近期讀了一些關(guān)于網(wǎng)絡(luò)入侵的文章，感覺到增強網(wǎng)絡(luò)安全是一項日常性的工作，并不是說網(wǎng)絡(luò)設(shè)備、服務(wù)器配置好了就絕對安全了，操作系統(tǒng)和一些軟件的漏洞是不斷被發(fā)現(xiàn)的，比如沖擊波、震蕩波病毒就是利用系統(tǒng)漏洞，同樣利用這些漏洞可以溢出得到系統(tǒng)管理員權(quán)限， server-U的提升權(quán)限漏洞也可以被利用。在這些漏洞未被發(fā)現(xiàn)前，我們覺得系統(tǒng)是安全的，其實還是不安全的，也許漏洞在未公布前已經(jīng)被部分hacker 所知，也就是說系統(tǒng)和應(yīng)用軟件我們不知道還會存在什么漏洞，那么日常性的防護就顯得尤為必要。

　　一、做好基礎(chǔ)性的防護工作，服務(wù)器安裝干凈的操作系統(tǒng)，不需要的服務(wù)一律不裝，多一項就多一種被入侵的可能性，打齊所有補丁，微軟的操作系統(tǒng)當(dāng)然推薦WIN2K3，性能和安全性比WIN2K都有所增強，選擇一款優(yōu)秀的殺毒軟件，至少能對付大多數(shù)木馬和病毒 的，安裝好殺毒軟件，設(shè)置好時間段自動上網(wǎng)升級，設(shè)置好帳號和權(quán)限，設(shè)置的用戶盡可能的少，對用戶的權(quán)限盡可能的小，密碼設(shè)置要足夠強壯。對于MSSQL，也要設(shè)置分配好權(quán)限，按照最小原則分配。最好禁用xp_cmdshell。有的網(wǎng)絡(luò)有硬件防火墻，當(dāng) 然好，但僅僅依靠硬件防火墻，并不能阻擋hacker的攻擊，利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統(tǒng)自帶的防火墻功能還不夠強大，建議打開，但還需要安裝一款優(yōu)秀的軟件防火墻保護系統(tǒng)，我一般習(xí)慣用ZA，論壇有 很多教程了。對于對互聯(lián)網(wǎng)提供服務(wù)的服務(wù)器，軟件防火墻的安全級別設(shè)置為最高，然后僅僅開放提供服務(wù)的端口，其他一律關(guān)閉，對于服務(wù)器上所有要訪問網(wǎng)絡(luò)的程序，現(xiàn)在防火墻都會給予提示是否允許訪問，根據(jù)情況對于系統(tǒng)升級，殺毒軟件自動升級等有必要訪問外網(wǎng) 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止，這樣至少系統(tǒng)多了一些安全性的保障，給hacker入侵就多一些阻礙。網(wǎng)絡(luò)上有很多基礎(chǔ)型的防護資料，大家可以查查相關(guān)服務(wù)器安全配置方面的資料。

　　二、修補所有已知的漏洞，未知的就沒法修補了，所以要養(yǎng)成良好的習(xí)慣，就是要經(jīng)常去關(guān)注。了解自己的系統(tǒng)，知彼知己，百戰(zhàn)百勝。所有補丁是否打齊，比如mssql,server-U，論壇程序是否還有漏洞，每一個漏洞幾乎都是致命的，系統(tǒng)開了哪些服務(wù)，開了哪些端口，目前開的這些服務(wù)中有沒有漏洞可以被黑客應(yīng)用，經(jīng)常性的了解當(dāng)前黑客攻擊的手法和可以被利用的漏洞，檢查自己的系統(tǒng)中是否存在這些漏洞。比如SQL注入漏洞，很多網(wǎng)站 都是因為這個服務(wù)器被入侵，如果我們作為網(wǎng)站或者服務(wù)器的管理者，我們就應(yīng)該經(jīng)常去關(guān)注這些技術(shù)，自己經(jīng)�？梢杂靡恍┌踩�性掃描工具檢測檢測，比如X- scan，snamp, nbsi，PHP注入檢測工具等，或者是用當(dāng)前比較流行的hacker入侵工具檢測自己的系統(tǒng)是否存在漏洞，這得針對自己的系統(tǒng)開的服務(wù)去檢測，發(fā)現(xiàn)漏洞及時修補。網(wǎng)絡(luò)管理人員不可能對每一方面都很精通，可以請精通的人員幫助檢測，當(dāng)然對于公司來說，如果 系統(tǒng)非常重要，應(yīng)該請專業(yè)的安全機構(gòu)來檢測，畢竟他們比較專業(yè)。

　　三、服務(wù)器的遠程管理，相信很多人都喜歡用server自帶的遠程終端，我也喜歡，簡潔速度快。但對于外網(wǎng)開放的服務(wù)器來說，就要謹(jǐn)慎了，要想到自己能用，那么這個端口就對外開放了，黑客也可以用，所以也要做一些防護了。一就是用證書策略來限制訪問者，給 TS配置安全證書，客戶端訪問需要安全證書。二就是限制能夠訪問服務(wù)器終端服務(wù)的IP地址。三是可以在前兩者的基礎(chǔ)上再把默認(rèn)的3389端口改一下。當(dāng)然也可以用其他的遠程管理軟件，pcanywhere也不錯。

　　四、另外一個容易忽視的環(huán)節(jié)是網(wǎng)絡(luò)容易被薄弱的環(huán)節(jié)所攻破，服務(wù)器配置安全了，但網(wǎng)絡(luò)存在其他不安全的機器，還是容易被攻破，“千里之堤，潰于蟻穴 ”。利用被控制的網(wǎng)絡(luò)中的一臺機器做跳板，可以對整個網(wǎng)絡(luò)進行滲透攻擊，所以安全的配置網(wǎng)絡(luò)中的機器也很必要。說到跳板攻擊，水平稍高一點的hacker攻擊一般都會隱藏其真實IP，所以說如果被入侵了，再去追查的話是很難成功的。Hacker利用控制的 肉雞，肉雞一般都是有漏洞被完全控制的計算機，安裝了一些代理程序或者黑客軟件，比如DDOS攻擊軟件，跳板程序等，這些肉雞就成為黑客的跳板，從而隱藏了真實IP。

　　五、最后想說的是即使大家經(jīng)過層層防護，系統(tǒng)也未必就絕對安全了，但已經(jīng)可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統(tǒng)絕對安全。系統(tǒng)即使只開放80端口， 如果服務(wù)方面存在漏洞的話，水平高的hacker還是可以鉆進去，所以最關(guān)鍵的一點我認(rèn)為還是關(guān)注最新漏洞，發(fā)現(xiàn)就要及時修補�！肮ゾ褪欠�，防就是攻” ，這個觀點我比較贊同，我說的意思并不是要去攻擊別人的網(wǎng)站，而是要了解別人的攻擊手法，更好的做好防護。比如不知道什么叫克隆管理員賬號，也許你的機器已經(jīng)被入侵并被克隆了賬號，可能你還不知道呢?如果知道有這種手法，也許就會更注意這方面。自己的網(wǎng)站 如果真的做得無漏洞可鉆，hacker也就無可奈何了。

　　希望大家有好的思路和經(jīng)驗?zāi)軌蚨嗵接懱接�，要做好網(wǎng)絡(luò)安全還有很多細(xì)節(jié)需要注意，一個微小的疏忽都可能導(dǎo)致功虧一簣。