久久久综合香蕉尹人综合网,四川少妇大战4黑人,亚洲乱亚洲乱妇,无码专区永久免费av网站

       網(wǎng)絡(luò)服務(wù)器安全問(wèn)題初探 很多網(wǎng)管都碰到過(guò)這樣一些難堪的事，因?yàn)榉?wù)器的安全漏洞問(wèn)題，導(dǎo)致其中數(shù)據(jù)的丟失、權(quán)限被非法取得、或者被那些剛剛懂得一點(diǎn)點(diǎn)網(wǎng)絡(luò)安全知識(shí)的菜鳥(niǎo)們指出服務(wù)器有這樣那樣的缺點(diǎn)，被搞得很沒(méi)面子。其實(shí)我也遇到過(guò)這樣的問(wèn)題。后來(lái)，隨著工作中的研究和探討，逐漸發(fā)現(xiàn)這些安全隱患的存在原因以及解決辦法。在這里拿出來(lái)跟大家探討一二。 

       網(wǎng)絡(luò)服務(wù)器主要是指那些存放網(wǎng)站數(shù)據(jù)的WEB服務(wù)器、DATA服務(wù)器、DNS服務(wù)器和MAIL服務(wù)器而言。WEB服務(wù)器的問(wèn)題已經(jīng)說(shuō)過(guò)不少了，在這里就主要談?wù)凞ATA服務(wù)器、DNS服務(wù)器和MAIL服務(wù)器的問(wèn)題。 

       一、DATA服務(wù)器 先來(lái)看看DATA服務(wù)器。它主要是存放數(shù)據(jù)庫(kù)的服務(wù)器（廢話）。以SQL數(shù)據(jù)庫(kù)為例，從安全角度考慮，SQL服務(wù)器與BACKOFFICE組件中的所有程序一樣，都是以Windows NT Server為基礎(chǔ)，利用了Windows NT Server 自身?yè)碛械陌踩阅堋６?，?dāng)你將SQL服務(wù)器與Internet 相連時(shí)，為保證你數(shù)據(jù)的安全性和完整性，有些事情你需要特別考慮。 

       1. 支持SQL服務(wù)器的Internet Database Connector(簡(jiǎn)稱(chēng)IDC)的安全性 在通常情況下，數(shù)據(jù)庫(kù)的開(kāi)發(fā)者在使用IDC來(lái)處理SQL服務(wù)器數(shù)據(jù)時(shí)，就應(yīng)該考慮對(duì)你的數(shù)據(jù)庫(kù)實(shí)施必要的保護(hù)措施。有哪些是必須要做到的呢！根據(jù)我的一些經(jīng)驗(yàn)，以下幾點(diǎn)是需要考慮的：

       1) 使用NTFS分區(qū)。 

       2) 給予用戶執(zhí)行日常任務(wù)所必需的最低等級(jí)的訪問(wèn)許可權(quán)。

       3) 強(qiáng)制執(zhí)行口令和登錄策略。 

       4) TCP/IP過(guò)濾。 

       5) 防火墻及代理服務(wù)器。 通過(guò)以上幾步措施，你的SQL服務(wù)器已經(jīng)具備初級(jí)的安全防范的功能。

      但是這些是遠(yuǎn)遠(yuǎn)不夠的，因?yàn)楦呒?jí)的網(wǎng)絡(luò)入侵者往往能夠繞過(guò)這些防御。那么我們就需要進(jìn)一步提高服務(wù)器的安全性能。用戶必須得到訪問(wèn).IDC和.HTX文件的許可權(quán)才能處理數(shù)據(jù)，如果你賦予匿名訪問(wèn)權(quán)，那么IUSR_計(jì)算機(jī)為匿名訪問(wèn)設(shè)定的賬戶必須擁有訪問(wèn)這些文件的許可權(quán)。這里必須提出的是，Windows NT用戶名必須嚴(yán)格符合SQL服務(wù)器綜合性安全命名原則。

     下劃線、美元符號(hào)和英鎊符號(hào)都不允許使用（這意味著不能使用缺省的賬戶IUSR_計(jì)算機(jī)名進(jìn)行SQL服務(wù)器訪問(wèn) ）。

     另外IDC文件對(duì)于SQL數(shù)據(jù)庫(kù)有效用戶口令的保護(hù)等措施也是很必要的。

     2. IIS本身的安全性問(wèn)題 這個(gè)話題相信很多朋友看了都會(huì)感到很熟悉。在這里，我只想討論一下IIS的SQL Web Assistant的問(wèn)題。通過(guò)使用 SQL Web Assistant 也可以多少地保證你的 Microsoft Exchange 服務(wù)器、Internet信息服務(wù)器和SQL的安全。一般來(lái)講，只要您正確使用配置好SQL Web Assistant，都能夠比較理想地達(dá)到SQL數(shù)據(jù)庫(kù)的安全保障。

     二、DNS服務(wù)器 DNS服務(wù)器是Internet上其它服務(wù)的基礎(chǔ)，它處理DNS客戶機(jī)的請(qǐng)求：將名字與IP地址進(jìn)行互換，并提供特定主機(jī)的其它已公布信息（如MX記錄等）。

     一般而言，網(wǎng)管們碰到的大多會(huì)有以下幾種情況。 

     1.名字欺騙。當(dāng)主機(jī)B訪問(wèn)主機(jī)A(同時(shí)也作為DNS服務(wù)器）如執(zhí)行rlogin時(shí)，A接收到這個(gè)連接并獲得發(fā)起本次連接主機(jī)B的IP地址。為驗(yàn)證本次連接的合法性，主機(jī)A就向本地DNS服務(wù)器逆向查詢(xún)對(duì)應(yīng)于這個(gè)IP地址的主機(jī)名字。當(dāng)返回查詢(xún)結(jié)果??主機(jī)名B為本機(jī)所信任的主機(jī)時(shí)，就允許來(lái)自B的遠(yuǎn)程命令rlogin。下面我們?cè)賮?lái)看看主機(jī)D是如何利用驗(yàn)證漏洞來(lái)欺騙主機(jī)A的。當(dāng)主機(jī)D也執(zhí)行rlogin時(shí)，主機(jī)A同樣要驗(yàn)證本次連接的合法性。如果A不能根據(jù)D的IP在本地DNS服務(wù)器中查詢(xún)到對(duì)應(yīng)的主機(jī)名時(shí)，就會(huì)向其它DNS服務(wù)器發(fā)出請(qǐng)求，最后終會(huì)找到DNS服務(wù)器C。如果入侵者修改DNS服務(wù)器C中對(duì)應(yīng)于自己IP地址的主機(jī)名為主機(jī)B時(shí)，主機(jī)A就會(huì)獲得對(duì)應(yīng)于D的IP地址的主機(jī)名是B的逆向查詢(xún)結(jié)果，因此主機(jī)A認(rèn)可本次連接。于是欺騙A成功。

    2.信息隱藏。當(dāng)某個(gè)企業(yè)由于保密等原因的需要，給某些特定主機(jī)以特定的內(nèi)部主機(jī)名，而這些主機(jī)密碼又被入侵者獲取時(shí)，存放保密數(shù)據(jù)的服務(wù)器主機(jī)就會(huì)完全暴露。 

    解決以上兩個(gè)問(wèn)題的辦法主要有兩種： 

    1.直接利用DNS軟件本身具備的安全特性來(lái)實(shí)現(xiàn)； 

    2.以防火墻/NAT為基礎(chǔ)，并運(yùn)用私有地址和注冊(cè)地址的概念。

    簡(jiǎn)而言之就是將內(nèi)部DNS服務(wù)器和外部DNS服務(wù)器進(jìn)行物理分開(kāi)，內(nèi)部DNS服務(wù)器解析私有的IP，而外部DNS則解析公開(kāi)的IP。內(nèi)部主機(jī)使用私有地址；對(duì)Internet服務(wù)的主機(jī)用NAT完成注冊(cè)地址到其私有地址的靜態(tài)映射；訪問(wèn)Internet的主機(jī)用NAT完成其私有地址到注冊(cè)地址的動(dòng)態(tài)映射。 

      三、MAIL服務(wù)器 MAIL服務(wù)器一直因其安全性而成為廣大網(wǎng)友抱怨的對(duì)象。的確，從理論上講，MAIL服務(wù)是一種不安全的服務(wù)，因?yàn)樗仨毥邮軄?lái)自INTERNET的幾乎所有數(shù)據(jù)。

      Internet上，服務(wù)器間的郵件交換是通過(guò)SMTP協(xié)議來(lái)完成的。主機(jī)的SMTP服務(wù)器接收郵件（該郵件可能來(lái)自外部主機(jī)上的SMTP服務(wù)器，也可能來(lái)自本機(jī)上的用戶代理），然后檢查郵件地址，以便決定在本機(jī)發(fā)送還是轉(zhuǎn)發(fā)到其它一些主機(jī)。

      Unix系統(tǒng)上的SMTP程序通常是Sendmail。有關(guān)Sendmail的安全問(wèn)題重要的原因在于它是一個(gè)異常復(fù)雜的程序，而另一個(gè)原因是它需root用戶特權(quán)運(yùn)行。 

      解決的方法大致有三種: 

      1. 使用Unix系統(tǒng)自帶的安全特性； 

      2. 使用代理； 

      3. 直接修改源碼。

      以上是對(duì)網(wǎng)絡(luò)服務(wù)器安全問(wèn)題及其解決辦法的一些初步探討。其實(shí)，關(guān)鍵的問(wèn)題還是在于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)安全意識(shí)的建立和實(shí)施。因?yàn)槎鄶?shù)網(wǎng)絡(luò)安全事件的發(fā)生，都是因?yàn)榫W(wǎng)絡(luò)管理員安全意識(shí)的缺乏和防范措施實(shí)施的不到位。