服務器的安全防護

金新生

摘 要：隨著計算機網絡技術的發展，各個政府單位、學校、公司的計算機得到了互聯，但同時增加了計算機的各種不安全因素。本文中所論述的服務器安全，是指如何保護服務器，主要從服務器漏洞的修補、HIPS—主機入侵防護系統的應用、對“拒絕服務攻擊”的防范、從系統內核入手的保護四個方面進行論述，旨在保護服務器，使其免受來自計算機網絡的威脅。

關鍵詞：服務器；安全；漏洞；HIPS；攻擊；系統內核。

服務器是IT系統中的核心設備。因此,服務器的安全是每個用戶都必須重視的問題。本文從服務器漏洞的修補、HIPS—主機入侵防護系統的應用、對“拒絕服務攻擊”的防范、從系統內核入手的保護四個方面進行論述，旨在保護服務器，使其免受來自網絡的威脅。

1 服務器漏洞的修補：

事實證明，99％的黑客攻擊事件都是利用未修補的漏洞與錯誤的設定。許多受到防火墻、IDS、防毒軟件保護的服務器仍然遭受黑客、蠕蟲的攻擊，其主要原因是企業缺乏一套完整的弱點評估管理機制，未能落實定期評估與漏洞修補的工作，因而造成漏洞沒人理睬，最終成為黑客攻擊的管道，或者是病毒攻擊破壞的目標。

如何避免網絡服務器受網上那些惡意的攻擊行為。

1.1 構建好你的硬件安全防御系統

選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件：防火墻、入侵檢測系統、路由系統等。

防火墻在安全系統中扮演一個保安的角色，可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊，如拒絕服務攻擊等；入侵檢測系統則是扮演一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。

1.2 選用英文的操作系統

要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠遠要比英文版多，而中文版的補丁向來是比英文版出的晚，也就是說，如果你的服務器上裝的是中文版的windows系統，微軟漏洞公布之后你還需要等上一段時間才能打好補丁，也許黑客、病毒就利用這段時間入侵了你的系統。

另外，企業需要使用漏洞掃描和風險評估工具定期對服務器進行掃描，以發現潛在的安全問題，并確保升級或修改配置等正常的維護工作不會帶來安全問題。

漏洞掃描就是對重要計算機信息系統進行檢查，發現其中可被黑客利用的漏洞。基于主機的漏洞掃描器通常在目標系統上安裝了一個代理（Agent）或者是服務（Server）,以便能夠訪問所有的文件與進程，這也使得基于主機的漏洞掃描器能夠掃描更多的漏洞。

以某公司的主機漏洞掃描器為例，它是基于主機的Client/Server三層體系結構的漏洞掃描工具，這三層分別為控制臺、管理器和代理。控制臺安裝在一臺計算機中，管理器安裝在企業網絡中，代理安裝完后，需要向管理器注冊。當代理收到管理器發來的掃描指令時，代理單獨完成本目標系統的漏洞掃描任務。掃描結束后，代理將結果傳給管理器。最終用戶可以通過控制臺瀏覽掃描報告。

基于主機的漏洞掃描器有很多優點。

掃描的漏洞數量多。由于在目標系統上安裝了一個代理或者是服務，以便能夠訪問所有的文件與進程，這使得基于主機的漏洞掃描器能夠掃描更多的漏洞。

集中化管理。基于主機的漏洞掃描器通常都有一個集中的服務器作為掃描服務器。所有掃描的指令均從服務器進行控制。這一點與基于網絡的掃描器類似。這種集中化管理模式，使得基于主機的漏洞掃描器能夠實現快速部署。

網絡流量負載小。由于管理器與代理之間只有通信的數據包，漏洞掃描部分都由代理單獨完成，這就大大減少了網絡的流量負載。當掃描結束后，代理再次與管理器進行通信，將掃描結果傳送給管理器。

2 HIPS-主機入侵防護系統的應用：

HIPS-主機入侵防護系統通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序。HIPS能夠保護服務器的安全弱點不被不法分子所利用，它可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為。HIPS提升了主機的安全水平，在防范蠕蟲的攻擊中，起到了很好的防護作用。

在技術上，HIPS采用獨特的服務器保護途徑，利用包過濾、狀態包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以通過攔截針對操作系統的可疑調用，提供對主機的安全防護，也可以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由于HIPS工作在受保護的主機/服務器上，它不但能夠利用特征和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統平臺緊密相關，不同的平臺需要不同的軟件代理程序。

3 對“拒絕服務攻擊”的防范：

目前網絡中有一種攻擊讓網絡管理員最為頭疼，就是拒絕服務攻擊（DoS）和分布式拒絕服務攻擊（DDoS）。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對服務器進行訪問造成服務器的服務失效甚至死機。

防DDoS攻擊的軟件防火墻可全面應用在IDC機房托管、虛擬主機、電子商務網站、郵件服務器上。但有一些產品僅有防御DoS攻擊的功能，遇到針對服務器攻擊的黑客，仍然無任何作用，好的產品應該擁有強大的網絡協議解析能力。可過濾經過精心偽裝的惡意代碼和攻擊，有效阻止和預警各種攻擊行為，可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻擊，以及具有端口防護、HTTP指紋檢測、端口應用方式定點過濾等功能，并且不限制服務器連接數。

4 從系統內核入手的保護：

針對服務器的安全，國內還出現了操作系統安全加固技術（Reinforcement Operating System Technique Rost），結合其他層面的安全技術，能夠很好地滿足現有各種復雜的網絡環境的應用需求，并已達到了國家等級保護三級技術的要求。

ROST是一項利用安全內核來提升操作系統安全等級的技術，這項技術的核心就是在操作系統的核心層重構操作系統的權限訪問模型，實現真正的強訪問控制，使操作系統達到第三等級（B1級）的安全技術要求。此外，ROST在最大程度地確保操作系統安全的基礎上，對服務器安全的概念進行了重新定義。以往談到服務器安全，多半會想到硬件安全，例如容錯、災備等，而ROST所指的安全服務器需要具備4項安全指標：安全的物理設備（比如控制硬件的拔插、硬件各零件狀態的管理檢測等）、安全的操作系統、安全的應用系統（在ROST支持下的應用系統）、專業的管理系統。

服務器安全防護措施的應用，使得服務器得到了較高的安全防護。當然隨著計算機技術的飛速發展，更為隱密、手段更加高明的不安全措施的增加，為我們繼續開發新的服務器安全防護措施提供了更高的要求。

參考文獻

[1]Joel P.Kanter. Understanding thin-Client/Server Computing[M].Washington D.C: Microsoft Press, 2002.

[2]王群，劉曉輝.局域網超級應用及維護技巧[M]. 重慶：重慶大學出版社2002.

[3]曾曉東.計算機應用文摘[M].重慶:計算機應用文摘雜志社 2005.