計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)

計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)如何確保服務(wù)器的安全性，保障服務(wù)器上相關(guān)應(yīng)用服務(wù)進(jìn)程的穩(wěn)定性已經(jīng)成為人們關(guān)注的焦點(diǎn)。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)【1】摘要：如何確保服務(wù)器的安全性，保障服務(wù)器上相關(guān)應(yīng)用服務(wù)進(jìn)程的穩(wěn)定性已經(jīng)成為人們關(guān)注的焦點(diǎn)。首先分析服務(wù)器的網(wǎng)絡(luò)安全體系防護(hù)體系，其次根據(jù)多年的工作經(jīng)歷，探討一下實(shí)現(xiàn)服務(wù)器安全架構(gòu)的幾種有效措施。關(guān)鍵詞：網(wǎng)絡(luò)安全;服務(wù)器;網(wǎng)絡(luò)架構(gòu)0引言隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)安全問題日益突出。由于網(wǎng)絡(luò)的共享性與開放性，計(jì)算機(jī)在網(wǎng)絡(luò)中會(huì)面臨著各種各樣的安全隱患，如何確保計(jì)算機(jī)的安全性，保障計(jì)算機(jī)上相關(guān)應(yīng)用服務(wù)的穩(wěn)定性已經(jīng)成為人們關(guān)注的焦點(diǎn)。而對(duì)于網(wǎng)絡(luò)中的各種應(yīng)用而言，幾乎所有的應(yīng)用系統(tǒng)都會(huì)涉及到服務(wù)器，而服務(wù)器本身也屬于計(jì)算機(jī)范疇。如果服務(wù)器出現(xiàn)問題的話，就會(huì)導(dǎo)致整個(gè)應(yīng)用系統(tǒng)的全面崩潰，就會(huì)引起不必要的損失。本文就是重點(diǎn)探討一下計(jì)算機(jī)網(wǎng)絡(luò)安全理念下的服務(wù)器架構(gòu)，以期通過安全架構(gòu)的方法盡可以避免網(wǎng)絡(luò)事故的發(fā)生，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全建設(shè)。1服務(wù)器的網(wǎng)絡(luò)安全體系防護(hù)體系任何一個(gè)服務(wù)器都有與之相關(guān)聯(lián)的終端設(shè)備，故服務(wù)器的安全不是“孤立”地進(jìn)行防護(hù)，應(yīng)該以服務(wù)器為中心，將與之相關(guān)的設(shè)備以一個(gè)整體的對(duì)象進(jìn)行規(guī)劃，建立一套完整有效的網(wǎng)絡(luò)安全體系。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第1頁。而一套完整有效的網(wǎng)絡(luò)安全體系涉及到兩大部分，分別是：安全管理以及安全技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第1頁。其中，安全管理是要求網(wǎng)絡(luò)服務(wù)器管理員必須遵循相關(guān)的規(guī)章制定，以規(guī)范化的操作處理及設(shè)置處理;而安全技術(shù)就是通過硬件以及軟件的各種技術(shù)方法去服務(wù)器進(jìn)行安全方面的加固。針對(duì)于服務(wù)器而言，主要有：對(duì)服務(wù)器的數(shù)據(jù)訪問權(quán)限應(yīng)該分角色、分用戶;加強(qiáng)服務(wù)器機(jī)房的管理，禁止外來人員隨意進(jìn)出以及對(duì)服務(wù)器進(jìn)行任何非授權(quán)操作;通過服務(wù)器上操作系統(tǒng)的安全設(shè)置對(duì)服務(wù)器進(jìn)行配置等。2服務(wù)器的網(wǎng)絡(luò)安全架構(gòu)分析確保計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的安全性，是網(wǎng)絡(luò)管理員的主要職責(zé)之一。下面根據(jù)筆者多年的工作經(jīng)歷，探討一下實(shí)現(xiàn)服務(wù)器安全架構(gòu)的幾種有效措施，希望能為同道提供一定的借鑒參考價(jià)值。2.1服務(wù)器的基礎(chǔ)防護(hù)措施由于服務(wù)器端存在各種漏洞，而漏洞是網(wǎng)絡(luò)安全的首要隱患，大部分的網(wǎng)絡(luò)攻擊都是基于漏洞加以實(shí)施的。所以，網(wǎng)絡(luò)管理員應(yīng)借助于現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)架構(gòu)服務(wù)器。比如：可以選擇NTFS格式，因?yàn)镕AT格式的安全隱患遠(yuǎn)遠(yuǎn)多于NTFS格式，盡可能將服務(wù)器上的敏感數(shù)據(jù)區(qū)所在的磁盤轉(zhuǎn)換成NTFS格式為宜;購買一套正版的網(wǎng)絡(luò)監(jiān)測軟件，對(duì)服務(wù)器所在的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控，能夠識(shí)別出絕大部分的非法侵入;有效的網(wǎng)絡(luò)版殺毒軟件也是必須的。此外，由于服務(wù)器面向互聯(lián)網(wǎng)，可以將服務(wù)器IP地址對(duì)外進(jìn)行隱藏，因?yàn)閷⒎?wù)器的IP地址完全公開化，就會(huì)提高可以受攻擊的機(jī)率。當(dāng)然至少一個(gè)IP地址應(yīng)該完全公開的，可以Web服務(wù)器或郵件服務(wù)器的IP公開。而IP地址與外界的通訊是通過端口來實(shí)現(xiàn)的，而端口有很多，因此通過軟件來查看端口，排查不必要開放的端口，將其屏蔽掉，盡可能的減少由于操作系統(tǒng)或其他軟件漏洞而帶來的服務(wù)器端危機(jī)。2.2加強(qiáng)服務(wù)器的數(shù)據(jù)備份計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第2頁。除了網(wǎng)絡(luò)攻擊、病毒之外，由于外在環(huán)境因素或者人為誤操作等原因，有時(shí)會(huì)發(fā)生服務(wù)器上數(shù)據(jù)丟失的現(xiàn)象，這是直接導(dǎo)致或多或少的損失。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第2頁。所以網(wǎng)絡(luò)管理人員應(yīng)該通過備份技術(shù)做好服務(wù)器端的定時(shí)數(shù)據(jù)備份，尤其是在數(shù)據(jù)備份的時(shí)候應(yīng)考慮采取“密碼保護(hù)”方式對(duì)備份存儲(chǔ)介質(zhì)進(jìn)行二次加密處理，這樣也能避免備份數(shù)據(jù)因竊取而泄密。2.3遠(yuǎn)程訪問的安全控制對(duì)于服務(wù)器的操作，并不都是限于本地的，有時(shí)因?yàn)楣ぷ骺臻g的改變，網(wǎng)絡(luò)管理人員就會(huì)借助于網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(RAS)，這給網(wǎng)絡(luò)管理人員帶來便利的同時(shí)也為服務(wù)器的安全隱患打了大門。若非法用戶知道RAS相關(guān)的號(hào)碼，則能夠較容易地實(shí)現(xiàn)服務(wù)器入侵，所以管理員必須對(duì)遠(yuǎn)程訪問進(jìn)行安全強(qiáng)化管理工作，控制遠(yuǎn)程用戶所使用的RAS，可以通過“回叫”功能拒絕一部分非法用戶的連通請求。此外，也可以通過防火墻的設(shè)置將服務(wù)器可訪問的遠(yuǎn)程終端限定于某個(gè)終端，也可以通過密罐技術(shù)以及協(xié)議技術(shù)對(duì)非法入侵者進(jìn)行迷惑，這樣就會(huì)增加技術(shù)成本，但服務(wù)器的安全性也會(huì)得到很大的提升。2.4服務(wù)器上操作系統(tǒng)的安全配置本文以windowsserver2003操作系統(tǒng)為例。首先，要選擇合適的授權(quán)模式。建議選擇“每服務(wù)器”模式，若須開通許可證模式，則可以選擇“每客戶”模式。其中許可證模式CAL是指對(duì)于訪問服務(wù)器端的用戶都應(yīng)進(jìn)行授權(quán)認(rèn)證，可以規(guī)定許可證的數(shù)量，該數(shù)量就是指同一時(shí)間片連接到服務(wù)器端的最多用戶數(shù)。其次，為服務(wù)器操作系統(tǒng)盤設(shè)置成NTFS格式，并進(jìn)行權(quán)限設(shè)置，若服務(wù)器上有asp或者是aspx之類的網(wǎng)絡(luò)應(yīng)用程序，則應(yīng)該在操作系統(tǒng)的windows目錄上添加users用戶的默認(rèn)權(quán)限，否則就會(huì)造成asp或者aspx之類網(wǎng)絡(luò)應(yīng)用程序的無法正常運(yùn)行。另外，對(duì)于system32文件夾下的一些可執(zhí)行文件，比如：net.exe、tftp.exe、attrib.ext以及caels.ext等，應(yīng)該將其訪問權(quán)限只賦予超級(jí)管理員，也就是administrators用戶組。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第3頁。而且documentsandsetting這個(gè)文件夾也是至關(guān)重要的，該文件夾后面的相關(guān)子文件夾權(quán)限并不完全繼承于父文件夾，默認(rèn)的everyone也有權(quán)限對(duì)其進(jìn)行訪問，甚至可以進(jìn)行腳本的寫入，所以必須對(duì)documentsandsetting文件夾下的重要子目錄進(jìn)行權(quán)限設(shè)置。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第3頁。此外，一些不必要的服務(wù)應(yīng)該禁止，這樣可進(jìn)一步增強(qiáng)服務(wù)器的網(wǎng)絡(luò)安全連接?？稍诜?wù)器端的“網(wǎng)絡(luò)連接”內(nèi)，將不必要的協(xié)議以及服務(wù)都禁止，只開放一些必須的協(xié)議，比如：TCP/IP之類，如果要對(duì)服務(wù)器的帶寬流量進(jìn)行控制，則可以安裝QoS數(shù)據(jù)包計(jì)劃程序。在服務(wù)器操作系統(tǒng)的高級(jí)TCP/IP設(shè)置項(xiàng)里面，有個(gè)“禁用TCP/IP上的NetBIOS(S)”，這項(xiàng)應(yīng)該處于打勾選中狀態(tài)，并使用操作系統(tǒng)的“Internet連接防火墻”，因?yàn)橥ㄟ^這個(gè)服務(wù)器操作系統(tǒng)自帶的防火墻，能夠避免較多的網(wǎng)絡(luò)攻擊。不推薦使用TCP/IP篩選里的端口過濾功能。譬如在使用FTP服務(wù)器的時(shí)候，如果僅僅只開放21端口，在進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)候，需要?jiǎng)討B(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會(huì)出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。3總結(jié)總之，隨首網(wǎng)絡(luò)技術(shù)的不斷更新，網(wǎng)絡(luò)安全隱患問題呈現(xiàn)多樣化發(fā)展，實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的架構(gòu)是一個(gè)長期、不斷持續(xù)的過程。而且安全性都是相對(duì)性，網(wǎng)絡(luò)管理人員必須針對(duì)現(xiàn)有的一些網(wǎng)絡(luò)安全問題，借助于各類網(wǎng)絡(luò)安全技術(shù)盡可能地提升服務(wù)器的安全性以及穩(wěn)定性。參考文獻(xiàn)：[1]孟祥羽，網(wǎng)絡(luò)的架構(gòu)與應(yīng)用[J].信息與電腦(理論版)，2010(04).[2]徐立國，淺析Web服務(wù)器應(yīng)對(duì)攻擊的安全防范對(duì)策[J].科技資訊，2010(24).計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的.入侵與防御【2】摘要：計(jì)算機(jī)的普及給人們的生活帶來越來越多的方便，為人們工作效率和生活水平的提高提供了新的模式。但是，隨之而來的計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的威脅也給人們造成了新的困擾。針對(duì)各種威脅，必須采取有效的應(yīng)對(duì)措施，確保計(jì)算機(jī)功用的充分發(fā)揮。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第4頁。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第4頁。計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展給人們帶來了巨大的便利，這也使得計(jì)算機(jī)網(wǎng)絡(luò)在人們的工作、生活等諸多方面越來越普及。隨著應(yīng)用范圍的不斷擴(kuò)展，計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器安全問題也成為了人們擔(dān)心的重要問題。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器對(duì)技術(shù)的要求和人們對(duì)計(jì)算機(jī)日常應(yīng)用的便捷性之間存在著的信息不對(duì)稱使得安全問題成為了計(jì)算機(jī)發(fā)展中的重要威脅，這不僅影響到人們利用計(jì)算機(jī)技術(shù)的安全系數(shù)，甚至還威脅到國家政治、經(jīng)濟(jì)、軍事等方面工作的順利開展。因此，研究計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的入侵與防御有著十分重要的意義。一、計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的威脅計(jì)算機(jī)操作系統(tǒng)為了給用戶提供一個(gè)完整的交互平臺(tái)，需要提供全方位的功能應(yīng)用來確保對(duì)用戶的切實(shí)可用，這也就要求計(jì)算機(jī)操作系統(tǒng)具有超強(qiáng)的功能性。操作系統(tǒng)功能性越強(qiáng)，存在漏洞的可能性就更高，也就越容易受到網(wǎng)絡(luò)的攻擊。同時(shí)，計(jì)算機(jī)通過鏈路來實(shí)現(xiàn)互通，也就給網(wǎng)絡(luò)攻擊提供了更多的對(duì)象。同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)通信的實(shí)現(xiàn)和順暢運(yùn)行需要有TCP/IP協(xié)議的支持，而其中使用到的數(shù)據(jù)和開放端口也就存在著安全漏洞?；谶@些原因，黑客就可以通過網(wǎng)絡(luò)技術(shù)的濫用來對(duì)網(wǎng)絡(luò)服務(wù)器進(jìn)行破壞。具體來看，黑客利用網(wǎng)絡(luò)技術(shù)來威脅計(jì)算機(jī)服務(wù)器安全的途徑主要有以下幾種：非法獲取口令。黑客獲取口令的方法比較多，主要包括通過網(wǎng)絡(luò)監(jiān)聽、軟件破解以及程序破解方式等手段來非法獲取用戶的口令。以網(wǎng)絡(luò)監(jiān)聽的方式非法獲取用戶口令的方式需要鎖定目標(biāo)，具有一定的局限性，但一旦黑客找到了突破口會(huì)對(duì)同一網(wǎng)段內(nèi)的賬號(hào)和口令產(chǎn)生巨大的威脅，破壞性極大。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第5頁。通過所知道的賬號(hào)利用專門的軟件破解用戶口令，這種方法雖然不受網(wǎng)段限制，但黑客需要進(jìn)行反復(fù)的嘗試。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第5頁。通過事先獲取口令的Shadow文件，然后利用破解程序進(jìn)行破解，這種方法通過兩個(gè)口令的對(duì)比來獲取用戶密碼，危害性非常之大。利用木馬程序進(jìn)行破壞。黑客利用木馬程序可依直接入侵用戶的電腦，用戶一旦被偽裝成工具程序或游戲等形式的木馬程序所誘惑，打開帶有木馬程序的郵件內(nèi)容或是執(zhí)行這些程序，木馬程序就會(huì)潛伏在用戶的電腦中。一旦用戶啟動(dòng)電腦，連接網(wǎng)絡(luò)，木馬程序就能降獲取的用戶信息報(bào)告給黑客，從而實(shí)現(xiàn)黑客對(duì)用戶電腦的控制。病毒攻擊技術(shù)。計(jì)算機(jī)病毒自上個(gè)世紀(jì)80年代誕生以來，其發(fā)展的速度也是十分驚人，一直緊緊追隨著計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的步伐。計(jì)算機(jī)病毒通過網(wǎng)絡(luò)、移動(dòng)硬件等迅速的在不同的計(jì)算機(jī)上傳播，從而對(duì)計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)服務(wù)器產(chǎn)生嚴(yán)重的干擾，破壞性十分強(qiáng)，造成的危害也十分大。跳板攻擊技術(shù)。跳板攻擊主要是指黑客在順利攻擊了一臺(tái)主機(jī)后，利用該主機(jī)作為陣地，對(duì)其他的主機(jī)進(jìn)行攻擊。黑客往往是通過網(wǎng)絡(luò)監(jiān)聽的方式來攻擊其他主機(jī)，或者是通過IP欺騙來獲取別的主機(jī)的信任，從而進(jìn)行攻擊。這種破壞方式比較狡猾，但是操作起來難度系數(shù)較大，所以黑客利用的概率不是很高。二、計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的防御計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器面對(duì)的威脅是多種多樣的，但是對(duì)黑客的入侵方式有了清楚了解之后是可以進(jìn)行有效防御的，這也就要求建立起計(jì)算機(jī)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)。第一，要加強(qiáng)安全服務(wù)器的配置，為有效防御入侵打下良好的基礎(chǔ)。安全防護(hù)不可能永遠(yuǎn)保證安全，但是必須要保證網(wǎng)絡(luò)在受到攻擊后依然能保證基本的生存能力。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第6頁。計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器要注意授權(quán)模式的選擇，并且盡量禁止不必要的服務(wù)，提高網(wǎng)絡(luò)連接的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)器的網(wǎng)絡(luò)架構(gòu)全文共7頁，當(dāng)前為第6頁。同時(shí)，也要安裝和配置IIS信息服務(wù)，并進(jìn)行安全設(shè)置。為每個(gè)虛擬主體設(shè)置來賓