计算机服务器的安全策略

网站要依靠计算机服务器来运行整个体系，计算机服务器的安全程度直接关系着网站的稳定程度，加强计算机服务器的安全等级，避免网站信息遭恶意泄露。

一、基于帐户的安全策略

1、帐户改名

Administrator和guest是Windows系统默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。

2、密码策略

密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的`加密来存储密码。

对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。

3、帐户锁定

当计算机服务器帐户密码不够安全时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢

其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。

二、安全登录系统

1、远程桌面

远程桌面是比较常用的远程登录方式，但是开启“远程桌面”就好像系统打开了一扇门，合法用户可以进来，恶意用户也可以进来，所以要做好安全措施。

(1)用户限制

点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

(2)更改端口

远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。

2、telnet连接

telnet是命令行下的远程登录工具，因为是系统集成并且 *** 作简单，所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

3、第三方软件

可用来远程控制的第三方工具软件非常多，这些软件一般都包括客户端和计算机服务器端两部分，需要分别在两边都部署好，才能实现远控控制。一般情况下，这些软件被安全软件定义为木马或者后门，从而进行查杀。安全期间建议大家不要使用此类软件，因为使用此类工具需要对安全软件进行设置(排除、端口允许等)，另外，这类软件也有可能被人植入木马或者留有后门，大家在使用时一定要慎重。

目前来说解决服务器被DDOS攻击最常见的办法就是使用硬件防火墙了，也就是我们常说的高防服务器，高防服务器都会带有一定量的硬防，或大或小。

1、定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

2、在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

3、用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

4、充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

5、过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如>

6、检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

7、过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10000、19216800 和1721600，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

8、限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。