服務(wù)器安全防護措施方案

1、服務(wù)器安全防護措施、網(wǎng)絡(luò)安全配置1、服務(wù)器系統(tǒng)的安全配置 Linux操作系統(tǒng)的防火墻設(shè)置選擇軟件：有一個高級別安全性能的防火墻IPFire最新版，IPFire是基于狀態(tài) 檢測的防火墻，采用了內(nèi)容過濾引擎，通訊服務(wù)質(zhì)量（QoS :解決網(wǎng)絡(luò)延遲，阻 塞，丟失數(shù)據(jù)包，傳輸順序出錯等問題的一種技術(shù)，確保重要業(yè)務(wù)量不受延遲或丟 棄，同時保證網(wǎng)絡(luò)的高效運行。），虛擬專用網(wǎng)絡(luò)技術(shù)（VPN :主要功能是：信息 包分類，帶寬管理，通信量管理，公平帶寬，傳輸保證）和大量的檢測記錄。而且 設(shè)置簡單，上手快。設(shè)置：a、開啟數(shù)據(jù)庫的端口，這個是可以根據(jù)公司的要求設(shè)置的，比如，3306，4580，8868等等從1000-

2、65535之間，一個終端只開放一個端口；b、開放22端口，即SSH遠(yuǎn)程管理端口，只針對某個終端開放；cubuntu service版linux的最高權(quán)限用戶root不要設(shè)置使用固定密碼（系 統(tǒng)會在每隔5分鐘自動生成一個密碼，連服務(wù)器管理員都不可能知道 的）；安裝殺毒軟件目前網(wǎng)絡(luò)上用的比較多的殺毒軟件，像avast、卡巴斯基都有l(wèi)inux版本的。推薦使 用能夠avast，因為其是免費的。多終端應(yīng)用Linux是可以多終端獨立應(yīng)用的，為了保障服務(wù)器和數(shù)據(jù)的安全。在這里采用的是 多終端多庫應(yīng)用，進(jìn)行權(quán)限分級。如：在Linux系統(tǒng)下增加一個終端用戶，名為SSH，設(shè)置密碼為：xxxxxxxx，在該用戶 下

3、安裝SSH服務(wù)端，并開放22端口。同樣的數(shù)據(jù)庫也可以采用這個方式設(shè)置，端口是由公司內(nèi)部指定，比如：TJW用戶的密碼是yyyyyy，在這個用戶下安裝MYSQL5.0，并設(shè)置端口為3306， 數(shù)據(jù)庫里面只針對添健網(wǎng)的數(shù)據(jù)庫操作。JDW用戶的密碼是sssssss,同樣獨立安裝或者配置MYSQL5.0,設(shè)置端口為3307, 通過這個用戶進(jìn)去只能操作機電網(wǎng)的數(shù)據(jù)庫讓服務(wù)器定期更新漏洞操作系統(tǒng)可以設(shè)置為定期更新漏洞，這些漏洞往往成為黑客攻擊的目標(biāo)。 不必要擔(dān)心系統(tǒng)會下載病毒，應(yīng)為系統(tǒng)只會指定到官方網(wǎng)站上去現(xiàn)在更新。 如果等到服務(wù)器能下載非法更新包時，操作系統(tǒng)早已經(jīng)崩潰。設(shè)置一些傀儡服務(wù)器這個是雅虎的做法，

4、設(shè)置幾臺傀儡服務(wù)器（也可以叫中繼服務(wù)器）具有程序自我回 復(fù)和還原功能。每臺服務(wù)器的系統(tǒng)和端口不一。由于系統(tǒng)設(shè)置了自我恢復(fù)功能和恢 復(fù)時間。就算黑客攻擊掉了其中一臺，也可以保證網(wǎng)絡(luò)系統(tǒng)不會停止運營。2、常見的服務(wù)器攻擊手段即網(wǎng)絡(luò)配置 拒絕服務(wù)（DDOS攻擊）攻擊方式：SYN（DDOS攻擊）是最常見又最容易被利用的一種攻擊手法，利用TCP協(xié) 議缺陷，發(fā)送了大量偽造的 TCP連接請求（由于服務(wù)器TCP被請求，但是 得不到客戶機的確認(rèn)，就會嘗試3次），使得被攻擊方資源耗盡，無法及時回 應(yīng)或處理正常的服務(wù)請求。判斷方法：輸入命令：netstat -n -p TCP I grep SYN_RECV I g

5、rep:22 I wc -L其中22是指端口，如果顯示的是10以下則是正常的，顯示為10-30可能被攻 擊，30以上是絕對被攻擊。防范配置：由于這種攻擊是來源于TCP/IP協(xié)議的先天漏洞，完全規(guī)避是不可能的。只能 通過一些手段減輕攻擊產(chǎn)生的后果。A、通過物理防火墻和過濾網(wǎng)關(guān)防護這個與IDC機房有關(guān)，判斷IDC機房是否具備防火墻。通過防火墻代理 接收和發(fā)送請求來減少對服務(wù)器本身的攻擊壓力。8、加固TCP/IP協(xié)議設(shè)置請求時間和連接次數(shù)，這個調(diào)整需要注意的是，如果修改了相關(guān)的值?？赡茉斐刹僮飨到y(tǒng)其他的功能毀壞。在沒有十足的把握前請不要去設(shè)置。下面是Linux下的基礎(chǔ)設(shè)置不會影響到其他功能：1）防止

6、各種端口掃描，因為請求和接收是與端口有關(guān)。首先要屏蔽掃描 端口，這樣限制外部計算機通過Ping和掃描端口來判定哪些端口是開放。 iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit-limit 1/s -j ACCEPT2）禁止使用ping，同時防止ping云攻擊iptables -A FORWARD -p tcp -tcp-flags SYN,ACK,FIN,RST RST -m limit -limit 1/s -j ACCEPT3）開啟Linux的syncookies功能，防范部分SYN攻擊；sysctl -

7、w net.ipv4.tcp_syncookies=1;4）設(shè)置最大半連接數(shù)量，修改tcp_max_syn_backlog=2048sysctl -w net.ipv4.tcp_max_syn_backlog=2048;5）調(diào)整重試次數(shù)（默認(rèn)是重試5次）sysctl -w net.ipv4.tcp_synack_retries=3sysctl -w net.ipv4.tcp_syn_retries=36）開啟截流閥功能，設(shè)置每秒鐘只允許發(fā)送一次半連接請求。1秒后自 動恢復(fù)，如果已經(jīng)連接上的是不受影響的iptables -I INPUT -p tcp -syn -m limit -limit 1

8、/s -j ACCEPTiptables -I FORWARD -p tcp -syn -m limit -limit 1/s -j ACCEPTC、定期巡檢定期讓工作人員檢查系統(tǒng)日志，查看是否正常。檢查方法見判斷方法信息炸彈攻擊手段：信息炸彈是指使用一些特殊工具軟件，短時間內(nèi)向目標(biāo)服務(wù)器發(fā)送大量超 出系統(tǒng)負(fù)荷的信息，造成目標(biāo)服務(wù)器超負(fù)荷、網(wǎng)絡(luò)堵塞、系統(tǒng)崩潰的攻擊手段。 一般這種攻擊分為：信息炸彈和邏輯炸彈。信息炸彈主要是短時間內(nèi)，向數(shù)據(jù)庫中添加大量的數(shù)據(jù)。使數(shù)據(jù)庫表大小 達(dá)到文件系統(tǒng)的最高限制，造成數(shù)據(jù)庫表文件損壞。邏輯炸彈是通過書寫一些死循環(huán)代碼自我數(shù)據(jù)累加，最后使服務(wù)器或應(yīng)用 程序變慢或

9、則文件損壞。判斷方法：信息炸彈通常是攻擊應(yīng)用程序和數(shù)據(jù)庫，判斷方法數(shù)據(jù)庫：檢查是否較短時間內(nèi)添加了大量的數(shù)據(jù)。而且所有的數(shù)據(jù)是相似 的或相同的。同時檢查數(shù)據(jù)管理軟件的日志文件。查看系統(tǒng)日志，看是否有程序執(zhí)行過程中的異常。防范配置：對于數(shù)據(jù)庫可以采用本身的觸發(fā)器功能進(jìn)行判斷是否為有效插入，屏蔽掉 代碼的Web關(guān)鍵字符例如尖括號。因為這樣的代碼是可執(zhí)行的，可能引起 服務(wù)器和其他客戶電腦中毒。對操作系統(tǒng)設(shè)置多端口，多用戶權(quán)限。一般開放較低的權(quán)限用戶對外。這個可以通過服務(wù)器的安全配置杜絕。網(wǎng)絡(luò)監(jiān)聽攻擊手段：由于B/S結(jié)構(gòu)的系統(tǒng)，從用戶瀏覽器提交信息到服務(wù)器只有兩種方法：Get和Post方法，然后就是在

10、線上傳和FTP這些方法提交信息時有一個網(wǎng)絡(luò)包，對于服務(wù)器來講是這個包是安全的。 而這個包是可以在本機電腦上通過網(wǎng)絡(luò)嗅敏器監(jiān)聽來獲取。有了包的數(shù)據(jù)，然后再通過一些注入軟件，重復(fù)提交或者偽裝一些木馬后 提交。這種工具網(wǎng)絡(luò)上是有很多的。尤其是在一些文件上傳和圖片上傳最容易 掛馬。判斷方法：通常這樣攻擊web服務(wù)器是無法檢測和判斷的。一般需要一個有經(jīng)驗的 程序員來規(guī)避程序上的問題，然后通過中繼服務(wù)器驗證判斷后再最終提交數(shù)據(jù) 和信息。防范配置：1、安裝服務(wù)器版的殺毒軟件，實時監(jiān)控端口接收到的數(shù)據(jù)。2、通過中繼服務(wù)器程序判斷提交的數(shù)據(jù)，1）、如果是基本信息提交，就通過驗證碼、數(shù)字證書、ActiveX控件

11、來加密信息。這樣監(jiān)聽出來的數(shù)據(jù)本身是加密的。而且只能通過SSL安 全通道提交。2）、如果提交的是圖片，限制圖片上傳的種類。上傳圖片后在中繼服 務(wù)器上通過JAVA程序?qū)D片像素?zé)o損壓縮或轉(zhuǎn)換格式為統(tǒng)一標(biāo)準(zhǔn)。如果 JAVA程序在處理過程中異常，則刪除這個圖片并返回用戶上傳非法圖片 和需要重新上傳。因為掛馬的圖片已經(jīng)不是一張圖片格式了，是無法通過 程序驗證處理。3）、如果上傳的是視頻，也要通過專門的壓縮程序轉(zhuǎn)換成網(wǎng)站能識別 的視頻格式。和圖片一樣。4）、Word文檔或其他文本文檔，上傳后通過中繼服務(wù)器壓縮成壓縮 包再轉(zhuǎn)存到最終服務(wù)器上。由于用戶所監(jiān)聽的是本機與中繼服務(wù)器的交互，并不知道中繼服務(wù)器和最

12、 終數(shù)據(jù)服務(wù)器的交互。所以用戶無法遠(yuǎn)程引發(fā)病毒程序。破解密碼攻擊手段：黑客最喜歡做的事就是破解密碼，而且這個破解有很多方法，通常這些方 法主要用在客戶自己的電腦上。比如通過木馬獲取按鍵循序；采用IE和火狐里面的密碼保護程序進(jìn)行反 編譯破解；使用既有的一些破解算法比如MD5、Base64等加密算法進(jìn)行反向 加密；使用查看Password屬性輸入框查看工具等等服務(wù)器方面很少，除非已經(jīng)攻入進(jìn)去，否則是拿不到密碼的。如果已經(jīng)攻 入進(jìn)去了就不會再有必要去破解密碼了。密碼外泄一般是內(nèi)賊。判斷方法：這個往往主要在于客戶自己的電腦上，所以我們無法去判斷。不過程序上 可以實現(xiàn)在IP段上提醒用戶。防范配置：WEB

13、程序上設(shè)計一個ActiveX控件，不采用Password輸入框，而是通過 ActiveX來提交密碼并自主加密。設(shè)計一個專門的數(shù)字證書，對網(wǎng)頁通訊進(jìn)行加密。、程序開發(fā)及數(shù)據(jù)安全應(yīng)用措施1、程序安全服務(wù)器的安全不能只在網(wǎng)絡(luò)和設(shè)備方面，程序也是最重要的一個環(huán)節(jié)。服務(wù)器的操 作系統(tǒng)本身的安全系數(shù)就比較搞，再加上一些物理防火墻等一個黑客想攻擊進(jìn)如一臺服 務(wù)器是有難度的。但是如果程序具有后門和漏洞，就算服務(wù)器安全保護的再強，也是沒 有用的。1）、開發(fā)程序時，應(yīng)該使用一些必要的工具來檢測程序的漏洞和后門；2）、采用中繼服務(wù)器接口技術(shù)，隔開用戶直接訪問最終服務(wù)器；3）、對用戶提交和上傳的任何文件和信息必須通過

14、轉(zhuǎn)換后再保存；4）、檢查程序的執(zhí)行速度和資源消耗情況，并且做好優(yōu)化。防止通過大量的程序執(zhí) 行造成宕機。2、數(shù)據(jù)安全主要是指數(shù)據(jù)庫，數(shù)據(jù)庫管理軟件具有權(quán)限管理和用戶管理。最高權(quán)限是root用 戶，這個用戶具有所有的增刪改查（庫、表、字段）的權(quán)限。保障數(shù)據(jù)的安全可以通過 下面方式進(jìn)行：1）、針對不同的中繼服務(wù)器接口開放不同的用戶和權(quán)限，比如：注冊新用戶時，只 開放一個用戶為register；這個用戶的權(quán)限為增加數(shù)據(jù)的權(quán)限，屏蔽掉庫、表、字段信 息的刪改查功能。2）、多采用存儲過程和觸發(fā)器，這兩樣功能是通過數(shù)據(jù)庫管理軟件自主運行的，與 外部程序無關(guān)。這樣做的好處是，建立一些備份數(shù)據(jù)庫，當(dāng)用戶插入一條數(shù)據(jù)時自動通 過觸發(fā)器備份到