求一份关于网络安全配置服务器的端到端IPSEC VPN实验心得
IPSec
在新罗等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供网站制作、成都网站建设 网站设计制作按需制作,公司网站建设,企业网站建设,品牌网站建设,成都营销网站建设,外贸营销网站建设,新罗网站建设费用合理。
VPN端到端技术
Seclarity最近发布的网卡,集成了Peer
to
Peer的VPN功能,从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡,在这些网卡中集成了IPSec
VPN的终端,从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接,安全性更高。
要实现在网络中的端到端安全,需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central
Command
Console软件帮忙。Central
Command
Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件,在这个服务器上,有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置,相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。
推荐理由
一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久,而且这也将是大势所趋,特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec
VPN的解决方案顺应这一大方向。今天来看,用户获得Seclarity的端到端VPN方案,需要付出的代价是采用新的网卡。但是这也代表着一个趋势,未来的计算机系统,网卡需要承担更多的工作,降低对CPU的压力,就像今天很多网卡可以做到的TCP/IP的Off
load。
另一个推荐理由是,该产品是基于用户信息提供安全策略,集中配置和分发执行。这比固化在网卡中要好,更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID,一方面是管理上不方便,另外一旦网卡丢失,也会带来新的安全隐患。
Seclarity端到端VPN设备
■
关键特性
集中的安全策略设定,提供PC到PC的端到端安全通信能力,利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。
■
应用领域
对局域网、广域网安全有高要求的用户。
如何配置网络服务器安全
请严格按照下面几个步骤进行操作,这样就能够大大提高服务器的安全性能!
1、安装补丁程序
任何操作系统都有漏洞,作为网络系统管理员就有责任及时地将“补丁”打上。大部分中小企业服务器使用的是微软的 Windows2000/2003操作系统,因为使用的人特别多,所以发现的Bug也比较多,同时,蓄意攻击它们的人也很多。微软公司为了弥补操作系统的 安全漏洞,在其网站上提供了许多补丁,可以到网上下载并安装相关升级包。对于Windows2003,至少要升级到SP1,对于Windows2000, 至少要升级至ServicePack2。
2、安装和设置防火墙
现在有许多基于硬件或软件的防火墙,如华为、神州数码、联想、瑞星等厂商的 产品。对于企业内部网来说,安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用,但是并不是安装了防火墙之后就万事大吉了,而是需要进行适当 的设置才能起作用。如果对防火墙的设置不了解,需要请技术支持人员协助设置。
3、安装网络杀毒软件
现在网络上的病毒非常猖獗,这就需要在网络服务器上安装网络版的杀毒软件来控制病毒的传播,目前,大多数反病毒厂商(如瑞星、冠群金辰、趋势、赛门铁克、熊猫等)都已经推出了网络版的杀毒软件。同时,在网络版的杀毒软件使用中,必须要定期或及时升级杀毒软件。
4、账号和密码保护
账号和密码保护可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获或猜测密码开始的。一旦黑客进入了系统,那么前面的防卫措施几乎就没有作用,所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
5、监测系统日志
通过运行系统日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表,通过对报表进行分析,你可以知道是否有异常现象。
6、关闭不需要的服务和端口
服务器操作系统在安装的时候,会启动一些不需要的服务,这样会占用系统的资源,而且也增加了系统的安全隐患。对于假期期间完全不用的服务器,可以完全关闭;对于假期期间要使用的服务器,应关闭不需要的服务,如Telnet等。另外,还要关掉没有必要开的TCP端口。
7、定期对服务器进行备份
为防止不能预料的系统故障或用户不小心的非法操作,必须对系统进行安全备份。除了对全系统进行每月一次的备份外,还应对修改过的数据进行每周一次的备份。
如何设置Windows服务器安全设置
如何设置Windows服务器安全设置
一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器,进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核策略更改:成功或失败登录事件:成功和失败对象访问:失败事件过程追踪:根据需要选用目录服务访问:失败事件特权使用:失败事件系统事件:成功和失败账户登录事件:成功和失败账户管理:成功和失败十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
ASP配置IIS服务器的注意事项
对于配置IIS服务器 我想大家也许有不是很明白的地方 下面介绍ASP配置IIS服务器时需要注意的地方 把好安全关是所有网站都必须要做好的功课 如果服务器本身不安全 给网站带来的将是毁灭性的
一 操作系统的安装
我这里说的操作系统以Windows 为例 高版本的Windows也有类似功能
格式化硬盘时候 必须格式化为NTFS的 绝对不要使用FAT 类型
C盘为操作系统盘 D盘放常用软件 E盘网站 格式化完成后立刻设置磁盘权限 C盘默认 D盘的安全设置为Administrator和System完全控制 其他用户删除 E盘放网站 如果只有一个网站 就设置Administrator和System完全控制 Everyone读取 如果网站上某段代码必须完成写操作 这时再单独对那个文件所在的文件夹权限进行更改
系统安装过程中一定本着最小服务原则 无用的服务一概不选择 达到系统的最小安装 在安装IIS的过程中 只安装最基本必要的功能 那些不必要的危险服务千万不要安装 例如 FrontPage 服务器扩展 Internet服务管理器(HTML) FTP服务 文档 索引服务等等
二 网络安全配置
网络安全最基本的是端口设置 在 本地连接属性 点 Internet协议(TCP/IP) 点 高级 再点 选项 TCP/IP筛选 仅打开网站服务所需要使用的端口 配置界面如下图
进行如下设置后 从你的服务器将不能使用域名解析 因此上网 但是外部的访问是正常的 这个设置主要为了防止一般规模的DDOS攻击
三 安全模板设置
运行MMC 添加独立管理单元 安全配置与分析 导入模板basicsv inf或者securedc inf 然后点 立刻配置计算机 系统就会自动配置 帐户策略 本地策略 系统服务 等信息 一步到位 不过这些配置可能会导致某些软件无法运行或者运行出错
四 WEB服务器的设置
以IIS为例 绝对不要使用IIS默认安装的WEB目录 而需要在E盘新建立一个目录 然后在IIS管理器中右击主机 属性 WWW服务 编辑 主目录配置 应用程序映射 只保留asp和asa 其余全部删除
五 ASP的安全
在IIS系统上 大部分木马都是ASP写的 因此 ASP组件的安全是非常重要的
ASP木马实际上大部分通过调用Shell Application WScript Shell WScript Neork FSO Adodb Stream组件来实现其功能 除了FSO之外 其他的大多可以直接禁用
WScript Shell组件使用这个命令删除 regsvr WSHom ocx /u
WScript Neork组件使用这个命令删除 regsvr wshom ocx /u
Shell Application可以使用禁止Guest用户使用shell dll来防止调用此组件 使用命令 cacls C \WINNT\system \shell dll /e /d guests
禁止guests用户执行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests
FSO组件的禁用比较麻烦 如果网站本身不需要用这个组件 那么就通过RegSrv scrrun dll /u命令来禁用吧 如果网站本身也需要用到FSO 那么请参看这篇文章
lishixinzhi/Article/program/net/201311/11873
本文题目:网络安全和服务器配置 网络安全与服务器有关吗
网页网址:http://lswzjz.com/article/ddsoejg.html