朱永杰，軒亞光

（許昌學(xué)院 網(wǎng)絡(luò)中心，河南 許昌 461000）

高校內(nèi)網(wǎng)服務(wù)器安全策略

朱永杰，軒亞光

（許昌學(xué)院 網(wǎng)絡(luò)中心，河南 許昌 461000）

隨著校園網(wǎng)的發(fā)展，高校的內(nèi)網(wǎng)服務(wù)器面臨著越來越多的威脅，提出了搭建安全的高校內(nèi)網(wǎng)服務(wù)器的安全策略，培養(yǎng)管理員的良好安全習(xí)慣，做到安全以人為本.

高校內(nèi)網(wǎng)服務(wù)器；安全策略；管理

1 引言

隨著高校校園網(wǎng)絡(luò)的建立和不斷完善，越來越多的用戶接入校園網(wǎng)，由于校園網(wǎng)總的出口帶寬有限，就導(dǎo)致了網(wǎng)速在上網(wǎng)高峰時(shí)段變慢.如果利用校園內(nèi)網(wǎng)服務(wù)器大力豐富校園網(wǎng)的資源，讓校園網(wǎng)用戶改變從校外尋找資源的傳統(tǒng)方式為校內(nèi)尋找資源的方式，就可以有效地緩解這種供需矛盾，由于學(xué)生好奇心理比較重，會(huì)有人在網(wǎng)絡(luò)上學(xué)習(xí)黑客知識(shí)，如何預(yù)防對(duì)服務(wù)器的內(nèi)網(wǎng)攻擊、建設(shè)穩(wěn)定高效安全的內(nèi)網(wǎng)服務(wù)器就成了一個(gè)亟待解決的問題.由于高校服務(wù)器大部分采用的是windows操作系統(tǒng)，下面就以windows server2003系統(tǒng)為例進(jìn)行討論.

2 物理安全

服務(wù)器一旦開始提供服務(wù)就要求24*365小時(shí)不能間斷，除非遇到特殊情況，這就對(duì)周圍環(huán)境要求比較高.一般都要求有專門的相對(duì)密閉的機(jī)房，做到恒溫恒濕防塵；做到防水防火防盜，防止意外事故發(fā)生.要有專門的人員進(jìn)行日常的管理，對(duì)進(jìn)入機(jī)房的其他人員進(jìn)行嚴(yán)格限制，從而保證物理上的絕對(duì)安全.

3 正確安裝操作系統(tǒng)

3.1 選擇文件系統(tǒng)

Window server 2003系統(tǒng)中常用的文件系統(tǒng)格式是FAT32和NTFS.相對(duì)于FAT32來說NTFS文件系統(tǒng)允許為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問權(quán)限，可以把不同的文件放在不同的磁盤分區(qū)中，這樣即使得到了一個(gè)分區(qū)的訪問權(quán)限還需要突破系統(tǒng)的安全設(shè)置才能訪問到其他分區(qū)上的文件，增強(qiáng)了服務(wù)器文件的安全性，因此在安裝操作系統(tǒng)的時(shí)候要把磁盤格式化為NTFS.

3.2 定制安裝組件

Window server 2003在默認(rèn)情況下會(huì)安裝一些常用的組件，但是這個(gè)默認(rèn)安裝是非常危險(xiǎn)，根據(jù)安全原則“最少的服務(wù)+最小的權(quán)限=最大的安全”，用不到的組件一律不安裝.

3.3 安裝系統(tǒng)補(bǔ)丁

Windows server 2003也存在系統(tǒng)漏洞，系統(tǒng)安裝以后一定要安裝sp2補(bǔ)丁，另外微軟會(huì)不定期的發(fā)布最新的漏洞補(bǔ)丁，設(shè)置開啟系統(tǒng)自動(dòng)更新，或者是用一些工具如360安全衛(wèi)士等及時(shí)的安裝最新的補(bǔ)丁，可以有效的防止有些黑客利用最新漏洞攻擊服務(wù)器.

4 服務(wù)器安全設(shè)置

4.1 關(guān)閉不必要的服務(wù)和協(xié)議

Windows server 2003的默認(rèn)安裝會(huì)開啟許多服務(wù)，對(duì)于不同的功能的服務(wù)器有些服務(wù)是沒有必要開啟的（如Computer Browser、Removable storage等），依據(jù)最小服務(wù)的安全原則，把這些不必要服務(wù)設(shè)置為手動(dòng)或禁用，對(duì)于危險(xiǎn)性高的服務(wù)（如Remote Registry Service等）一定要禁用.NETBIOS是一個(gè)只能用于局域網(wǎng)的協(xié)議，在局域網(wǎng)內(nèi)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊，在內(nèi)網(wǎng)服務(wù)器上是一個(gè)很大的隱患，因此一定要關(guān)閉.

4.2 關(guān)閉不需要的端口

在windows server 2003中一些敏感的端口如1433、3389等不需要的要關(guān)閉，如果有管理需要用到遠(yuǎn)程桌面，最好修改遠(yuǎn)程桌面的默認(rèn)3389端口到不常用的端口，這樣就可以避免黑客對(duì)這些默認(rèn)端口的進(jìn)行攻擊.

4.3 關(guān)閉默認(rèn)共享的空連接

為了方便管理員進(jìn)行網(wǎng)絡(luò)管理，Windows server 2003默認(rèn)開啟共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D $，E$……）和系統(tǒng)目錄Windows（admin$）.只要知道了管理員密碼，網(wǎng)絡(luò)上的任何人都可以通過共享硬盤隨意進(jìn)入服務(wù)器，因此這對(duì)于內(nèi)網(wǎng)服務(wù)器來說是安全隱患.為了保證系統(tǒng)的安全，要關(guān)閉默認(rèn)共享，可以通過修改注冊(cè)表編輯器實(shí)現(xiàn).

打開注冊(cè)表編輯器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”項(xiàng)，雙擊右側(cè)窗口中的“AutoShareServer”項(xiàng)將鍵值由1改為0，這樣就能關(guān)閉硬盤各分區(qū)的共享.如果沒有AutoShare-Server項(xiàng)，可自己新建一個(gè)再改鍵值.然后還是在這一窗口下再找到“AutoShareWks”項(xiàng)，也把鍵值由1改為0，關(guān)閉admin$共享.最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”項(xiàng)處找到“restrictanonymous”，將鍵值設(shè)為1，關(guān)閉IPC$共享.重啟服務(wù)器就可以永遠(yuǎn)停止共享.

4.4 帳戶安全策略

①系統(tǒng)帳戶數(shù)要盡可能少，本著權(quán)限盡可能低的原則為不同的帳戶分配合適的權(quán)限.②給所有的帳戶設(shè)置有足夠密碼復(fù)雜度的密碼，一般要求長(zhǎng)度在8位以上，要字母、數(shù)字和特殊字符相結(jié)合并且無明顯規(guī)律.擁有特殊權(quán)限的帳戶密碼要隔一段更換新的密碼.③將Administrator重名為一個(gè)不容易猜測(cè)的名字，另外重新建立一個(gè)Administrator帳戶作為一個(gè)陷阱帳戶，分配最低權(quán)限.④部分黑客通過將Guset帳戶提升為管理員權(quán)限從而控制服務(wù)器，因此將guest帳號(hào)重新命名設(shè)置復(fù)雜密碼并且禁用.⑤經(jīng)常查看帳號(hào)的登錄審核日志，一旦發(fā)現(xiàn)某個(gè)帳號(hào)被反復(fù)嘗試登陸，要更換帳號(hào)名和密碼；可以在帳號(hào)屬性中設(shè)置帳號(hào)的登錄次數(shù)，一旦帳號(hào)嘗試登陸失敗3次以上就鎖定該帳戶，這樣可以防范某些黑客的暴力破解.

5 安裝防火墻和殺毒軟件

在內(nèi)網(wǎng)服務(wù)器上安裝單機(jī)防火墻，或者在內(nèi)網(wǎng)服務(wù)器群前面架設(shè)硬件防火墻（如圖1），利用防火墻制定詳細(xì)的規(guī)則過濾掉不安全的服務(wù)，讓精心選擇的應(yīng)用協(xié)議通過防火墻，這樣就可以攔截可疑的網(wǎng)絡(luò)入侵，保護(hù)內(nèi)部服務(wù)器免受很多外部攻擊，為服務(wù)器提供一個(gè)技術(shù)屏障.可以有選擇的對(duì)WEB服務(wù)器、BBS服務(wù)器等和用戶有交互的服務(wù)器安裝殺毒軟件，定期對(duì)服務(wù)器上面的文件進(jìn)行掃描，以防有黑客通過網(wǎng)頁等的漏洞上傳木馬、病毒等對(duì)服務(wù)器造成威脅.

圖1 內(nèi)網(wǎng)服務(wù)器前架設(shè)硬件防火墻示意圖

6 管理以人為本

所有的安全策略歸根結(jié)底要由人去實(shí)施，那么服務(wù)器管理員的安全意識(shí)就顯得非常重要.不同的學(xué)校要根據(jù)自己的實(shí)際情況制定自己的服務(wù)器管理規(guī)定和各種操作規(guī)程.作為管理員要嚴(yán)格按照服務(wù)器管理規(guī)定和操作規(guī)程進(jìn)行操作，要具有良好的安全意識(shí)，要具有責(zé)任心，養(yǎng)成良好的安全習(xí)慣.定期對(duì)服務(wù)器的安全狀況進(jìn)行監(jiān)測(cè)；向影視、下載等提供資源的服務(wù)器上面上傳文件時(shí)一定要進(jìn)行病毒查殺，確保無毒；要關(guān)注最新的攻擊手段和方法，及時(shí)的對(duì)不適宜策略做出調(diào)整，這樣才能最大限度的保證內(nèi)網(wǎng)服務(wù)器的安全.

7 結(jié)束語

本文根據(jù)大多數(shù)高校面臨的校園網(wǎng)內(nèi)網(wǎng)服務(wù)器安全問題，以windows server 2003為例提出了從系統(tǒng)的安裝到各種服務(wù)選擇等綜合的一個(gè)安全策略，并且提出了服務(wù)器管理最終要以人為本的理念，對(duì)各個(gè)高校內(nèi)網(wǎng)服務(wù)器的安全策略的制定具有較大的參考價(jià)值.

〔1〕周亞峰,高仲合.校園網(wǎng)Web服務(wù)器的安全配置[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(12).

〔2〕寧博,張保杰.網(wǎng)絡(luò)安全技術(shù)及防火墻在校園網(wǎng)的應(yīng)用[J].西安郵電學(xué)院學(xué)報(bào),2007(12).

〔3〕解大龍，楊寧.校園網(wǎng)中Web服務(wù)器的配置及安全防護(hù)[J].遼寧師專學(xué)報(bào)，2008(3).

〔4〕張宇.內(nèi)網(wǎng)服務(wù)器特點(diǎn)分析及安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008(4).

TP393

A

1673-260X（2010）06-0036-02