服务器安全解析

服务器安全1、简介服务器是一个企业信息化资源的重要组成部分，其上运行着各种各样的服务，对企事业单位管理水平和生产效率的提高至关重要。服务器从提供的服务类型上可分为WWW服务器，数据库服务器、FTP服务器，应用服务器等，从服务对象可分为对外提供服务的网络服务器和对内服务的局域网服务器。服务器面临着各种类型的攻击，如DDOS攻击，病毒木马等，入侵篡改信息。一旦服务器被攻击，就会面临着服务器终止服务，信息泄露的危险。因此加强服务器安全至关重要。2、安全措施为加强服务器安全，可从三个方面进行：事前预防，事中监控，事后清理事前预防

事前预防主要是指在服务器被入侵之前即做好预防措施，使得入侵根本无法进行。事中监控

事中监控是指在黑客入侵时，及时进行监控或报警处理，并对病毒进行清除。事后审查

事后审查是针对监控没有及时发现的漏洞或入侵行为进行审查，并对发现的风险及时进行补救。3、事前预防：防火墙事前预防：主要包括的措施有安装防火墙、访问控制和认证、漏洞补丁及时修复等。防火墙：是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。在国际防火墙市场上占据两位数只有checkpoint和CICSO。近几年国内市场出现了许多生产专业的防火墙产品的公司，如东方龙马、天融信公司。防火墙主要涉及下面几种技术；网络地址转换技术虚拟专用网技术应用层状态监测包过滤（ASPF）DMZ：DemilitarizedZone隔离区

3、事前预防：防火墙网络地址转换技术

实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。3、事前预防：防火墙端口多路复用(PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式3、事前预防：防火墙虚拟专用网VPN技术虚拟专用网(VPN)是局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然VPN不是真正的专用网络，但却能够实现专用网络的功能。应用层状态监测包过滤（ASPF）aspf（applicationspecificpacketfilter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。3、事前预防：防火墙隔离区DMZ它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。它将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这使DMZ的主机能被内部网络和外部网络所访问，而内部网络又能避免外部网络所得知。3、事前预防：访问控制和认证访问控制和认证：访问控制和认证是指控制访问服务器的人和访问内容。访问控制是网络安装防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它涉及的技术比较广，包括入网访问控制、网络权限控制、目录及控制以及属性控制多种手段这方面的产品主要有通软的GNAC，天融信的TDSM-DSM，趋势科技的EndpointSecurity

3、事前预防：漏洞补丁修复漏洞补丁包是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统，针对这种情况对于大型软件系统（如微软操作系统）在使用过程中暴露的问题（一般由黑客或病毒设计者发现）而发布的解决问题的小程序包。市场上常见的漏洞补丁管理软件有江南天安的TASS_Smart_VM，安全狗的safedog、360的服务器版安全卫生

4、事中监控事中监控：主要是针对当前正在运行的系统发生的入侵行为进行进行监控，并对发生入侵行为进行处理。如非法软件运行，A软件非法调用B软件，黑客或者不具备权限的用户访问某些资源，修改注册表、系统文件等，实时监控程序会及时阻止并处理这些非法行为，产生报警，并报告给用户。事中监控的主要软件包括杀毒软件和HIPS（基于主机的入侵防御系统）。杀毒软件主要针对已知病毒的查杀，HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。市场上杀毒软件种类繁多，比较流行的有国外的卡巴斯基、诺顿、赛门铁克，国产的有360、瑞星、江民等HIPS软件软件众多，如GSS(GhostSecuritySuite)、Winpooch、ParadorFileProtectionPE、McAfeeHostIntrusionPrevention

，MalwareDefender（奇虎360旗下软件）、EQSecure（国产的E盾)。4、事中监控杀毒引擎主要涉及以下技术：虚拟机技术、实时监控技术、智能码标识技术、行为拦截技术。4、事中监控虚拟机技术：在反病毒界也被称为通用解密器，已经成为反病毒软件中最重要的组成部分之一。杀毒引擎中的虚拟机，和那些诸如VMWare的“虚拟机”是有区别的。查毒引擎的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取值，译码，执行，可以模拟一段代码在真正CPU上运行得到的结果。给定一组机器码序列，虚拟机就会自动从中取出第一条指令操作码部分，判断操作码类型和寻址方式以确定该指令长度，然后在相应的函数中执行该指令，并根据执行后的结果确定下条指令的位置，如此循环反复直到某个特定情况发生以结束工作，这就是虚拟机的基本工作原理和简单流程。设计虚拟机查毒的目的，就是为了对付加密变形病毒，虚拟机首先从文件中确定并读取病毒入口处代码，然后以上述工作步骤解释执行病毒头部的解密段（Decryptor），最后在执行完的结果（解密后的病毒体明文）中查找病毒的特征码。这里所谓的“虚拟”，并非是指创建了什么虚拟环境，而是指染毒文件并没有实际执行，只不过是虚拟机模拟了其真实执行时的效果。这就是虚拟机查毒基本原理。4、事中监控实时监控：病毒实时监控普遍使用了驱动编程技术，让工作于系统核心态的驱动程序去拦截所有的文件访问。当然由于工作系统的不同，驱动程序无论从结构还是工作原理都不尽相同的，当然程序写法和编译环境更是千差万别了。病毒实时监控，实质就是对文件的监控。除了文件监控外，还有各种各样的实时监控工具，都具有各自不同的特点和功用。现在流行的网络监控，邮件监控基本上是对文件监控的改进，革命性的改动没有。病毒实时监控，其实就是一个文件监视器。它会在文件打开，关闭，清除，写入等操作时检查文件是否是病毒携带者，如果是则根据用户的决定选择不同的处理方案，如清除病毒，禁止访问该文件，删除该文件或简单地忽略。这样就可以有效地避免病毒在本地机器上的感染传播，因为可执行文件装入器在装入一个文件执行时首先会要求打开该文件，而这个请求又一定会被实时监控在第一时间截获到，它确保了每次执行的都是干净的不带毒的文件从而不给病毒以任何执行和发作的机会4、事中监控特征码技术:运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据行为拦截技术：通过对程序行为的分析来判断其是否为病毒5、事后审查事后审查：主要针对前期没有预防和控制的已经发生的风险进行的补救措施。如审查系统的安全日志，发现非法的行为。如全盘扫描发现病毒文件等。如端口扫描发现非法开启的端口。该部分功能大部分都集成在其他软件中，作为整体软件的一个功能点，如杀毒软件带有的全盘扫描和端口扫描功能。安全管理软件一般带有的日志查看功能。6、集成安全软件服务器的安全防护是一个整体工程，因此需要从各个阶段进行防护。因此市场上出现一批集中进行管理的安全防护软件。它将各个功能集中在一起，功能强大，使用方便。下面简单介绍两款比较流行的软件：1、服务器安全狗

它具备防病毒、防入侵、防攻击、防篡改功能。实时监测Ip和端口访问的合法性，实时拦截ARP攻击、DDOS攻击、暴力破解等。全面开放保护规则，同时支持监控网站目录，有效保护重要文件、目录与注册表不被篡改与删除，实时防止网站被上传网页木马。系统默认规则与用户自定义规则全支持，灵活定制，全面保护。有效防止未授权的非法用户登录服务器