服务器安全保护的七大要点

确保企业服务器的安全，保证其正常运行是服务器运维人员的首要职责。那么怎样才能切实有效的保证服务器安全呢？请谨记本文的七大要点吧。

一、从基础作起，作好基础防御

首先将服务器上全部包含了敏感数据的磁盘分区都转换成NTFS格式的。其次不管是Windows仍是Linux,任何操做系统都有漏洞，及时的打上补丁避免漏洞被蓄意***利用，是服务器安全最重要的保证之一。再次将全部的反病毒软件及时更新，同时在服务器和桌面终端上运行反病毒软件。这些软件还应该配置成天天自动下载最新的病毒数据库文件。能够为Exchange Server安装反病毒软件。这个软件扫描全部流人的电子邮件，寻找被感染了的附件，当它发现有病毒时，会自动将这个被感染的邮件在到达用户之前隔离起来。

二、设置防火墙并关闭不须要的服务和端口

防火墙是网络安全的一个重要组成部分由于它将公司的计算机同互联网上那些可能对它们形成损坏的程序隔离开来。

首先，确保防火墙不会向外界开放超过必要的任何IP地址。至少要让一个IP地址对外被使用来进行全部的互联网通信。若是还有DNS注册的Web服务器或是电子邮件服务器，它们的IP地址也许须要经过防火墙对外界可见。其次，服务器操做系统在安装时，会启动一些不须要的服务，这样不只会占用系统的资源，还会增长系统的安全隐患。对于一段时间内彻底不会用到的服务，能够彻底关闭；对于期间要使用的服务器，也应该关闭不须要的服务，如Telnet等。另外，还要关掉没有必要开的TCP端口。例如，TCP／IP端口80用于HTTP通信，所以大多数人可能并不想堵掉这个端口。可是，通常不会用端口81，所以它应该被关掉。咱们能够在Intemet上找到每一个端口使用用途的歹U表。对照列表咱们能够很清楚的关闭一些不经常使用的端口。

三、SQL SERVER的安全防御

首先要使用Windows身份验证模式，在任何可能的时候，都应该对指向SQL Server的链接要求Windows身份验证模式。它经过限制对Microsoft Windows用户和域用户账户的链接，保护SQL Server免受大部分Intemet工具的侵害，并且，服务器也将从Windows安全加强机制中获益，例如更强的身份验证协议以及强制的密码复杂眭和过时时间。另外，凭证委派在多台服务器间桥接凭证的能力地只能在Windows身份验证模式中使用。在客户端，Windows身份验证模式再也不须要存储密码。存储密码是使用标准SQL Server登陆的应用程序的主要漏洞之一。其次分配—个强健的sa密码，sa账户应该拥有一个强健的密码，即便在配置为要求Windows身份验证的服务器上也该如此。这将保证在之后服务器被从新配置为混合模式身份验证时，不会出现空白或脆弱的sa。

四、作好数据的备份并保护好备份磁带

首先按期对服务器进行备份，为防止未知的系统故障或用户不当心的非法操做，必须对系统进行安全备份。除了对全系统进行每个月一次的备份外，还应对修改过的数据进行及时的备份。同时，应该将修改过的重要系统文件存放在不一样服务器上，以便出现系统崩溃时（一般是硬盘出错），能够及时地将系统恢复到正常状态。一般状况下，备份工做都是在大约晚上10：00或者更晚开始的，而结束时间也在午夜时分。整个备份过程的时间长短主要取决于要备份数据的多少。可是若是深夜有人偷窃备份好的磁带，这样的时间将是最好的时机。为了不这样的人为事件，咱们能够经过对磁带进行密码保护，对备份程序进行加密，从而加密这些数据。其次，能够将备份程序完成的时间定在第二日的上班时间内。这样一来，能够避免人为盗窃备份磁带所带来的损失。由于磁带在备份没有结束被强行带走的话，磁带上的数据也毫无价值。

五、对RAS使用回叫功能

Windows NT最强的功能之一就是对服务器进行远程访问（RAS）的支持。不幸的是，—个RAS服务器对一个企图进入服务器系统的***来讲是一扇敞开的大门。***们所须要的仅仅是一个电话号码，再加上一点点耐心，就能经过RAS进入一台主机了。针对这一方法咱们能够采起一些措施来保证RAS服务器的安全。使用回叫功能，它容许远程用户登陆之后切断链接。而后RAS服务器拨通一个预先定义的电话号码再次接通用户。由于这个号码是预先设定了的，***也就没有机会设定服务器回叫的号码了。

另外一个可选的办法是限定全部的远程用户都访问单一的服务器。能够将用户一般访问的数据放置在RAS服务器的一个特殊的共享点上。能够将远程用户的访问限制在一台服务器上，而不是整个网络。这样，即便***经过破坏手段强制进入主机，那么他们也会被隔离在单一的一台机器上，这样一来，他们形成的破坏被减小到了最小。

最后还有一个技巧就是在RAS服务器上使用不经常使用的协议。通常来讲几乎每—我的都使用TCP／IP协议做为RAS协议。考虑到TCP／IP协议自己的性质和典型的用途，这看起来象是一个合理的选择。可是，RAS还支持IPX／SPX和NetBEUI协议。若是使用NetBEUI做为RAS的协议，这样能够迷惑一些不加提防的***。

六、颁布严格的安全政策

要提升安全性还须要制定一强有力的安全策略，确保每个人都了解，并强制执行。若使用Windows 2000Server，能够将部分权限受权给特定代理人，而无须将所有的网管权利交出。即便特定代理人某些权限，咱们依然可限制其权限大小，例如没法开设新的使用者账号，或改变权限等。

七、开启系统日志

经过运行系统日志程序，系统会记录下全部用户使用系统的情形，包括最近登陆时间、使用的帐号、进行的活动等。日志程序会按期生成报表，经过对报表进行分析，咱们能够知道是否有异常现象。

出自：http://os.51cto.com/art/201211/367114.htm