服务器主机安全防护

　　服务器的安全是保障系统运行的屏障，如今网上业务越来越多也越来越重要，如网络购物、网上付款、网上学习等等。怎样保障我们这些行为的安全，作为这些行为的载体服务器安全就表现的尤为重要。这里跟大家聊聊服务器主机安全防护。

　　服务器主机安全防护

　　想要做好服务器主机安全防护，除非自己有专门的安全攻防团队，不然大部分企业都是与安全厂商合作，使用安全防护产品保护服务器主机的安全，这里跟大家介绍一下安全狗的服务器主机安全防护产品。

　　比较全能的产品可以试试服务器安全狗这款免费的服务器防御软件，可以比较全面的提升服务器的防护能力，抵抗一定程度的入侵攻击，有需要的朋友可以自行下载使用。

　　付费的产品可以了解下安全狗的云磐产品，用户可以根据自己的需求进行选择相对应的服务和扩充，以下是云磐产品的介绍。

　　免费服务器安全狗：http://free.safedog.cn/server_safedog.html

　　云磐：一站式云安全SaaS平台：http://www.safedog.cn/index/publicCloudIndex.html

　　安全狗以 SECaaS安全即为用户提供一站 式的云安全产品与服务，包括(云)主机安全、WEB 应用安全、网站防篡改、抗 DDoS 云服务、安全大数据态势感知等，同时平台配备 7*24

　　小时的安全专家服务，真 正为用户构建安全即服务模式的纵深防御产品和服务，为业务发展保驾护航。

　　日志分析及态势感知云服务

　　云磐融合大数据分析技术、可视化技术、威胁情报技术于一体，为企业构建的新一代云安全管理平台。

　　安全大数据分析，全方位融合安全数据，进行多维度智能分析

　　可视化大屏展示，提供整体态势感知、攻防对抗态势、流量访问态势、威胁事件态势四屏展示

　　态势预测，可发现威胁态势的走向，预见风险，防范于未然

　　威胁情报驱动，依托于安全狗观鸿威胁情报服务平台

　　Web应用安全云服务

　　云磐通过网络层过滤和主机层应用自保护(RASP)相结合的技术，既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别，达到双层纵深防御的效果。

　　集中管理网站和WAF防护节点

　　通过平台设置各个防护节点安全策略，并下发至防护节点

　　以可视化的形式统计网站的安全状态，展现网站的风险和威胁

　　集中管理网站和WAF防护节点

　　网页防篡改云服务

　　云磐采用第二代密码水印技术+第三代系统驱动级文件保护技术双结合，对网站安全进行双重防护，具有响应速度快、判断准确、资源暂用少及部署灵活等特点。

　　基于内核驱动防护技术，支持单独文件、文件夹及多级文件夹目录内容篡改保护

　　水印技术阻止被篡改网页流出，并自动恢复被篡改文件

　　支持断线状态下阻止篡改内容流出，返回篡改提示页面

　　完全防护技术，支持大规模连续篡改攻击防护

　　(云)主机安全服务

　　云磐采用先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的理念思路来构建的新一代 ( 云 ) 主机入侵监测及安全管理云服务系统。

　　解决公有云环境中遇到的安全及管理问题

　　解决新安全形势下数据中心安全问题

　　结合威胁情报进行主机终端异常行为捕获及分析

　　满足 ( 云 ) 等保 2.0 对于主机安全的合规性要求

　　抗DDoS云服务

　　云磐提供了高效流量清洗中心，针对从网络层到应用层的攻击流量进行精确清洗。目前可清洗的流量峰值超过500Gbps。采用即用即开的机制，通过敏锐流量监测机制来弹性判断用户是否需要开启抗D服务。

　　快速感知，弹性控制，可快速适应不同流量的攻击

　　全面抵抗CC攻击以及各种纯流量攻击

　　专家全程参与防御，协助做出最正确的响应措施

　　能力强劲，可清洗的流量峰值超过500Gbps

　　服务器主机安全防护

　　服务器是IT系统中的核心设备。因此,服务器的安全是每个用户都必须重视的问题。本文从服务器漏洞的修补、HIPS—主机入侵防护系统的应用、对“拒绝服务攻击”的防范、从系统内核入手的保护四个方面进行论述，旨在保护服务器，使其免受来自网络的威胁。

　　措施1、服务器漏洞的修补

　　事实证明，99%的黑客攻击事件都是利用未修补的漏洞与错误的设定。许多受到防火墙、IDS、防毒软件保护的服务器仍然遭受黑客、蠕虫的攻击，其主要原因是企业缺乏一套完整的弱点评估管理机制，未能落实定期评估与漏洞修补的工作，因而造成漏洞没人理睬，最终成为黑客攻击的管道，或者是病毒攻击破坏的目标。

　　如何避免网络服务器受网上那些恶意的攻击行为。

　　1.1 构建好硬件安全防御系统 选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

　　防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

　　1.2 选用英文的操作系统

　　要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

　　另外，企业需要使用漏洞扫描和风险评估工具定期对服务器进行扫描，以发现潜在的安全问题，并确保升级或修改配置等正常的维护工作不会带来安全问题。

　　漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent)或者是服务(Server),以便能够访问所有的文件与进程，这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。

　　以某公司的主机漏洞扫描器为例，它是基于主机的Client/Server三层体系结构的漏洞扫描工具，这三层分别为控制台、管理器和代理。控制台安装在一台计算机中，管理器安装在企业网络中，代理安装完后，需要向管理器注册。当代理收到管理器发来的扫描指令时，代理单独完成本目标系统的漏洞扫描任务。扫描结束后，代理将结果传给管理器。最终用户可以通过控制台浏览扫描报告。

　　基于主机的漏洞扫描器有很多优点。

　　扫描的漏洞数量多。由于在目标系统上安装了一个代理或者是服务，以便能够访问所有的文件与进程，这使得基于主机的漏洞扫描器能够扫描更多的漏洞。

　　集中化管理。基于主机的漏洞扫描器通常都有一个集中的服务器作为扫描服务器。所有扫描的指令均从服务器进行控制。这一点与基于网络的扫描器类似。这种集中化管理模式，使得基于主机的漏洞扫描器能够实现快速部署。

　　网络流量负载小。由于管理器与代理之间只有通信的数据包，漏洞扫描部分都由代理单独完成，这就大大减少了网络的流量负载。当扫描结束后，代理再次与管理器进行通信，将扫描结果传送给管理器。

　　措施2、HIPS-主机入侵防护系统的应用

　　HIPS-主机入侵防护系统通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。HIPS能够保护服务器的安全弱点不被不法分子所利用，它可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为。HIPS提升了主机的安全水平，在防范蠕虫的攻击中，起到了很好的防护作用。

　　在技术上，HIPS采用独特的服务器保护途径，利用包过滤、状态包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以通过拦截针对操作系统的可疑调用，提供对主机的安全防护，也可以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。

　　由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

　　措施3、对“拒绝服务攻击”的防范

　　目前网络中有一种攻击让网络管理员最为头疼，就是拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)。它是一种滥用资源性的攻击，目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

　　防DDoS攻击的软件防火墙可全面应用在IDC机房托管、虚拟主机、电子商务网站、邮件服务器上。但有一些产品仅有防御DoS攻击的功能，遇到针对服务器攻击的黑客，仍然无任何作用，好的产品应该拥有强大的网络协议解析能力。可过滤经过精心伪装的恶意代码和攻击，有效阻止和预警各种攻击行为，可完全抵御ACK、DoS、DDoS、SYN、Flood、FATBOY等攻击，以及具有端口防护、HTTP指纹检测、端口应用方式定点过滤等功能，并且不限制服务器连接数。

　　措施4、从系统内核入手的保护

　　针对服务器的安全，国内还出现了操作系统安全加固技术(Reinforcement Operating System Technique Rost)，结合其他层面的安全技术，能够很好地满足现有各种复杂的网络环境的应用需求，并已达到了国家等级保护三级技术的要求。

　　ROST是一项利用安全内核来提升操作系统安全等级的技术，这项技术的核心就是在操作系统的核心层重构操作系统的权限访问模型，实现真正的强访问控制，使操作系统达到第三等级(B1级)的安全技术要求。此外，ROST在最大程度地确保操作系统安全的基础上，对服务器安全的概念进行了重新定义。以往谈到服务器安全，多半会想到硬件安全，例如容错、灾备等，而ROST所指的安全服务器需要具备4项安全指标：安全的物理设备(比如控制硬件的拔插、硬件各零件状态的管理检测等)、安全的操作系统、安全的应用系统(在ROST支持下的应用系统)、专业的管理系统。

　　服务器安全防护措施的应用，使得服务器得到了较高的安全防护。当然随着计算机技术的飞速发展，更为隐密、手段更加高明的不安全措施的增加，为我们继续开发新的服务器安全防护措施提供了更高的要求。

　　也许你会对服务器的运行感到纳闷，为什么它能同时向外界提供类似信息下载服务、页面浏览服务、电子邮件服务呢，这么多服务同时进行工作，怎么不会发生冲突呢?其实，服务器所开通的任何一种服务，都是通过某一端口来实现的，不同的服务使用的服务器端口号是完全不一样的，而服务器同时可以开通若干个通信端口，这样的话任何一种服务使用不同的端口工作时，就不会发生冲突现象。当然，服务器的端口被各种网络服务充分利用的同时，它们也会被一些非法攻击者利用，这么一来端口有时也会成为黑客攻击服务器的一种“通道”。如果对这样的“通道”不妥善管理的话，服务器的安全将会受到极大的威胁。

　　对于安全防护来讲，我这里按照从源头到服务器内部的顺序，依次梳理出防护的措施。对于目前的服务器来讲，很多服务器是已经做了这里大部分的安全措施的，有一些措施可能还没有做。当然，鉴于本人水平有限，我这里列出的肯定没有完全覆盖，如果您有补充欢迎在文章底部留言。

　　服务器主机安全防护

　　最源头自然是发起请求端的客户端，请求则是通过IP来定位服务器的。我们服务器的IP自然是公开的，而客户端的IP则是不确定的。我们如果通过分析和控制客户端的IP，也就将安全遏制在源头。

　　然后就是要对端口进行控制。过了这两关，也就进入了服务器的内部逻辑了。我们就可以对应用场景进行分析控制，频率更要控制，其他的就更加细致了。

　　最后就是安全措施，一般有三种：停止响应，节省性能;拉黑处理，以后只要是这个IP就不响应;对于不能大刀阔斧干的，就控制频率，延迟一段时间才能访问。

　　下面是一个简要的清单，后续将逐个解释控制的原理和流程。再最后就是针对每一种控制，提出实现方案。

　　一、安全防护：

　　1.源头控制(ip)

　　-封闭式：限定访问的IP(指定服务器才能访问即授权访问)

　　-开放式：白名单IP允许

　　-开放式：黑名单IP禁止

　　-开放式：业务行政物理地址外IP禁止(IP定位)，消除代理攻击

　　-开放式：业务行政物理地址内IP允许(IP定位)，消除代理攻击

　　2.端口控制

　　-知名端口：常用的知名端口，如80，修改知名端口或关闭不必要知名端口。

　　-匿名端口：采用不常用的端口号，端口不连号。

　　3.应用场景控制(手机或PC和其他)

　　-手机端：只会在手机端使用的接口，不对其他终端响应

　　-PC端：都可以访问

　　-特定场景：特定场景使用的接口不暴露，且做场景分析控制，非场景下不允许使用

　　4.频率控制

　　-访问间隔：连续访问间隔控制

　　-周期间隔：周期内访问间隔控制

　　-周期访问次数：周期访问次数控制

　　-特定场景访问次数控制：特定场景次数分析

　　5.请求地址控制

　　-不存在的地址控制

　　-恶意攻击地址控制

　　6.参数控制

　　-多余的参数：多余的参数分析和记录

　　-SQL攻击：SQL攻击

　　-XSS攻击：js脚本攻击和url检测

　　-参数取值：合理取值范围和类型

　　7.流程控制

　　-流程漏洞控制，确保没有流程空白

　　-多接口混合使用形成的流程漏洞控制

　　8.缓存控制

　　-缓存更新漏洞机制

　　-缓存不同步漏洞控制

　　9.bug错误控制

　　-异常控制

　　-异常暴露

　　-异常流程控制

　　-bug对设计的冲击控制

　　10.系统协作控制

　　-多端协作流程漏洞控制

　　11.分布式控制

　　-数据一致性漏洞

　　-其他

　　12.服务器漏洞

　　-漏洞检测和修复

　　二、保护措施：

　　1.拒绝服务：当次停止响应，减少性能消耗

　　2.拉黑：后续全部停止响应

　　3.限制降频：降低允许访问的频率

　　关于服务器主机安全防护就介绍到这里，如果您对于服务器防护有更高的需求或者是遇到无法解决的服务器安全问题，可以向安全狗寻求技术支持，我们会安排专业的技术团队为您提供相应的技术解决方案，保证您的服务器安全稳定运行。