方面,主机等高价值目标往往吸引的是黑客中的高手;另一方面,如果保存在主机上的数据越重要,用户对它的安全投入就越大,正所谓是“魔高一尺,道高一丈”的较量。
在过去的几年间,现实世界的一些犯罪组织一直在积极招揽黑客,从事针对某些目标的犯罪活动,比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为,这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。
如今,黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得,加上USB存储设备随手可得,只要闲置的USB端口能够实际访问公共场所(比如接待处),就有可能利用网络上的任何PC发动攻击。为此,你要开始考虑对主机进行加固,以防直接从网络内部发动的攻击。
断开网络连接
要加强主机安全,最明显的一个办法就是,把主机与不需要连接的部分断开。如果黑客无法碰到主机,非法闯入也就无从谈起。
关闭端口
提高主机安全的第二个办法就是,真正使用主机内置的安全特性。比如,默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易,但取很少有网络管理员去修改。如果用户对某个文件没有拥有权,就不应该享有自动访问该文件的权限。如果你改了配置,那么即便黑客闯入了某个账户,他也未必能够访问该主机上的所有文件。
另外,对外开的端口越少,黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务,主机上运行的进程越少,意味着黑客可以利用的潜在故障以及安全漏洞就越少。
限制访问
你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限,并不意味着有权可以管理其他功能,比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便,但它却使非法闯入数据库的难度加大了一倍,因为黑客必须攻破两个用户身份和口令。同样,你可以把其他管理任务授权给特定的用户组,但不授予主机(或者网络)的全局管理权限。比如说,你可以允许用户管理打印机,但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实,大多数 *** 作系统都内置了所有这些特性,你根本用不着投入资金,需要的只是学习并使用这些特性。
加强保护
视主机 *** 作系统和运行的网络环境而定,你可以要求使用令牌或者生物识别技术进行验证,用于管理员对任何主机进行访问,你还可以限制管理员只能访问安全区域的某个子网。这样,如果管理员想添加一个新用户,就必须在特定的安全区域,通过特定子网上的PC来进行添加,还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。
改变 *** 作系统
不过,如果你需要更高的安全级别,恐怕就得采用专门技术了。不要单单把Windows作为服务器的 *** 作系统。Windows是一款非常流行的服务器 *** 作系统,但每个黑客都知道,就潜在回报而言,花时间查找Windows *** 作系统的安全漏洞,远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证,Unix较之Windows也有一个优点:你可以重新构建内核,只包含主机中真正需要的那些部分。相比之下,Windows在这方面的内核随带了大量的代码,你没法删除,也没法全部关闭。这个还真不是三言两语说的清楚,而且计算机的安全防护并不是只完成单台的计算机即可的,涉及整个信息系统的架构与设计等。但可以给个大的框架:
1、物理上,保证设备独立性与不可接触,如放在有安全防护的机房并严格管理人员出入与设备接触,以及机房的防火、防水、防盗、电压安全等设计;
2、 *** 作系统层次安全,包括 *** 作系统安全加固(服务器软件的配置的安全性因素、服务器的软件防火墙配置因素、补丁因素、计算机软件级别访问控制因素、密码强度与密码更新频率等)、 *** 作系统版本(新的 *** 作系统相对来说功能性与安全性均会有所提升,BETE版另说)。基于全网的域结构方式可以在全网的基础上进行严格控制与管理,并保证整个信息系统的统一安全策略的实施,可以进一步加因计算机的安全防护。另外,清晰规范的计算机管理制度与责任追究制度也是计算机安全防护的有力保证,有句话叫做三分技术,七分管理,就是这个意思。从窄义的计算机安全防护加固角度看(估计也是你的需求),看到这里就可以了,下面的是从广义的计算机安全防护上去阐述的,你可以参考一下。
3、网络层次安全,包括内网安全与外网安全,一般建议内久外网隔离以保证内网业务系统安全性,其他的如网络硬件与逻辑(VLAN,访问控制)隔离、网络访问控制列表、网络准入、网络审计等需要相应的网络软硬件支撑才可完善,如网络准入系统,交换机的软件支持等。
4、边界安全,保证外界与内网连通性的同时保证安全性,建议有个安全设备部署在边界,最基础的是防火墙设备,高级一些的有IPS、IDS(主要用于审计)、防病毒网关等。1 小鸟云香港服务器不需要备案 ,主要具有以下几点优势
1线路方面。香港云服务器不存在国内电信和联通互联不互通的问题,不再为线路的选择和不畅通而烦恼。
2国际业务方面。香港服务器的国际出口带宽充足,在这个全球一体化,很多企业走出国门的时代,选择香港云服务器是个非常不错的选择。
3不用备案,省去了提交和审核的很多环节,网站做好之后就可以立马上线开通。
高安全性和可靠性:小鸟云香港云服务器平台内置ARP攻击防护能力和DDOS攻击防护能力,在硬件上实现了故障和安全性的隔离。香港云主机服务支持多级的备份与恢复,包括备机、系统备份与应用备份。
但是现在,香港服务器也是良莠不齐,需要认真区别。服务器被DDOS攻击最佳解决方案是什么?报网警有用么?
目前,有效缓解DDoS攻击的解决方案可分为 3 大类:
架构优化
服务器加固
商用的DDoS防护服务
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署DNS智能解析通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
丢弃快速重传数据包
即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
启用TTL
如果DNS服务器已经将响应信息成功发送了,应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。
每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。
丢弃未知来源的DNS查询请求和响应数据
通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。
白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
使用ACL的权限
很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
利用ACL , BCP38及IP信营功能
托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道
不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。
服务器加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如, >
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)