站點(diǎn)安全應(yīng)該包括幾部分:物理安全��、網(wǎng)絡(luò)安全����、系統(tǒng)安全以及安全管理���,下面從這幾方面予以闡述。
一. 物理安全
服務(wù)器運(yùn)行的物理安全環(huán)境是很重要的���,很多人忽略了這點(diǎn)����。物理環(huán)境主要是指服務(wù)器托管機(jī)房的設(shè)施狀況�,包括通風(fēng)系統(tǒng)、電源系統(tǒng)��、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等�。這些因素會(huì)影響到服務(wù)器的壽命和所有數(shù)據(jù)的安全。我不想在這里討論這些因素��,因?yàn)樵谶x擇IDC時(shí)你自己會(huì)作出決策��。
在這里著重強(qiáng)調(diào)的是�,有些機(jī)房提供專門的機(jī)柜存放服務(wù)器,而有些機(jī)房只提供機(jī)架��。所謂機(jī)柜���,就是類似于家里的櫥柜那樣的鐵柜子���,前后有門,里面有放服務(wù)器的拖架和電源�����、風(fēng)扇等�,服務(wù)器放進(jìn)去后即把門鎖上,只有機(jī)房的管理人員才有鑰匙打開�����。而機(jī)架就是一個(gè)個(gè)鐵架子,開放式的���,服務(wù)器上架時(shí)只要把它插到拖架里去即可�。這兩種環(huán)境對(duì)服務(wù)器的物理安全來說有著很大差別�����,顯而易見����,放在機(jī)柜里的服務(wù)器要安全得多。
如果你的服務(wù)器放在開放式機(jī)架上���,那就意味著����,任何人都可以接觸到這些服務(wù)器����。別人如果能輕松接觸到你的硬件�,還有什么安全性可言?以下是幾個(gè)不安全的事例:
很多Windows服務(wù)器采用終端服務(wù)進(jìn)行管理,在一個(gè)機(jī)架式的機(jī)房里,你可以隨便把顯示器接在哪臺(tái)服務(wù)器上���。如果你碰巧遇到某臺(tái)機(jī)器的管理員或使用者正通過終端使用這臺(tái)機(jī)器�,那么他的操作你可以一覽無余����。甚至,你可以把鍵盤接上去����,把他killoff,然后完全控制這臺(tái)機(jī)器�。當(dāng)然,這種事情比較少見�,但不意味著不可發(fā)生。
另外����,很多Unix系統(tǒng)的管理員在離開機(jī)房時(shí),沒有把root或其他帳號(hào)的shell從鍵盤退出�����,這樣你只要把鍵盤和顯示器接上去��,就完全可以獲取這個(gè)shell的權(quán)限。這可比遠(yuǎn)程攻擊獲取系統(tǒng)權(quán)限容易得太多��。我有次在機(jī)房時(shí)想要一個(gè)uniXshell臨時(shí)使用一下����,于是我把顯示器在旁邊機(jī)架的幾臺(tái)服務(wù)器上接了一下,很快就發(fā)現(xiàn)一個(gè)沒有退出的rootshell����,我把鍵盤接上去,做完我自己的事后����,幫他退出了這個(gè)shell。如果我是一個(gè)不安好心的人��,我完全可以在他的服務(wù)器里不帶任何痕跡的安裝一個(gè)木馬(RootKit)�����。
某天我看到一個(gè)公司的維護(hù)人員在機(jī)房調(diào)試專線時(shí)��,懷疑是協(xié)議轉(zhuǎn)換儀有問題����,于是他毫不猶豫的把旁邊一個(gè)機(jī)架上的協(xié)議轉(zhuǎn)換儀拔下來,接到他自己的專線上用于調(diào)試�。被破壞的服務(wù)器數(shù)據(jù)傳輸會(huì)中斷幾分鐘,這對(duì)某些公司可能是致命的�,而他們的服務(wù)器管理人員可能到死也查不出原因!
還有,用一張Linux光盤引導(dǎo)linux系統(tǒng)����,你可以毫無障礙的重新獲取主機(jī)的root權(quán)限;你可以無意中碰動(dòng)別人的電源,等等�,不在這里贅述。所有這些是要說明一點(diǎn)��,放在開放機(jī)架上的服務(wù)器是不安全的���。如果你的服務(wù)器硬件可以讓其他人輕易接觸��,那么不出事是你的幸運(yùn)�,出事了你也找不到原因或找不到責(zé)任人�����。
而放在密封式機(jī)柜里的服務(wù)器會(huì)安全很多��,一般情況下�����,你的所有服務(wù)器放在一起(同一個(gè)機(jī)柜或者幾個(gè)機(jī)柜)是明智之舉,機(jī)柜里不要有其他公司的服務(wù)器��。如果你的服務(wù)器只有有限的幾臺(tái)��,那么放在機(jī)柜里也會(huì)安全很多���。因?yàn)椴皇侨魏稳硕伎梢源蜷_機(jī)柜接觸到你的硬件���,就算同一個(gè)機(jī)柜的其他公司的服務(wù)器的維護(hù)人員有這個(gè)機(jī)會(huì),但風(fēng)險(xiǎn)也要小得多����。而且,就算出事了���,你也可以追查到責(zé)任人���。
有一次我們的服務(wù)器因?yàn)殡娫磾嗟簦袛鄮讉(gè)小時(shí)��,我們根據(jù)系統(tǒng)日志很快判斷出服務(wù)器的down機(jī)情況��,在追查責(zé)任時(shí),我首先想到是IDC機(jī)房的維護(hù)人員的責(zé)任�,因?yàn)樵谖覀兡莻(gè)機(jī)柜里沒有其他公司的服務(wù)器�����,別人不會(huì)接觸到那里面的電源�����。后來經(jīng)查實(shí)���,果然是該IDC的電工在弄電時(shí)不小心把我們的服務(wù)器電源斷掉�����,他們向我們出具了道歉聲明���。而如果在一個(gè)開放式機(jī)架的機(jī)房里,碰到這樣的情況你無從查起�����。
如果你的服務(wù)器只能放在開放式機(jī)架的機(jī)房�����,那么你可以這樣做:1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動(dòng)你的電源;2)安裝完系統(tǒng)后���,重啟服務(wù)器�����,在重啟的過程中把鍵盤和鼠標(biāo)拔掉��,這樣在系統(tǒng)啟動(dòng)后���,普通的鍵盤和鼠標(biāo)接上去以后不會(huì)起作用(USB鼠標(biāo)鍵盤除外)3)跟機(jī)房值班人員搞好關(guān)系,不要得罪機(jī)房里其他公司的維護(hù)人員��。這樣做后��,你的服務(wù)器至少會(huì)安全一些����。
二. 網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全是指你機(jī)房的服務(wù)器要有合理的安全拓?fù)浣Y(jié)構(gòu)。安全的網(wǎng)絡(luò)環(huán)境會(huì)讓你的系統(tǒng)管理任務(wù)輕松很多����,否則你會(huì)時(shí)刻提心吊膽����。例如�����,如果你的NFS服務(wù)器直接面對(duì)互聯(lián)網(wǎng)����,那么你的麻煩就來了����。因此,在服務(wù)器的前面��,至少要有網(wǎng)絡(luò)屏蔽設(shè)施�����,或稱為防火墻��。
從頭部署新的防火墻策略是一件復(fù)雜的事情���,你要綜合考慮許多方面��。一般來說�,防火墻有兩種工作模式,稱為路由模式和透明模式�,在路由模式下,防火墻就象一個(gè)路由器�����,能進(jìn)行數(shù)據(jù)包的路由���。不同的是�,它能識(shí)別網(wǎng)絡(luò)第四層協(xié)議(即傳輸層)的信息���,因此它能基于TCP/UDP端口來進(jìn)行過濾���。在該模式下,防火墻本身要配備兩個(gè)或多個(gè)網(wǎng)絡(luò)地址��,你的網(wǎng)絡(luò)結(jié)構(gòu)會(huì)被改變�����。在透明模式下,防火墻更象一個(gè)網(wǎng)橋����,它不干涉網(wǎng)絡(luò)結(jié)構(gòu),從拓?fù)渲锌磥�,它似乎是不存在?因此稱為透明)。但是���,透明模式的防火墻同樣具備數(shù)據(jù)包過濾的功能���。透明模式的防火墻不具備IP地址����。這兩種模式的防火墻都提供網(wǎng)絡(luò)訪問控制功能,例如你可以在防火墻上設(shè)置����,過濾掉來自因特網(wǎng)的對(duì)服務(wù)器的NFS端口的訪問請(qǐng)求。
在網(wǎng)絡(luò)中使用哪種工作模式的防火墻取決于你的網(wǎng)絡(luò)環(huán)境����。一般來說,如果你的服務(wù)器使用真實(shí)IP地址(該地址一般是IDC分配給你的)�,會(huì)選擇防火墻的透明模式。因?yàn)樵谠撃J较拢愕姆⻊?wù)器看起來象直接面對(duì)互聯(lián)網(wǎng)一樣�,所有對(duì)服務(wù)器的訪問請(qǐng)求都直接到達(dá)服務(wù)器。當(dāng)然���,在數(shù)據(jù)包到達(dá)服務(wù)器之前會(huì)經(jīng)過防火墻的檢測��,不符合規(guī)則的數(shù)據(jù)包會(huì)被丟棄掉(從服務(wù)器編程的角度看����,它不會(huì)覺察到數(shù)據(jù)包實(shí)際已被處理過)����。
實(shí)際上為了安全起見,很多服務(wù)器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都屬于私有IP地址)�����,如果這些服務(wù)器不必對(duì)外提供服務(wù)�,那么就最安全不過了,如果要對(duì)外提供服務(wù)���,就有必要通過防火墻的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)來滿足來自因特網(wǎng)的訪問要求�����。NAT是防火墻的一項(xiàng)功能�����,它實(shí)際上工作在路由模式下����。大多數(shù)防火墻都會(huì)區(qū)分所謂的正向NAT和反向NAT,所謂正向NAT就是指從內(nèi)網(wǎng)出去的數(shù)據(jù)包�,在經(jīng)過防火墻后,包頭會(huì)被改寫�,源IP被改寫成防火墻上綁定的IP地址(或地址池,肯定是公網(wǎng)真實(shí)IP)�,源端口也會(huì)有所改變,回來的數(shù)據(jù)包經(jīng)過同樣處理�����,這樣就保證內(nèi)網(wǎng)具有私有IP的主機(jī)能夠與因特網(wǎng)進(jìn)行通信���。在反向NAT的實(shí)現(xiàn)中,會(huì)將服務(wù)器的公網(wǎng)IP綁定在出口處的防火墻上�,服務(wù)器只會(huì)使用一個(gè)私有IP,防火墻會(huì)在它的公網(wǎng)IP和這個(gè)私有IP之間建立一個(gè)映射�����,當(dāng)外網(wǎng)對(duì)這臺(tái)服務(wù)器的請(qǐng)求到達(dá)防火墻時(shí),防火墻會(huì)把它轉(zhuǎn)發(fā)給該服務(wù)器����。當(dāng)然,在轉(zhuǎn)發(fā)之前�����,會(huì)先匹配防火墻規(guī)則集���,不符合規(guī)則的數(shù)據(jù)包將被丟棄��。
使用反向NAT�,會(huì)大大提高服務(wù)器的安全性�。因?yàn)槿魏斡脩舻脑L問都不是直接面對(duì)服務(wù)器,而是先要經(jīng)過防火墻才被轉(zhuǎn)交���。而且��,服務(wù)器使用私有IP地址�,這總比使用真實(shí)地址要安全���。在抗拒絕服務(wù)攻擊上�,這種方式的成效更顯然。但是��,相對(duì)于透明模式的防火墻���,采用反向NAT方式的防火墻會(huì)影響網(wǎng)絡(luò)速度����。如果你的站點(diǎn)訪問流量超大�,那么就不要使用該種方式。值得一提的是��,CISCO的PIX在NAT的處理上性能異常卓越����。
另外一種情況是,服務(wù)器使用真實(shí)IP地址�����,防火墻配置成路由模式����,不使用它的NAT功能。這種情況雖然可以實(shí)現(xiàn)���,但會(huì)使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復(fù)雜��,似乎也不會(huì)帶來效益的提高����。
大多數(shù)IDC的機(jī)房不提供防火墻服務(wù)����,你需要自己購買和配置使用防火墻。你完全可以按透明模式或NAT模式來配置��,具體怎么配取決于你的實(shí)際情況��。有些IDC公司會(huì)提供防火墻服務(wù)�,作為他們吸引客戶的一個(gè)手段。一般來說�����,他們的防火墻服務(wù)會(huì)收費(fèi)�。
如果你的服務(wù)器在IDC提供的公共防火墻后面,那么就有必要仔細(xì)考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了�。如果IDC提供給你的防火墻使用透明模式�����,也即是你的服務(wù)器全部使用真實(shí)IP地址�,在這種情況下���,除非你的服務(wù)器數(shù)量足夠多(象我們?cè)诒本┯?00多臺(tái))�����,那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機(jī)存在����。這樣��,雖然有防火墻�,你的系統(tǒng)管理任務(wù)也不會(huì)輕松多少,因?yàn)槟阋艿酵痪W(wǎng)段里其他公司主機(jī)的威脅��。例如��,你的服務(wù)器的IP地址段是211.139.130.0/24�����,你使用了其中的幾個(gè)地址���,那么在這個(gè)網(wǎng)段里還會(huì)有200多臺(tái)其他公司的主機(jī)�,它們與你的主機(jī)同處于一個(gè)防火墻之后�,雖然防火墻可以屏蔽來自因特網(wǎng)的某些訪問,然而����,內(nèi)部這些主機(jī)之間的相互訪問卻沒有任何屏蔽措施。于是�����,其他公司不懷好意的人可以通過他們的主機(jī)來攻擊你�����;蛘��,網(wǎng)絡(luò)中一臺(tái)主機(jī)被黑客入侵����,則所有服務(wù)器都會(huì)面臨嚴(yán)重威脅。在這樣的網(wǎng)絡(luò)中�,你不要運(yùn)行NFS、Sendmail�����、BIND這樣的危險(xiǎn)服務(wù)���。
這種問題的解決方法是自己購買防火墻�����,并配置使用透明模式�����,不要使用公用防火墻的透明模式����。
有的IDC公司會(huì)給你提供NAT方式的防火墻�,你需要在服務(wù)器上設(shè)置私有IP地址,然后由防火墻來給服務(wù)器做地址轉(zhuǎn)換�。這種情況與上述情況存在同樣的問題,那就是�����,在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機(jī)。例如在172.16.16.0/24這個(gè)網(wǎng)段可容納254臺(tái)主機(jī)���,你的服務(wù)器使用了其中的幾個(gè)IP,那么可能還有200多臺(tái)其他公司的主機(jī)與你的服務(wù)器在同一個(gè)網(wǎng)段里���。這樣��,雖然對(duì)外有防火墻保護(hù)��,但無法防范來自內(nèi)網(wǎng)的攻擊�。
要解決這個(gè)問題��,你不必自己購買防火墻�����。既然私有IP是可以任意分配的����,那么你可以向IDC單獨(dú)要一個(gè)網(wǎng)段,例如172.16.19.0/24網(wǎng)段�,把你的服務(wù)器都放在這個(gè)網(wǎng)段里,其中不要有其他公司的主機(jī)。這樣一來���,你的內(nèi)網(wǎng)也無懈可擊了�����。
實(shí)際上���,如果你有一個(gè)大的UNIX主機(jī)的網(wǎng)絡(luò),那么沒必要讓每臺(tái)主機(jī)都在防火墻上打開登陸端口��。你可以特別設(shè)置一臺(tái)或兩臺(tái)主機(jī)做為登陸入口����,對(duì)其他主機(jī)的訪問都必須使用入口主機(jī)作為跳板。這樣做犧牲了使用的方便性����,但帶來更強(qiáng)的安全性。當(dāng)然�,前提是你必須管理好入口主機(jī)。有一種電子令牌卡適合這種應(yīng)用�����,它是
關(guān)鍵詞標(biāo)簽:網(wǎng)站,安全
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置