服務(wù)器廠家網(wǎng)絡(luò)服務(wù)器安全維護技巧
2018-09-25
某商店正在壓榨它的網(wǎng)絡(luò)系統(tǒng)的最后生命。盡管那臺很老的服務(wù)器幾乎難以滿足商店運營的需要,但經(jīng)營者甚至連更換UPS都不愿意,事實上服務(wù)器廠家電池每兩年就應(yīng)該更換一次。終于有一天突然停電了,而這個UPS實在是太老了,它已經(jīng)不能控制服務(wù)器安全關(guān)機了。電池能量大部分早已耗盡,所以它也很快沒電了。結(jié)果,防控異常情況的控制器沒能起到正常關(guān)閉服務(wù)器的作用。商店每日的正常運轉(zhuǎn)和交易事宜全靠這個服務(wù)器。修復(fù)服務(wù)器花了三天時間,而彌補由此帶來的損失需要花費更長時間。事實上,服務(wù)器廠家就能有效避免上述事情的發(fā)生。
一個打進公司總部說某個分公司的服務(wù)器出了問題,網(wǎng)絡(luò)管理員飛奔出辦公室,驅(qū)車一小時到達出事地點。結(jié)果,他發(fā)現(xiàn)被毀壞了一部分,這樣,他所有能做的只有重新安裝操作系統(tǒng)。該分公司的網(wǎng)絡(luò)管理員一時找不到安裝盤,沒關(guān)系,這位總部的管理員有,不過在他的辦公室里――離這里單程一小時、往返兩小時。收拾好一個背包,隨身帶著。所有你可能需要的東西,包括你的用戶所使用的操作系統(tǒng)備份,都應(yīng)該在背包里放著。這是很容易做到的,不需要花費些什么,但在更新操作系統(tǒng)之類的問題上能起到關(guān)鍵性作用。
一個玩具制造商的服務(wù)器連接出了問題,使得全體職員與自己的文件都失去了聯(lián)系,生產(chǎn)被迫停止兩天。損失嚴重!一位新近被雇的網(wǎng)絡(luò)管理員負責(zé)解決這個危機。他很快發(fā)現(xiàn)以前的網(wǎng)絡(luò)管理員在三年前安裝系統(tǒng)的時候沒有安裝補丁。
補丁是免費提供的,也許它們不是開放式的,但它們通常是很容易配置,任何一個系統(tǒng)管理員都能夠做到。之前的那位管理員說,因為系統(tǒng)運行得很好,所以不需要打補丁。這種說法顯然是很不負責(zé)任的。
某醫(yī)院辦公室存儲了很多醫(yī)藥文件和病歷的服務(wù)器出了故障。因為服務(wù)器上沒息可以被存取,辦公室的各項運轉(zhuǎn)基本停止。網(wǎng)絡(luò)管理員立即拿出一個備份文檔的帶子,試圖修復(fù)。當她發(fā)現(xiàn)這個帶子是空的時,心沉了下去。她檢查了另外的備份帶子,居然全是空的!她檢查了辦公室的日志,發(fā)現(xiàn)同僚們兩年來每天都更換備份帶,只是帶子被放進從來沒有安裝備份軟件的服務(wù)器里,沒有人知道備份帶有問題,因為從來沒有人檢查過,而只是兩年內(nèi)堅持每天更換空白備份帶。這件事使醫(yī)院損失慘重。其實只要任何一個管理員做一個簡單的備份檢查就可以避免這種重大問題的發(fā)生了。事實上,他們正在這樣做,每天都是。
一個銀行的網(wǎng)絡(luò)經(jīng)常出問題,為此他們專門對配線箱做了檢查,檢查中發(fā)現(xiàn),許多RJ-11和RJ-12的插頭插進了RJ-45插座之內(nèi)。而且在每一個插座里都插入了一根牙簽,這樣布的電纜線路難怪會出問題。許多網(wǎng)絡(luò)問題都歸咎于不合適的電纜線路連接,所以,精明的管理者最好讓有經(jīng)營許可證的、有擔(dān)保的并且信得過的電纜線路承包商來架接電纜線路。
一項專業(yè)的團體買了一個名牌服務(wù)器,但是它剛開始工作時就出問題。該網(wǎng)絡(luò)管理員向操作系統(tǒng)廠商和硬件廠商提出幫助請求。后來發(fā)現(xiàn),提供這個 “名牌”服務(wù)器的轉(zhuǎn)售商人給這個服務(wù)器配置的是非名牌的、非名牌的磁盤控制器,以及非名牌的磁盤驅(qū)動器,只因為這些組件要便宜一些。該硬件廠商和操作系統(tǒng)廠商拒絕提供支持,因為服務(wù)器被一些非名牌的構(gòu)件所混淆,其結(jié)構(gòu)不易被鑒定。
某辦公室去年花費大量現(xiàn)金采購了服務(wù)器。該系統(tǒng)有RAID5的冗余保護,雙和24×7支持,而一年之后,驅(qū)動器壞掉了。保證24×7支持的工作人員來了,他打電話給硬件廠商,廠商問他合約號碼是什么,而該辦公室之前并沒有簽訂授權(quán)合同?!皼]關(guān)系,”廠商說,“他們離授權(quán)到期還有兩年時間,我將在五六天內(nèi)給你更換驅(qū)動器。”
但是,廠商的寬容是遠遠不夠的,最好保證你有全套24×7支持,去一個辦公用品商店買標簽,在每個標簽上寫上授權(quán)合同號碼和技術(shù)支持的電話號碼,然后把它們貼在每一臺機器上。
幾年以前,一家軟件發(fā)展公司安裝了一個新的,它用的是最快的隨機存取儲存器,最快的驅(qū)動器和最快速的處理器,它將作為董事長的新工作站。在安裝完成后不久,這位董事長接受了來自他最大的合伙人公司的一個請求,用它來測試新的人造宇宙站的通信平臺,其結(jié)果是藍屏。當他驚訝之余重新起動時,內(nèi)部保存的信息什么都沒有了。在重建系統(tǒng)之后,他又花了四天時間才從那一堆操作指南中擺脫出來。
另外一家公司的董事長比較聰明,建造了一個測試網(wǎng)絡(luò)。在系統(tǒng)升級之前,他們會在測試網(wǎng)絡(luò)上做做試驗,一次又一次地找出錯誤,反復(fù)設(shè)定網(wǎng)絡(luò)不斷試驗,直到它完全正確。只有在試驗結(jié)果完全正確地情況下,他們才會真正展開系統(tǒng)升級。第一個公司的董事長再也不把自己的服務(wù)器當用了。
某藝術(shù)公司五年前買服務(wù)器的時候,該服務(wù)器可以支持六個8G-byteRAIDArray5驅(qū)動器。為了要節(jié)省錢,公司堅持只買四個- byte驅(qū)動器。網(wǎng)絡(luò)管理員說,不久他們會需要較多的空間,公司最終妥協(xié)了,多買了兩個驅(qū)動器,如此了結(jié)了此事。在三年之后他們出現(xiàn)了嚴重的空間不足問題,他們甚至不得不刪除只有50Kbyte的小文件。他們急需擴大容量,而當時8G-byte的驅(qū)動器已經(jīng)買不到了,更大的服務(wù)器又支持不了。而能解決該問題的一個新的額外子系統(tǒng)將需要比原服務(wù)器更多的錢。這樣,他們只得比計劃的提前兩年更換服務(wù)器。因此,做好存儲容量計劃,會使你節(jié)約開支,甚至可能大大延長你的系統(tǒng)壽命。
下午辦公室的電源突然斷掉了,緊張的辦公室經(jīng)理認為這會損害他們的兩個服務(wù)器,因此他采取了快速行動――他走過去把服務(wù)器都關(guān)掉了。回家時,他還為他的快速行動而自豪??傻诙煸绯?當他回到辦公室打開兩個服務(wù)器時,發(fā)現(xiàn)里面內(nèi)容什么都沒有了。事實上,昨天當他按下服務(wù)器時,服務(wù)器正在進行關(guān)鍵文件的復(fù)雜更新工作,他中止一臺服務(wù)器的工作時影響了另一臺服務(wù)器關(guān)鍵性數(shù)據(jù)庫的存盤。結(jié)果修復(fù)網(wǎng)絡(luò)工作花了兩天時間。
首先,我們可以分析一下,對網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個方面:一是惡意的攻擊行為,如拒絕服務(wù)攻擊,網(wǎng)絡(luò)病毒等等,這些行為旨在消耗服務(wù)器資源,影響服務(wù)器的正常運作,甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓;另外一個就是惡意的入侵行為,這種行為更是會導(dǎo)致服務(wù)器敏感信息泄露,入侵者更是可以為所欲為,肆意破壞服務(wù)器。所以我們要保證網(wǎng)絡(luò)服務(wù)器的安全可以說就是盡量減少網(wǎng)絡(luò)服務(wù)器受這兩種行為的影響。
基于做操作系統(tǒng)的服務(wù)器在市場的份額以及國人對該操作系統(tǒng)的了解程度,我在這里談?wù)剛€人對維護windows網(wǎng)絡(luò)服務(wù)器安全的一些個人意見。
選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件:、系統(tǒng)、系統(tǒng)等。
防火墻在安全系統(tǒng)中扮演一個保安的角色,可以很大程度上保證來自網(wǎng)絡(luò)的非法訪問以及數(shù)據(jù)流量攻擊,如拒絕服務(wù)攻擊等;入侵檢測系統(tǒng)則是扮演一個監(jiān)視器的角色,監(jiān)視你的服務(wù)器出入口,非常智能地過濾掉那些帶有入侵和攻擊性質(zhì)的訪問。
要知道,windows畢竟的東西,而微軟的東西一向都是以Bug 和 Patch多而著稱,中文版的Bug遠遠要比英文版多,而中文版的補丁向來是比英文版出的晚,也就是說,如果你的服務(wù)器上裝的是中文版的windows系統(tǒng),微軟漏洞公布之后你還需要等上一段時間才能打好補丁,也許黑客、病毒就利用這段時間入侵了你的系統(tǒng)。
我想說一句,世界上沒有絕對安全的系統(tǒng)。我們只可以盡量避免被入侵,最大的程度上減少傷亡。
大家都知道,我們通常采用的文件系統(tǒng)是FAT或者FAT32,NTFS是微軟Windows NT內(nèi)核的系列操作的、一個特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。NTFS文件系統(tǒng)里你可以為任何一個磁盤分區(qū)單獨設(shè)置訪問權(quán)限。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過某些方法獲得你的服務(wù)文件所在磁盤分區(qū)的訪問權(quán)限,還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進一步訪問到保存在磁盤上的敏感信息。
常言道,“有備無患”,雖然誰都不希望系統(tǒng)突然遭到破壞,但是不怕一萬,就怕萬一,作好服務(wù)器系統(tǒng)備份,萬一遭破壞的時候也可以及時恢復(fù)。
關(guān)閉那些不必要開的服務(wù),做好本地管理和組管理。Windows系統(tǒng)有很多默認的服務(wù)其實沒必要開的,甚至可以說是危險的,比如:默認的共享遠程注冊表訪問(Remote Registry Service),系統(tǒng)很多敏感的信息都是寫在注冊表里的,如pcanywhere的加密密碼等。
關(guān)閉那些不必要的端口。一些看似不必要的端口,確可以向黑客透露許多操作系統(tǒng)的敏感信息,如windows 2000 server默認開啟的IIS服務(wù)就告訴對方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是或者系統(tǒng),因為69是這些操作系統(tǒng)下默認的tftp服務(wù)使用的端口。對端口的進一步訪問,還可以返回該服務(wù)器上軟件及其版本的一些信息,這些對黑客的入侵都提供了很大的幫助。此外,開啟的端口更有可能成為黑客進入服務(wù)器的門戶。
總之,做好TCP/IP端口過濾不但有助于防止黑客入侵,而且對防止病毒也有一定的幫助。
服務(wù)器廠家雖然開啟日志服務(wù)雖然說對阻止黑客的入侵并沒有直接的作用,但是通過他記錄黑客的行蹤,我們可以分析入侵者在我們的系統(tǒng)上到底做過什么手腳,給我們的系統(tǒng)到底造成了哪些破壞及隱患,黑客到底在我們的系統(tǒng)上留了什么樣的后門,我們的服務(wù)器到底還存在哪些安全漏洞等等。如果你是的話,你還可以設(shè)置密罐,等待黑客來入侵,在他入侵的時候把他逮個正著。