服务器安全绪论.ppt

* 浪潮集团特种计算机事业部 山东超越数控电子有限公司 浪潮集团特种计算机事业部 山东超越数控电子有限公司 服务器安全 1、简介 服务器是一个企业信息化资源的重要组成部分，其上运行着各种各样的服务，对企事业单位管理水平和生产效率的提高至关重要。 服务器从提供的服务类型上可分为WWW服务器，数据库服务器、FTP 服务器，应用服务器等，从服务对象可分为对外提供服务的网络服务器和对内服务的局域网服务器。 服务器面临着各种类型的攻击，如DDOS攻击，病毒木马等，入侵篡改信息。一旦服务器被攻击，就会面临着服务器终止服务，信息泄露的危险。因此加强服务器安全至关重要。 2、安全措施 为加强服务器安全，可从三个方面进行：事前预防，事中监控，事后清理 事前预防 事前预防主要是指在服务器被入侵之前即做好预防措施，使得入侵根本无法进行。 事中监控 事中监控是指在黑客入侵时，及时进行监控或报警处理，并对病毒进 行清除。 事后审查 事后审查是针对监控没有及时发现的漏洞或入侵行为进行审查，并对发现的风险及时进行补救。 3、事前预防：防火墙 事前预防：主要包括的措施有安装防火墙、访问控制和认证、漏洞补丁及时修复等。 防火墙：是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。 在国际防火墙市场上占据两位数只有checkpoint和CICSO。近几年国内市场出现了许多生产专业的防火墙产品的公司，如东方龙马、天融信公司。 防火墙主要涉及下面几种技术； 网络地址转换技术 虚拟专用网技术 应用层状态监测包过滤（ASPF） DMZ：Demilitarized Zone隔离区 3、事前预防：防火墙 网络地址转换技术 实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 3、事前预防：防火墙 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式 3、事前预防：防火墙 虚拟专用网VPN技术 虚拟专用网(VPN)是局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然VPN不是真正的专用网络，但却能够实现专用网络的功能。 应用层状态监测包过滤（ASPF） aspf（application specific packet filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。 3、事前预防：防火墙 隔离区DMZ 它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外网的攻击者来说又多了一道关卡。 它将部分用于提供对外服务的服务器主机划分到一个特定的子网——DMZ内，在DMZ的主机能与同处DMZ内的主机和外部网络的主机通信，而同内部网络主机的通信会被受到限制。这使DMZ的主机