服务器远程连接安全防护研究.pdf

第 7期 丁 梅 ：服务器远程连接安全防护研究 ．179 ． XT800软件的服务器 。用户可 以修改密码为更加复杂的 藏服务器 的公网 IP是不容易的。根据远程连接原理 ，可 字符串。而如果一个人 的电脑上安装 了XT800软件 ，则 以隐藏远程连接 的端 口、区别可接受的连接来源 区域、设 可以用穷举 的方式去尝试连接其它装有 XT800软件 的服 置特别用户及复杂密码来保障服务器在远程连接 中的安 务器 。如果遇到弱密码 ，进入一台服务器则非常容易。 全 。 3．1 端 口映射 2 远程连接原理 通过端 口映射隐藏远程服务的端 口，避免来 自互联网 对默认端 口的扫描，以及多用户名和密码的尝试 。以系统 如果想从互联 网上连接某一 台服务器 ，需要如下前置 自带的远程桌面为例，其默认服务端 口3389经常受到扫 条件 ：①一种定位机制 。在互联 网里 的众多设备 中找到要 描 。一台服务器或 IP可用 的端 口号为 1—65536，除去系 连接的服务器 ，需要唯一标志，可 以是 “IP地址+端 口号、 统 占用的不可修改的端I：1外 ，其它应用端I：1大部分可以修 识别码”等；②一种通信规则。服务器与要连接的电脑必 改。远程桌面的端 口可以从 3389改为与其它应用或服务 须可以实现数据通信；③一种软件 。服务器上至少装有提 不冲突的任何一个端 口。从非授权连接程序的扫描策略 供被连接服务的程序，并一直在等待连接请求。而要连接 角度看 ，如果它扫描默认端El，一个 IP只需扫描 1次；如 服务器 的电脑至少装有远程连接软件的客户端 ，可 以发起 果服务器并没有使用默认端 口，排除系统 占用和其它应用 连接请求 。 常用 的端 口，需要扫描大约 60000个端 口。工作量 的数 osI(openSystem Interconnection，开放系统互联)模 量级增加 ，而命 中率大幅度下降，投入与回报不成正比。 型将互联通信系统划分为 7层 ，分别为 ：物理层、数据链路 所 以，不使用默认端 口可 以很大程度上减少被扫描 的次数 层、网络层、传输层、会话层、表示层、应用层 。以OSI模型 和强度 。 为参照，自底 向上分析各层在实现远程连接 中的作用。 端 口映射是网络安全设备(如防火墙、负载均衡等)中 2．1 IP协议 的一条规则 ，功能是将连接请求 中的 目的端 口号从一个数 IP协议工作于 0SI模型中的网络层 。在这一层 中， 字改为另一个数字，传送给要连接的 目的服务器 。目的服 普遍使用 IPv4完成对连接 目标 的定位 。IPv4是 4串数 务器只接受更改过的端 口号，而不接受未更改的端 口号 。 字，用 3个小数点把它们隔开 ，每串数字取值范围为 0～ 因此 ，利用 网络安全设备阻隔不知道远程连接正确端 口号 255，例如 1O．1O．1O．8或 192．168．1．8。IP协议使远程连 的请求 ，以保障服务器安全。 接得以定位连接的 目标。 3．2 访 问控制列表 2．2 TCP协议 访 问控制列表 (AccessControlLists，ACL)语句可约 TCP协议工作于OSI模型中的传输层 。传输层可 以 束一条 网络连接 的源 IP、源端 口号、目的 IP、目的端 口号、 选择连接 的差错控制方式 ，并区别出TCP、UDP等连接方 处理方式 ]。在远程连接请求语句 中，目的 IP与端 口是 式 由于远程连接需要稳定且可靠性高的连接，必须进行