如何配置网络服务器安全

这个如何俩字太重

创新互联公司长期为上1000+客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为新兴企业提供专业的成都网站制作、网站建设，新兴网站改版等技术服务。拥有10年丰富建站经验和众多成功案例,为您定制开发。

主要是范围太大 过程太复杂

对一般人而言或许印象里的理解 就是点两下鼠标 就安全了

所以认为可能回答一两句 就能让自己的服务器变成铜墙铁壁

但事实并非如此

首先是没人可以确保安全,五角大楼全世界安保措施那么严密 都会被黑

所以安全是个相对的,和各种技术融合贯通的一种概念

不但要熟悉硬件 系统 还要对所使用的软件 程序 都做一个全面的检测和限制

甚至对使用者本身的不良管理习惯都要做安全引导...

这些都是不可能在这一问一答就能了解的

新华书店服务器安全不下30本书 每本都不下100页 几十万字的知识量

在这能得到?是不是这个道理

之所以大家现在做网络安全的业务可以收费养活自己

收费安全可以做到 1000/月 8000/年 这都不算高的

而且根据系统不同价位不同 比如win2003便宜点 08或linux就贵点

这些靠技术生存的

就是多年积累的经验 技术养成的习惯 以及互联网现在安全的状态

并不是问问答答三言两语就能做到人家几年十几年的累积

你的想法 你的观念 是值得肯定的 安全是未来的趋势

祝你成功

你的采纳 是咱互助的动力源泉 采纳后有其他疑问依然可以交流互相学习

维护Windows网络服务器安全的技巧

对网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪;另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。

(一) 构建好你的硬件安全防御系统

选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。

防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等;入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。

(二) 选用英文的操作系统

要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。

如何防止黑客入侵

首先，世界上没有绝对安全的'系统。我们只可以尽量避免被入侵，最大的程度上减少伤亡。

　 　(一) 采用NTFS文件系统格式

大家都知道，我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。

(二)做好系统备份

常言道，“有备无患”，虽然谁都不希望系统突然遭到破坏，但是不怕一万，就怕万一，作好服务器系统备份，万一遭破坏的时候也可以及时恢复。

(三)关闭不必要的服务，只开该开的端口

关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。

关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。总之，做好TCP/IP端口过滤不但有助于防止黑客入侵，而且对防止病毒也有一定的帮助。

　 　（ 四)软件防火墙、杀毒软件

虽然我们已经有了一套硬件的防御系统，但是“保镖”多几个也不是坏事。

(五)开启你的事件日志

虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

求一份关于网络安全配置服务器的端到端IPSEC VPN实验心得

IPSec

VPN端到端技术

Seclarity最近发布的网卡，集成了Peer

to

Peer的VPN功能，从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡，在这些网卡中集成了IPSec

VPN的终端，从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接，安全性更高。

要实现在网络中的端到端安全，需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central

Command

Console软件帮忙。Central

Command

Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件，在这个服务器上，有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置，相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。

推荐理由

一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久，而且这也将是大势所趋，特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec

VPN的解决方案顺应这一大方向。今天来看，用户获得Seclarity的端到端VPN方案，需要付出的代价是采用新的网卡。但是这也代表着一个趋势，未来的计算机系统，网卡需要承担更多的工作，降低对CPU的压力，就像今天很多网卡可以做到的TCP/IP的Off

load。

另一个推荐理由是，该产品是基于用户信息提供安全策略，集中配置和分发执行。这比固化在网卡中要好，更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID，一方面是管理上不方便，另外一旦网卡丢失，也会带来新的安全隐患。

Seclarity端到端VPN设备

■

关键特性

集中的安全策略设定，提供PC到PC的端到端安全通信能力，利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。

■

应用领域

对局域网、广域网安全有高要求的用户。

现有两台硬件防火墙，两服务器，两路由器，服务器用来做网站的，为了网络安全应怎么配制？

两路由器接入网络，并且做负载均衡；下面接两个防火墙，两个墙也做负载均衡；然后把服务器单独放个网段，做端口映射出去，只开放80端口和必要端口，两个服务器如果做同一件事，也可以做服务器负载均衡

-------------------------------------

在防火墙上做配置，仅仅允许内网机器访问服务器网段，不能出去；这样外网也仅能访问服务器，还可以配置不让服务器能上网+不能访问内网，避免成为跳板

-------------------------------

同意pwdprotected的观点。另外内网PC机上要处理网站的一些业务，这样做不影响操作的，对内开放必要端口，也可以限制允许接入的IP

网站栏目：网络安全硬件服务器设置 网络安全设备配置
本文路径：http://scgulin.cn/article/ddicshi.html