站點安全應(yīng)該包括幾部分:物理安全、網(wǎng)絡(luò)安全���、系統(tǒng)安全以及安全管理�����,下面從這幾方面予以闡述����。
一. 物理安全
服務(wù)器運行的物理安全環(huán)境是很重要的�����,很多人忽略了這點�����。物理環(huán)境主要是指服務(wù)器托管機房的設(shè)施狀況�����,包括通風系統(tǒng)、電源系統(tǒng)���、防雷防火系統(tǒng)以及機房的溫度�����、濕度條件等�����。這些因素會影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全����。我不想在這里討論這些因素�����,因為在選擇IDC時你自己會作出決策����。
在這里著重強調(diào)的是,有些機房提供專門的機柜存放服務(wù)器���,而有些機房只提供機架����。所謂機柜,就是類似于家里的櫥柜那樣的鐵柜子���,前后有門,里面有放服務(wù)器的拖架和電源����、風扇等,服務(wù)器放進去后即把門鎖上�����,只有機房的管理人員才有鑰匙打開���。而機架就是一個個鐵架子����,開放式的���,服務(wù)器上架時只要把它插到拖架里去即可����。這兩種環(huán)境對服務(wù)器的物理安全來說有著很大差別,顯而易見����,放在機柜里的服務(wù)器要安全得多。如果你的服務(wù)器放在開放式機架上�����,那就意味著�����,任何人都可以接觸到這些服務(wù)器���。別人如果能輕松接觸到你的硬件�����,還有什么安全性可言?以下是幾個不安全的事例:
很多Windows服務(wù)器采用終端服務(wù)進行管理�����,在一個機架式的機房里���,你可以隨便把顯示器接在哪臺服務(wù)器上����。如果你碰巧遇到某臺機器的管理員或使用者正通過終端使用這臺機器����,那么他的操作你可以一覽無余。甚至����,你可以把鍵盤接上去����,把他killoff,然后完全控制這臺機器�����。當然����,這種事情比較少見,但不意味著不可發(fā)生�����。
另外,很多Unix系統(tǒng)的管理員在離開機房時����,沒有把root或其他帳號的shell從鍵盤退出,這樣你只要把鍵盤和顯示器接上去����,就完全可以獲取這個shell的權(quán)限。這可比遠程攻擊獲取系統(tǒng)權(quán)限容易得太多���。我有次在機房時想要一個unixshell臨時使用一下�����,于是我把顯示器在旁邊機架的幾臺服務(wù)器上接了一下���,很快就發(fā)現(xiàn)一個沒有退出的rootshell,我把鍵盤接上去�����,做完我自己的事后����,幫他退出了這個shell����。如果我是一個不安好心的人���,我完全可以在他的服務(wù)器里不帶任何痕跡的安裝一個木馬(RootKit)�����。
某天我看到一個公司的維護人員在機房調(diào)試專線時����,懷疑是協(xié)議轉(zhuǎn)換儀有問題����,于是他毫不猶豫的把旁邊一個機架上的協(xié)議轉(zhuǎn)換儀拔下來����,接到他自己的專線上用于調(diào)試。被破壞的服務(wù)器數(shù)據(jù)傳輸會中斷幾分鐘����,這對某些公司可能是致命的,而他們的服務(wù)器管理人員可能到死也查不出原因!
還有���,用一張Linux光盤引導Linux系統(tǒng)���,你可以毫無障礙的重新獲取主機的root權(quán)限;你可以無意中碰動別人的電源����,等等����,不在這里贅述。所有這些是要說明一點���,放在開放機架上的服務(wù)器是不安全的�����。如果你的服務(wù)器硬件可以讓其他人輕易接觸���,那么不出事是你的幸運,出事了你也找不到原因或找不到責任人����。
而放在密封式機柜里的服務(wù)器會安全很多,一般情況下,你的所有服務(wù)器放在一起(同一個機柜或者幾個機柜)是明智之舉���,機柜里不要有其他公司的服務(wù)器���。如果你的服務(wù)器只有有限的幾臺,那么放在機柜里也會安全很多����。因為不是任何人都可以打開機柜接觸到你的硬件,就算同一個機柜的其他公司的服務(wù)器的維護人員有這個機會���,但風險也要小得多�����。而且���,就算出事了����,你也可以追查到責任人。
有一次我們的服務(wù)器因為電源斷掉���,而中斷幾個小時���,我們根據(jù)系統(tǒng)日志很快判斷出服務(wù)器的down機情況���,在追查責任時,我首先想到是IDC機房的維護人員的責任����,因為在我們那個機柜里沒有其他公司的服務(wù)器,別人不會接觸到那里面的電源�����。后來經(jīng)查實�����,果然是該IDC的電工在弄電時不小心把我們的服務(wù)器電源斷掉����,他們向我們出具了道歉聲明。而如果在一個開放式機架的機房里����,碰到這樣的情況你無從查起。
如果你的服務(wù)器只能放在開放式機架的機房,那么你可以這樣做:1)將電源用膠帶綁定在插槽上����,這樣避免別人無意中碰動你的電源;2)安裝完系統(tǒng)后,重啟服務(wù)器���,在重啟的過程中把鍵盤和鼠標拔掉�����,這樣在系統(tǒng)啟動后����,普通的鍵盤和鼠標接上去以后不會起作用(USB鼠標鍵盤除外)3)跟機房值班人員搞好關(guān)系���,不要得罪機房里其他公司的維護人員���。這樣做后,你的服務(wù)器至少會安全一些����。
二. 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指你機房的服務(wù)器要有合理的安全拓撲結(jié)構(gòu)���。安全的網(wǎng)絡(luò)環(huán)境會讓你的系統(tǒng)管理任務(wù)輕松很多�����,否則你會時刻提心吊膽���。例如�����,如果你的NFS服務(wù)器直接面對互聯(lián)網(wǎng)����,那么你的麻煩就來了���。因此�����,在服務(wù)器的前面���,至少要有網(wǎng)絡(luò)屏蔽設(shè)施,或稱為防火墻�����。
從頭部署新的防火墻策略是一件復雜的事情,你要綜合考慮許多方面���。一般來說����,防火墻有兩種工作模式���,稱為路由模式和透明模式�����,在路由模式下���,防火墻就象一個路由器,能進行數(shù)據(jù)包的路由����。不同的是,它能識別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息���,因此它能基于TCP/UDP端口來進行過濾�����。在該模式下����,防火墻本身要配備兩個或多個網(wǎng)絡(luò)地址���,你的網(wǎng)絡(luò)結(jié)構(gòu)會被改變����。在透明模式下����,防火墻更象一個網(wǎng)橋,它不干涉網(wǎng)絡(luò)結(jié)構(gòu)�����,從拓撲中看來���,它似乎是不存在的(因此稱為透明)�����。但是���,透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能���。透明模式的防火墻不具備IP地址。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能���,例如你可以在防火墻上設(shè)置�����,過濾掉來自因特網(wǎng)的對服務(wù)器的NFS端口的訪問請求���。
在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境。一般來說���,如果你的服務(wù)器使用真實IP地址(該地址一般是IDC分配給你的)�����,會選擇防火墻的透明模式���。因為在該模式下���,你的服務(wù)器看起來象直接面對互聯(lián)網(wǎng)一樣,所有對服務(wù)器的訪問請求都直接到達服務(wù)器����。當然����,在數(shù)據(jù)包到達服務(wù)器之前會經(jīng)過防火墻的檢測,不符合規(guī)則的數(shù)據(jù)包會被丟棄掉(從服務(wù)器編程的角度看�����,它不會覺察到數(shù)據(jù)包實際已被處理過)�����。
實際上為了安全起見���,很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)���,如果這些服務(wù)器不必對外提供服務(wù),那么就最安全不過了���,如果要對外提供服務(wù)���,就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求����。NAT是防火墻的一項功能�����,它實際上工作在路由模式下�����。大多數(shù)防火墻都會區(qū)分所謂的正向NAT和反向NAT�����,所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包�����,在經(jīng)過防火墻后����,包頭會被改寫����,源IP被改寫成防火墻上綁定的IP地址(或地址池�����,肯定是公網(wǎng)真實IP)���,源端口也會有所改變,回來的數(shù)據(jù)包經(jīng)過同樣處理�����,這樣就保證內(nèi)網(wǎng)具有私有IP的主機能夠與因特網(wǎng)進行通信���。在反向NAT的實現(xiàn)中�����,會將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上���,服務(wù)器只會使用一個私有IP,防火墻會在它的公網(wǎng)IP和這個私有IP之間建立一個映射,當外網(wǎng)對這臺服務(wù)器的請求到達防火墻時����,防火墻會把它轉(zhuǎn)發(fā)給該服務(wù)器。當然�����,在轉(zhuǎn)發(fā)之前�����,會先匹配防火墻規(guī)則集�����,不符合規(guī)則的數(shù)據(jù)包將被丟棄�����。
使用反向NAT���,會大大提高服務(wù)器的安全性����。因為任何用戶的訪問都不是直接面對服務(wù)器,而是先要經(jīng)過防火墻才被轉(zhuǎn)交����。而且,服務(wù)器使用私有IP地址����,這總比使用真實地址要安全。在抗拒絕服務(wù)攻擊上�����,這種方式的成效更顯然����。但是����,相對于透明模式的防火墻,采用反向NAT方式的防火墻會影響網(wǎng)絡(luò)速度�����。如果你的站點訪問流量超大���,那么就不要使用該種方式���。值得一提的是�����,CISCO的PIX在NAT的處理上性能異常卓越���。
另外一種情況是,服務(wù)器使用真實IP地址����,防火墻配置成路由模式,不使用它的NAT功能���。這種情況雖然可以實現(xiàn)����,但會使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復雜���,似乎也不會帶來效益的提高���。
大多數(shù)IDC的機房不提供防火墻服務(wù)����,你需要自己購買和配置使用防火墻����。你完全可以按透明模式或NAT模式來配置,具體怎么配取決于你的實際情況����。有些IDC公司會提供防火墻服務(wù),作為他們吸引客戶的一個手段�����。一般來說�����,他們的防火墻服務(wù)會收費���。
如果你的服務(wù)器在IDC提供的公共防火墻后面,那么就有必要仔細考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了����。如果IDC提供給你的防火墻使用透明模式�����,也即是你的服務(wù)器全部使用真實IP地址���,在這種情況下,除非你的服務(wù)器數(shù)量足夠多(象我們在北京有500多臺)�����,那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機存在�����。這樣�����,雖然有防火墻�����,你的系統(tǒng)管理任務(wù)也不會輕松多少����,因為你要受到同一網(wǎng)段里其他公司主機的威脅�����。例如����,你的服務(wù)器的IP地址段是211.139.130.0/24���,你使用了其中的幾個地址���,那么在這個網(wǎng)段里還會有200多臺其他公司的主機,它們與你的主機同處于一個防火墻之后�����,雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪問�����,然而���,內(nèi)部這些主機之間的相互訪問卻沒有任何屏蔽措施����。于是����,其他公司不懷好意的人可以通過他們的主機來攻擊你?��;蛘?���,網(wǎng)絡(luò)中一臺主機被黑客入侵����,則所有服務(wù)器都會面臨嚴重威脅。在這樣的網(wǎng)絡(luò)中�����,你不要運行NFS�����、Sendmail����、BIND這樣的危險服務(wù)�����。
這種問題的解決方法是自己購買防火墻����,并配置使用透明模式���,不要使用公用防火墻的透明模式���。
有的IDC公司會給你提供NAT方式的防火墻,你需要在服務(wù)器上設(shè)置私有IP地址�����,然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換����。這種情況與上述情況存在同樣的問題,那就是�����,在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機。例如在172.16.16.0/24這個網(wǎng)段可容納254臺主機���,你的服務(wù)器使用了其中的幾個IP�����,那么可能還有200多臺其他公司的主機與你的服務(wù)器在同一個網(wǎng)段里。這樣���,雖然對外有防火墻保護�����,但無法防范來自內(nèi)網(wǎng)的攻擊����。
要解決這個問題���,你不必自己購買防火墻�����。既然私有IP是可以任意分配的�����,那么你可以向IDC單獨要一個網(wǎng)段�����,例如172.16.19.0/24網(wǎng)段���,把你的服務(wù)器都放在這個網(wǎng)段里�����,其中不要有其他公司的主機����。這樣一來����,你的內(nèi)網(wǎng)也無懈可擊了。
實際上���,如果你有一個大的UNIX主機的網(wǎng)絡(luò)�����,那么沒必要讓每臺主機都在防火墻上打開登陸端口�����。你可以特別設(shè)置一臺或兩臺主機做為登陸入口���,對其他主機的訪問都必須使用入口主機作為跳板���。這樣做犧牲了使用的方便性����,但帶來更強的安全性。當然�����,前提是你必須管理好入口主機����。有一種電子令牌卡適合這種應(yīng)用,它是
關(guān)鍵詞標簽:網(wǎng)站,安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程