提高了服務(wù)器的安全性�����。
專門設(shè)有一個小組���,來全天候的監(jiān)控服務(wù)器的訪問���,平均每分鐘都可以監(jiān)測到一些試探性的攻擊行為。其中99% 以上的攻擊行為����,由于服務(wù)器已經(jīng)采取了對應(yīng)的安全措施,結(jié)果都無功而返��。不過���,每天仍然還是會遇到一些攻擊行為�,這些攻擊行為可能是針對新的漏洞��,或者采取了新的攻擊方式�。如果在服務(wù)器上原先沒有采取對應(yīng)的安全措施,或者沒有及時的發(fā)現(xiàn)這種行為�����,那么這些攻擊就很有可能最終達到他們的非法目的。相反����,如果及早的發(fā)現(xiàn)了他們的攻擊手段,那么我們就可以在他們采取進一步行動之前����,在服務(wù)器上關(guān)上這扇大門,補上這個漏洞�����。
在這里也建議��,企業(yè)用戶在選擇“服務(wù)器提供商”的時候���,除了考慮性能���、硬件配置等因素之外,還要評估“服務(wù)提供商”能否提供全天候的安全監(jiān)控機制����。想要提高網(wǎng)站的安全性�����,在網(wǎng)站安全上就必須要主動出擊,及時發(fā)現(xiàn)攻擊者的攻擊行為����,在他們采取進一步攻擊措施之前,就將攻擊行為消除在萌芽狀態(tài)�。
防御吧云服務(wù)器、高防服務(wù)器的管理控制后臺��,為用戶提供了可視化的圖表和實時數(shù)據(jù)��,可實時監(jiān)控網(wǎng)絡(luò)流量與服務(wù)器運行狀態(tài)�����,幫助用戶隨時掌握業(yè)務(wù)運行動態(tài)��,遇到突發(fā)狀況���,可部署應(yīng)急防御�。防御吧的數(shù)據(jù)中心機房���,運營維護人員7*24小時全天候輪流值守�����,當用戶租用的服務(wù)器發(fā)生故障時����,可以及時響應(yīng),并第一時間進行搶修��,最大程度地減少因故障而造成的用戶損失�。
四、設(shè)置蜜罐
其實在跟“病毒����、木馬”打交道時,本身就是一場無硝煙的戰(zhàn)爭�����。為此�,對于服務(wù)器采取一些偽裝,能夠?qū)⒐粽咭蝈e誤的方向����。等到攻擊者發(fā)現(xiàn)自己的目標錯誤時,管理員已經(jīng)鎖定了攻擊者,從而可以及早地采取相應(yīng)的措施���。
這種主動出擊,為攻擊方設(shè)置“誘餌”的方式�,叫做“蜜罐技術(shù)”。 “蜜罐技術(shù)”��,本質(zhì)上是一種防御方對攻擊方進行欺騙的技術(shù)���,通過布置一些作為誘餌的主機��、網(wǎng)絡(luò)服務(wù)或者信息���,誘使攻擊方對防御方實施攻擊,從而防御方可以對攻擊行為進行捕獲與分析����,了解攻擊方所使用的工具與方法,推測出攻擊的意圖和動機�,由此能夠讓防御方清晰地了解到,他們所面對的安全威脅�,并通過技術(shù)和管理手段來增強實際系統(tǒng)的安全防護能力。
簡單的來說���,就是設(shè)置兩個服務(wù)器���。其中一個是真正的服務(wù)器���,另外一個則是“蜜罐”。需要做的是����,如何將真正的服務(wù)器偽裝起來,而將“蜜罐”推向公眾�����。讓攻擊者認為“蜜罐”服務(wù)器��,才是真正的服務(wù)器����。
要做到這一點的話,需要從如下幾個方面出發(fā):
1����、有真有假,難以區(qū)分����。如果想要瞞過攻擊者的眼睛�,那么“蜜罐”服務(wù)器就不能夠做得太假�����。在做“蜜罐”服務(wù)器的時候����,80%以上的內(nèi)容���,都是跟真的服務(wù)器相同的�����,只有一些比較機密的信息��,沒有放置在“蜜罐”服務(wù)器上�����。而且“蜜罐”服務(wù)器��,所采取的安全措施���,跟真的服務(wù)器是完全相同的��。這不但可以提高“蜜罐”服務(wù)器的真實性��,而且也可以用來評估真實服務(wù)器的安全性�,可謂是一舉兩得��。
2����、需要有意無意的,將攻擊者引向“蜜罐”服務(wù)器���。攻擊者在判斷一個服務(wù)器是否值得攻擊時�,會事先進行評估����。比如:評估這個網(wǎng)站的流量是否足夠高。如果網(wǎng)站的流量不高��,那么即使被攻破了�����,那也沒有多大的實用價值。攻擊者如果沒有利益可圖的話��,不會花這么大的精力在這個網(wǎng)站服務(wù)器上面����。
想要將攻擊者引向這個“蜜罐”服務(wù)器,那么就需要提高這個“蜜罐”服務(wù)器的訪問量��。其實要做到這一點也非常容易�����,F(xiàn)在有很多用來交換流量的團隊����,只要花一點比較小的投資就可以做到這一點�����。
3����、可以故意開一些空子,讓攻擊者來鉆�����。作為服務(wù)器的管理者,不僅需要關(guān)心自己的服務(wù)器是否安全�����,還需要知道自己的服務(wù)器有沒有被人家盯上���,或者說���,有沒有被攻擊的價值。此時���,管理者就需要知道�����,自己的服務(wù)器一天被攻擊了多少次�。如果攻擊的頻率比較高���,管理者既應(yīng)該高興���,又應(yīng)該憂慮�。高興的是����,自己的服務(wù)器還是蠻有價值的,被這么多人惦記著�����。憂慮的是�����,自己的服務(wù)器成為了眾多攻擊者的目標�����。此時�����,應(yīng)該抽取更多的精力����,來關(guān)注服務(wù)器的安全性�����。
五、攻防測試���。
俗話說�,靠人不如靠自己�����。在服務(wù)器的“攻防戰(zhàn)”上�����,這一原則也同樣適用�。如果,企業(yè)對于網(wǎng)站服務(wù)的安全要求比較高����,網(wǎng)站服務(wù)器上搭載有“電子商務(wù)交易平臺”,此時最好設(shè)置一個專門的團隊��。讓他們充當“攻擊者”的角色���,對服務(wù)器進行模擬攻擊����。
這個專門的團隊,主要執(zhí)行以下幾個任務(wù):
1�����、測試Web管理團隊�,對攻擊行為的反應(yīng)速度
比如,可以采用一些現(xiàn)在比較流行的攻擊手段�����,對自己的網(wǎng)站服務(wù)器發(fā)動攻擊����。當然這個時間是隨機的,預(yù)先Web管理團隊并不知情���。需要評估的是���,Web管理團隊在多少時間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為�����,這也是考驗Web管理團隊全天候跟蹤的能力。一般來說�,這個時間越短越好,應(yīng)該將這個時間控制在可控的范圍之內(nèi)�。即使攻擊最后沒有成功,Web管理團隊也應(yīng)該及早的發(fā)現(xiàn)攻擊行為�。畢竟有沒有發(fā)現(xiàn)攻擊行為,與最終攻擊行為有沒有取得成功����,是兩個不同的概念。
2�、要測試服務(wù)器的漏洞是否有補上
畢竟大部分的攻擊行為,都是針對服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的��。這個專業(yè)團隊要做的就是��,這些已發(fā)現(xiàn)的漏洞����,是否都已經(jīng)打上了安全補丁或者采取了對應(yīng)的安全措施。有時候��,整個團隊都沒有發(fā)現(xiàn)的漏洞���,可以說是無能為力的�,但是對于一些已經(jīng)發(fā)現(xiàn)的、存在的安全漏洞不能夠視若無睹��。否則��,那太便宜這些攻擊者了��。
防御吧高防服務(wù)器��、高防cdn���,專業(yè)抗DDoS攻擊�����,具有“超大防護帶寬����、超強清洗能力����、全業(yè)務(wù)場景支持” 的特點。采用“智能硬件防火墻 + 流量牽引技術(shù)”����,并為用戶配置相對應(yīng)的高防IP,在用戶面臨DDoS攻擊時���,可精準識別出惡意流量����,并將惡意流量引流到高防IP��。惡意流量在高防IP上進行清洗���、過濾后���,高防IP會將正常流量返回給源站IP,從而達到“防御DDoS攻擊��,保證用戶的網(wǎng)站正常穩(wěn)定運行”的目的��。
防御吧在部署高防服務(wù)器的數(shù)據(jù)中心高防機房�,接入了T級(1000 G)超大防護帶寬,單機防御峰值最高可達數(shù)百G��,并附有CC攻擊的防御能力����,可防御超大規(guī)模的DDoS攻擊和高密度的CC攻擊��。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
