一 引言

　　隨著計算機應用的快速普及，很多企業和事業單位都有了自己的專用服務器。服務器是網絡環境中為客戶機提供各種服務的、特殊的計算機系統，在網絡中具有非常重要的地位，它的安全性顯得尤為重要。本文從對常用服務器的安全性問題行了闡述。

二 WEB服務器

　　2.1 安全漏洞

　　Web服務器上的漏洞可以從以下幾方面考慮：

　　a.在web服務器上你不讓人訪問的秘密文件、目錄或重要數據。

　　b.從遠程用戶向服務器發送信息時。特別是信用卡之類東西時，中途遭不法分子非法攔截。

　　c.Web服務器本身存在一些漏洞，使得一些人能侵入到主機系統，破壞一些重要的數據，甚至造成系統癱瘓。

　　d.CGI安全方面的漏洞有：

　　(1)有意或無意在主機系統中遺漏Bugs給非法黑客創造條件。

　　(2)用CGI腳本編寫的程序當涉及到遠程用戶從瀏覽器中輸入表格(Form)，并進行檢索(Search index)，或form-mail之類在主機上直接操作命令時，或許會給Web主機系統造成危險。

　　2.2 提高系統安全性和穩定性

　　a.限制在Web服務器開賬戶，定期刪除一些斷進程的用戶。

　　b.對在Web服務器上開的賬戶，在口令長度及定期更改方面作出要求，防止被盜用。

　　c.盡量使FTP、MAIL等服務器與之分開，去掉ftp,sendmail，tftp，NIS，NFS，finger，netstat等一些無關的應用。

　　d.在Web服務器上去掉一些絕對不用的如SHELL之類的解釋器，即當在你的CGI的程序中沒用到PERL時。就盡量把PERL在系統解釋器中刪除掉。

　　e.定期查看服務器中的日志logs文件。分析一切可疑事件。在errorlog中出現rm，login，/bin/perl，/bin/sh等之類記錄時，你的服務器可能已經受到了一些非法用戶的入侵。

　　f.設置好web服務器上系統文件的權限和屬性，對可讓人訪問的文檔分配一個公用的組，如www，并只分配它只讀的權利。把所有的HTML文件歸屬WWW組，由Web管理員管理WWW組。對于Web的配置文件僅對Web管理員有寫的權利。

　　g.有些Web服務器把Web的文檔目錄與FTP目錄指在同一目錄時，應該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。這樣是為了防止一些用戶通過FTP上載一些如PERL或SH之類程序，并用Web的CGI-BIN去執行，造成不良后果。

　　2.3 從CGI編程角度考慮安全

　　1.采用編譯語言比解釋語言會更安全些。并且CGI程序應放在獨立于HTML存放目錄之外的CGI-BIN下，這是為了防止一些非法訪問者從瀏覽器端取得解釋性語言的原代碼后從中尋找漏洞。

　　2.在用C來編寫CGI程序時應盡量少用popen()、system()、所有涉及/bin/sh的SHELL命令以及在PERL中的system()、exec()、open()、eval()等exec或eval之類命令在由用戶填寫的form還回CGI時，不要直接調用system()之類函數。

　　另外，對于數據的加密與傳輸，目前有SSL、SHTTP、SHEN等協議供大家研究。

三 DATA服務器

　　先來看看DATA服務器。它主要是存放數據庫的服務器。以SQL數據庫為例，從安全角度考慮。SQL服務器與BACKOFFICE組件中的所有程序一樣，都是以Windows NT Server為基礎，利用了Windows NT Server自身擁有的安全性能。而且，當你將SQL服務器與Internet相連時，為保證你數據的安全性和完整性，有些事情你需要特別考慮。

　　1 支持SQL服務器的Internet Database Connector(簡稱IDC)的安全性在通常情況下，數據庫的開發者在使用IDC來處理SQL服務器數據時，就應該考慮對你的數據庫實施必要的保護措施。有哪些是必須要做到的呢!根據我的一些經驗，以下幾點是需要考慮的：

　　(1)使用NTFS分區。

　　(2)給予用戶執行日常任務所必需的最低等級的訪問許可權。

　　(3)強制執行口令和登錄策略。

　　(4)TCP/IP過濾。

　　(5)防火墻及代理服務器。

　　通過以上幾步措施，你的SQL服務器已經具備初級的安全防范的功能。但是這些是遠遠不夠的，因為高級的網絡入侵者往往能夠繞過這些防御。那么我們就需要進一步提高服務器的安全性能。用戶必須得到訪問.IDC和.HTX文件的許可權才能處理數據。如果你賦予匿名訪問權，那么IUSR_計算機為匿名訪問設定的賬戶必須擁有訪問這些文件的許可權。

　　這里必須提出的是，Windows NT用戶名必須嚴格符合SQL服務器綜合性安全命名原則。下劃線、美元符號和英鎊符號都不允許使用(這意味著不能使用缺省的賬戶IUSR_計算機名進行SQL服務器訪問)。另外IDC文件對于SQL數據庫有效用戶口令的保護等措施也是很必要的。

　　2 IIS本身的安全性問題這個話題相信很多朋友看了都會感到很熟悉。在這里，我只想討論一下IIS的SQLWeb Assistant的問題。通過使用SQL Web Assistant也可以多少地保證你的Microsoft Exchange服務器、Internet信息服務器和SQL的安全。一般來講，只要您正確使用配置好SQL Web Assistant。都能夠比較理想地達到SQL數據庫的安全保障。

四 DNS服務器

　　DNS服務器是Internet上其它服務的基礎，它處理DNS客戶機的請求：將名字與IP地址進行互換，并提供特定主機的其它已公布信息(如MX記錄等)。一般而言，網絡管理者碰到的大多會有以下幾種情況。

　　1 名字欺騙

　　當主機B訪問主機A(同時也作為DNS服務器)如執行rlogin時，A接收到這個連接并獲得發起本次連接主機B的IP地址。為驗證本次連接的合法性，主機A就向本地DNS服務器逆向查詢對應于這個IP地址的主機名字。當返回查詢結果：主機名B為本機所信任的主機時，就允許來自B的遠程命令rlogin。

　　2 信息隱藏

　　當某個企業由于保密等原因的需要。給某些特定主機以特定的內部主機名，而這些主機密碼又被入侵者獲取時，存放保密數據的服務器主機就會完全暴露。

　　解決以上兩個問題的辦法主要有兩種：

　　(1)直接利用DNS軟件本身具備的安全特性來實現；

　　(2)以防火墻/NAT為基礎，并運用私有地址和注冊地址的概念。簡而言之就是將內部DNS服務器和外部DNS服務器進行物理分開。內部DNS服務器解析私有的IP，而外部DNS則解析公開的IP。內部主機使用私有地址：對Internet服務的主機用NAT完成注冊地址到其私有地址的靜態映射：訪問Internet的主機用NAT完成其私有地址到注冊地址的動態映射。

五 MAIL服務器

　　MAIL服務器一直因其安全性而成為廣大網絡管理者抱怨的對象。的確，從理論上講，MAIL服務是一種不安全的服務，因為它必須接受來自INTERNET的幾乎所有數據。Internet上，服務器間的郵件交換是通過SMTP協議來完成的。主機的SMTP服務器接收郵件(該郵件可能來自外部主機上的SMTP服務器，也可能來自本機上的用戶代理)，然后檢查郵件地址，以便決定在本機發送還是轉發到其它一些主機。Unix系統上的SMTP程序通常是Sendmail。有關Sendmail的安全問題重要的原因在于它是一個異常復雜的程序，而另一個原因是它需root用戶特權運行。

　　解決的方法大致有三種：

　　1 使用Unix系統自帶的安全特性；

　　2 使用代理：

　　3 直接修改源碼。

　　以上是對網絡服務器安全問題及其解決辦法的一些初步探討。其實，關鍵的問題還是在于網絡管理員對網絡安全意識的建立和實施。因為多數網絡安全事件的發生，都是因為網絡管理員安全意識的缺乏和防范措施實施的不到位。

六 結束語

　　網絡服務器的安全性問題隨著計算機技術的發展永遠都是一個值得研究和探討的話題。但是只要充分利用先進的技術和先進的管理手段，堅持發現問題就必須解決問題的態度。那么我們的網絡服務器的安全就是有保障的，

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：網絡服務器的安全性問題

本文網址：http://www.guhuozai8.cn/html/consultation/1083954631.html