第19讲_服务器安全.ppt

《第19讲_服务器安全.ppt》由会员分享，可在线阅读，更多相关《第19讲_服务器安全.ppt（37页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、第第1919讲讲 服务器安全服务器安全企业需求企业需求o企业的服务器提供各种各样的网络服务，企业的服务器提供各种各样的网络服务，需要保证服务器的正常运行，不会因为需要保证服务器的正常运行，不会因为网络攻击等造成服务器的停机。网络攻击等造成服务器的停机。本讲任务本讲任务o在服务器上做必要的设置，防止网络攻击等在服务器上做必要的设置，防止网络攻击等造成服务器的停机。造成服务器的停机。o安装防病毒软件，防止病毒传染服务器安装防病毒软件，防止病毒传染服务器o防火墙的设置，防止黑客攻击防火墙的设置，防止黑客攻击o启用审计，对用户登录、访问敏感数据进行启用审计，对用户登录、访问敏感数据进行记录记录基本知识

2、基本知识19.1.1 19.1.1 服务器物理上的安全服务器物理上的安全o服务器应该放在封闭的房间内，保证他人无服务器应该放在封闭的房间内，保证他人无法轻易接触到服务器法轻易接触到服务器19.1.2 19.1.2 网络防火墙网络防火墙o网络防火墙的分类：网络防火墙的分类：n代理型：用户的数据先发送给防火墙，防火墙代理型：用户的数据先发送给防火墙，防火墙把数据发到把数据发到Internet上，返回的数据先到防火上，返回的数据先到防火墙，由防火墙再发给用户。墙，由防火墙再发给用户。n简单包过滤型：根据协议的类型、端口号过滤简单包过滤型：根据协议的类型、端口号过滤特定的数据包特定的数据包n状态包过滤

3、型：和简单包过滤型有类似之处，状态包过滤型：和简单包过滤型有类似之处，但是在连接的基础上，过滤数据包的。但是在连接的基础上，过滤数据包的。常用的端口号常用的端口号oFTP:20FTP:20，2121oHTTP:80HTTP:80oDNS:53(TCP/UDP)DNS:53(TCP/UDP)oPOP3:100POP3:100oSMTP:25SMTP:25o请从微软网页查询各种服务的协议类型和端请从微软网页查询各种服务的协议类型和端口号口号oMAC MAC 地址地址:就是网卡的地址（就是网卡的地址（4848位），具唯一性。位），具唯一性。o0080c80080c81c29961c2996（1616

4、进制）进制）o帧帧（frameframe）：数数据据链链路路层层的的数数据据单单元元，帧帧中中有有源源MACMAC地址和目的地址和目的MACMAC地址。地址。oARPARP协议是获得对方的协议是获得对方的MACMAC地址，才行进行帧的封装。地址，才行进行帧的封装。19.1.3 19.1.3 ArpArp协议协议厂家代号厂家代号流水号流水号nARPARP请求：是以广播形式发送请求：是以广播形式发送nIPIP地址为地址为192.168.0.10192.168.0.10的计算机的计算机MACMAC是多少啊是多少啊？ARPARP工作原理工作原理ARPARP工作原理（续）工作原理（续）oARP应答：只有

5、IP地址符合的计算机会应答o我的MAC为0080c81c2996,以单播形式ARP病毒10.1.14.25410.1.14.12510.1.14.126中中ARP病毒病毒10.1.14.254的的MAC是什么？是什么？10.1.14.254的的MAC为为bb-bb-bb10.1.14.254的的MAC为为cc-cc-cc中了中了ARP病毒的计算机冒充网关病毒的计算机冒充网关发送发送ARP响应，导致其他计算机响应，导致其他计算机无法上无法上Internet。基本安全措施基本安全措施19.2.1 19.2.1 断网安装断网安装windows 2003windows 2003o安装安装Windows

6、 2003Windows 2003前，先断开和网络的连接，前，先断开和网络的连接，避免在防火墙启用之前就被网络病毒感染。避免在防火墙启用之前就被网络病毒感染。o管理员管理员administratoradministrator密码不能为空。密码不能为空。o安装完安装完Windows 2003Windows 2003后，首先启用防火墙！后，首先启用防火墙！启用启用Windows Windows 防火墙防火墙19.2.2 19.2.2 用户名问题用户名问题o把管理员把管理员adminstratoradminstrator 用户改名用户改名o启用密码安全策略，保证密码长度，启用密启用密码安全策略，保证

7、密码长度，启用密码锁定策略，防止暴力破解码锁定策略，防止暴力破解o创建新的用户，加入到创建新的用户，加入到administratorsadministrators组，组，防止唯一的管理员用户被锁防止唯一的管理员用户被锁o停用停用guestguest用户用户用户问题用户问题开启账户锁定策略开启账户锁定策略19.2.3 19.2.3 停止不需要的服务停止不需要的服务otelnettelnet服务服务oMessengerMessenger服务服务oRemote RegistryRemote Registry服务服务oTask SchedulerTask Scheduler服务服务o根据情况关闭不必要

8、的服务根据情况关闭不必要的服务19.2.4 19.2.4 安装防安装防ARPARP攻击软件攻击软件AntiArp是其中一个防arp攻击的软件之一。19.2.5 19.2.5 安装防病毒软件安装防病毒软件o瑞星瑞星o江民江民o金山金山o诺顿诺顿o卡巴斯基卡巴斯基o。19.2.6 19.2.6 启用网络防火墙启用网络防火墙开启必要的端口开启必要的端口服务器是用来提服务器是用来提供网络服务的，供网络服务的，必须开启必要的必须开启必要的端口或服务端口或服务可以添加自己的可以添加自己的服务服务添加自己的服务添加自己的服务域控制器的要域控制器的要开放端口复杂：开放端口复杂：53,88,137,138,53

9、,88,137,138,139,389,445,636,139,389,445,636,3268,32693268,326919.2.7 19.2.7 打上必要的补丁打上必要的补丁o目前是目前是sp2sp2ohttp:/ 19.2.8 审计的开启审计的开启o审计可以记录对服务器的访问情况审计可以记录对服务器的访问情况o可以审计很多内容：可以审计很多内容：n用户的成功登录或失败登录用户的成功登录或失败登录n对敏感文件的访问对敏感文件的访问n用户访问网页时间、用户访问网页时间、ipip地址等地址等o审计会加重服务器的负载，需要小心选择审审计会加重服务器的负载，需要小心选择审计的内容计的内容19.2

10、.9 19.2.9 开启账户登录审计开启账户登录审计n在域安全组策略（域在域安全组策略（域控制器）控制器）n或者本地安全策略或者本地安全策略（非域控制器）（非域控制器）查看日志（事件查看器）查看日志（事件查看器）19.2.10 19.2.10 开启文件的访问审计开启文件的访问审计还要在文件夹属性中设置审计还要在文件夹属性中设置审计选择审计的内容选择审计的内容19.2.11 19.2.11 网站访问的审计网站访问的审计查看日志查看日志企业疑难问题解析企业疑难问题解析o服务器很重要，我怎么才能做到服务器不被服务器很重要，我怎么才能做到服务器不被病毒感染？病毒感染？n不是一种措施就能做到不被病毒的感

11、染。但是不是一种措施就能做到不被病毒的感染。但是做到以下几点可以大大减少中招机会。做到以下几点可以大大减少中招机会。n不要在服务器上网或者办公不要在服务器上网或者办公n不要网服务上拷贝来历不明的文件不要网服务上拷贝来历不明的文件n要即时打上补丁，目前要即时打上补丁，目前sp2sp2已经发布。请在打补已经发布。请在打补丁前备份系统，防止系统故障丁前备份系统，防止系统故障问题n定期检查网络防火墙是否正常工作，关闭不必定期检查网络防火墙是否正常工作，关闭不必要的服务要的服务n用户账户的密码注意保管，定期修改；禁止用户账户的密码注意保管，定期修改；禁止guestguest用户登录用户登录n进行一定的审计，并定期查看审计进行一定的审计，并定期查看审计n文件权限不要任意分配，仅分配给相关的人员文件权限不要任意分配，仅分配给相关的人员问题小结小结o常见的安全问题常见的安全问题o基本安全措施基本安全措施o防火墙的开启防火墙的开启o审计的开启审计的开启