第3o卷第6期
2012年12月
凯里学院学报
JournalofKailiUniversity
Vo1.3ONo.6
DeC.2012
·计算机·
物联网时代校园网服务器的安全配置策略研究
陈正权
(江苏信息职业技术学院现代教育技术中心,江苏无锡214153)
摘要:在病毒、木马和黑客肆虐的今天,如何保证校园网众服务器的安全已是目前网络管理工
作的重中之重.文章主要对物联网时代校园网服务器的安全进行了探索与研究,首先分析了在物
联网时代校园网服务器面临的安全威胁,探讨了多种加强服务器安全性的配置策略,并将这些策
略灵活地应用在我院校园网各类服务器上,从而有效地提高了这些服务器的安全性.
关键词:校园网;服务器;安全配置;策略
论文编码:Doi:10.3969/i.issn.1673—9329.2O12.06.31
随着网络与通信技术的迅速发展,互联网进入
了物联网时代,目前人们的工作、学习与生活越来
越离不开网络,而作为数字化校园基础的校园网,
承担着教学、科研与管理信息化等众多关键业务,
其重要性是不言而喻的.校园网核心的服务器在校
园网中有着举足轻重的地位,如何保障服务器的安
全高效平稳运行,是校园网提供可靠网络服务的保
证.为此笔者针对校园网的需求,对服务器的安全
进行了探索与研究,提出了服务器的安全配置策
略,并将这些策略灵活用于校园网服务器上,从而
有效地提高它们的安全性.
1校园网服务器面临的安全威胁
众所周知在病毒、木马和黑客肆虐的今天,作
为网络核心的服务器如果没有相应的安全措施,轻
则瘫痪死机,停止提供网络服务,重则所有数据和
资料将被无情删除,所以说网络安全在一定程度上
就是服务器安全.校园网中的服务器一般是供校内
外用户访问,如,WEB服务器、FTP服务器、DH—
CP/DNS服务器、邮件服务器和一些应用服务器
(教务系统、OA系统、图书馆汇文系统及财务查询
系统等),它们主要用于信息发布、网上办公和资源
共享等.由于在Internet上的任何接入点均可访
问,故此这些服务器就面临着众多的安全威胁.如
木马病毒入侵、漏洞扫描、端口扫描、拒绝服务
(DoS)攻击和分布式拒绝服务(DDoS)攻击等
等[1],所以必须对校园网服务器进行安全配置和管
理,才能保证其安全可靠地运行.下面笔者结合自
己多年从事网络管理与维护方面的经验,对校园网
服务器的安全配置进行详细地探讨,并根据各类服
务器的实际情况灵活加以应用,以加强校园网众服
务器的安全.
2服务器外部的安全配置策略
2.1外网的安全配置
以我院为例.我院校园网有多个出口,网络拓
扑图如图1所示,我们采用硬件防火墙作为校园网
眼务器的第一道安全屏障,它可以过滤众多入侵者
的无效数据包,有效降低服务器被攻击或入侵的风
险.众所周知所有的网络攻击都必须借助相应的
TCP/UDP端口才能实现,只要扫描并关闭那些危
险端口就可以避免攻击,为此笔者在防火墙的安全
策略设置中限制了内外用户访问服务器的端口.
如,为了防止DoS攻击和DDoS攻击,在防火墙的
DoS传感器选项中设置了外部计算机的TCP
SYNFlood攻击次数阈值、扫描防火墙次数阈值
以及源会话数与目的会话数阈值,如果超过设定阈
值就屏蔽该计算机,这样即可有效阻止这2种攻
击.此外笔者还在锐捷的出口引擎中对服务器做了
NAT地址映射,以隐藏服务器的真实地址,让外网
心怀不轨的用户无法攻击或入侵校园网服务器,从
而保证了校园网服务器的安全.为了安全起见,笔
者只列出了我院部分服务器的NAT地址映射,主
要命令如下:
ipnatinsidesourcestatictcp192.168.158.
188058.2l4.11.2080permit—inside
收稿日期:2012100l
作者简介:陈正权(1967),男,江苏宝应人,硕士,江苏信息职业技术学院高级实验师,研究方向为计算机与网络安全
“确定”按钮后重启即可生效.139端口是NetBIOS
Session端口,用来文件和打印共享,如果只关闭
l39端口的方法是在“本地连接属性”窗口中选
“Internet协议(TCP/IP)一属性一高级TCP/IP
设置一WINS”一单击“(禁用TCP/IP的NET—
BIOS(S)”即可关闭139端口.
②关闭UDP123端口.在控制面板中双击“管
理工具一服务”,停止WindowsTime服务即可关
闭UDP123端口,从而可以防范某些蠕虫病毒.
③关闭UDP1900端口.在控制面板中双击
“管理工具一服务”,停止SSDPDiscoveryService
服务,即可关闭这个端口,这样就可以防范DDoS
攻击.
④其他端口.在“控制面板”中双击“管理工具
一本地安全策略”,选中“IP安全策略,在本地计算
机”,创建IP安全策略来关闭.也可以右击“本地
连接一属性-+Internet协议(TCP/IP)一属性一高
级一选项”一选中“TCP/IP筛选一属性”一勾选
“启用TCP/IP筛选(所有适配器)”,在此添加允
许/禁止访问的端口.也可把要放行的端口添加到
系统自带的防火墙的例外中.
⑤不能关闭的端口.135端口是RPC服务打
开的端口,如果停止此服务则会关机.RPC在处理
通过TCP/IP的消息交换部分有一个漏洞,该漏洞
是由于错误地处理格式不正确的消息造成的,冲击
波病毒就是利用RPC漏洞来攻击计算机的,该漏
洞会影响到RPC与DCOM之问的一个接口,该接
口侦听的端口就是135.同样像lsass打开的端口
500和4500也不能关闭;对于不能关闭的端口最
好的办法就是常打补丁.
⑥重定向本机默认端口.如果本机的默认端口
不能关闭,可以把该端口重定向到另一个地址,这
样就可以隐藏默认端口,降低受攻击或入侵的机
率,保护系统的安全[={].比如为了对服务器进行远
程管理,开放远程终端服务端口(默认3389),为安
全起见,把它重定向到另一个端口(例如4567),方
法是定位到下面两个注册表项,将其中的Port—
Number全部改为自定义的端口(例如4567)即可:
[HKEY—L()CAL—MACHINE\SYSTEM\Cur—
rentControlSet\Control\TerminalServer\Wds\
rdpwd\Tds\tcp7;
HKEY
—
LOCAl
一MACHINE|SYSTEM|
CurrentControlSet\Control\TerminalServer\
WinStations\RDP--Tcp].
⑦本地安全配置策略.将超级用户Adminis—
trator伪装成普通用户,比如改名为bootjsit并设
置复杂的强密码,然后创建一个名为“Administra
tor”的本地普通帐户,设其权限为最低,并加上一
个非常复杂的超长密码.禁用guest帐号也设置复
杂的超长密码.要经常检查系统,删除已经不再使
用的用户.强制用户使用强密码,启用“密码必须符
合复杂性要求”策略、设置“密码长度最小值”为8
个字符、为了强制用户定期更换密码,设置“密码最
长/最短使用期限”为“9O天/30天”、为了防止黑客
猜测密码的次数,设置“帐户锁定阈值”为3次无效
登录、“帐户锁定时间”为600min、复位帐户锁定
计数器为600min之后等等.在“本地策略”中设置
审核策略,如审核帐户登录事件(成功、失败)、审核
特权使用(失败)、审核帐户管理(成功、失败)等.在
“用户权限分配”中设置“从网络访问此计算机”(如
删除Everyone可取消共享权限)、通过“终端服务
允许登陆”只加入Administrators和Remote
DesktopUsers组,其他全部删除,“关闭系统”只
有Administrators组、其他全部删除.在“安全选
项”中启用“网络安全:在超过登录时问后强制注
销”,启用“网络访问:不允许SAM帐户的匿名枚
举”和“网络访问:不允许为网络身份验证储存凭
证”等,启用“交互式登录:不显示上次的用户名”
(也可运行REGEDIT打开注册表编辑器,修改注
册表不让对话框显示上次登录的用户名:[HKEY—
I()CAL
—MACHINE\S()FTWARE\Microsoft\
Windows\CurrentVersion\policies\system~,找到
并把DontDisplayLastUserName的键值由0改为
1).在IP安全策略中新建port—close策略,然后在
其中编辑IP筛选器,将通过危险端口的所有IP通
讯阻止掉.
(4)把共享文件的权限从everyone组改成授
权用户.禁止任何用户利用netuse命令建立空连
接,以防枚举帐号猜测密码,进而入侵服务器.打开
注册表编辑器,通过修改注册表禁止空连接,找到
注册表中的[HKEY_IOCAL—MACHINE\SYS—
TEM\ControlSet001\Control\Lsa],把restrict—
anonymous的值由0改成1.
(5)磁盘权限.将服务器硬盘配置成RAID5并
全部转化为NTFS分区,系统盘及所有磁盘只给
Administrators组和SYSTEM的完全控制权限,
系统盘中的DocumentsandSettings目录及其中
的Al1Users目录和Windows\System32\cacls.
execmd.exenet.exe,net1exe、ftpexetftp.
exe、telnet.exe、netstat.exe、regedit.exe、at.exe、
attrib.exe、format.com文件只给Administrators
组和SYSTEM的完全控制权限,另将\System32\
cmd.exe、format.corn、ftp.exe转移到其他目录或
更名,删除C:\inetpub目录.
3.2Web服务器的安全配置
(1)IIS平台
对于采用IIS搭建的web服务器,其安全配
置是对IIS中的文件按类别设置权限,将IIS目录
及数据与系统磁盘分开,为防止攻击者向Web站
点上传并执行恶意脚本或程序代码,对一个目录不
要同时设置写和执行权限.对目录浏览权限也要禁
止,以防攻击者通过浏览后发现或找到漏洞而进行
攻击.还有要删除IIS的应用程序映射,如.htw、.
htr、.ida、.idc、idq、.cer、.cdx、.shtml等,这些程序
映射存在缓存溢出问题,从而成为黑客入侵的途
径.具体操作是在“计算机管理”---~Internet信息服
务(IIS)管理器一右击网站目录选“属性”一主目录
一配置一在“应用程序配置”对话框中删除/编辑/
添加应用程序扩展名映射.
另外,还要设置日志安全.日志是管理员了解
系统安全状况的途径,日志不要保存在默认的位
置,要改存到服务器其他NTFS分区,并设置为只
有管理员有权访问,其他用户均无权访问.
(2)Apache平台
ApacheServer是目前应用最广泛的Web服
务器平台,虽提供了较好的安全保障,但也有缺陷
与不足,如使用Http协议进行DoS攻击,会使A—
pache对系统资源需求剧增,导致系统响应缓慢甚
至瘫痪,攻击者通过发送超长请求导致缓存区溢
‘出,进而获得root权限控制整个系统,故要修改
httpd.conf文件的User选项,保证ApacheServer
以较低权限运行,同时为防普通用户意外修改A—
pache主目录的内容,必须严格控制对主目录的访
问权限.
3.3服务器数据库的安全配置
校园网服务器上不少应用系统都带有后台数
据库,如MySQISQLServer、Oracle、Access等,
其安全配置主要有:修改数据库后缀名、把数据库
放在一独立目录中以及使用ODBC数据源等方法
来防止数据库被非法下载.对sQL数据库,身份验
证最好使用混合模式,并使用sa强密码,更改sQI
Server的默认TCP端口(1433)为2633,此外要及
时更新补丁.最后还要做好数据库的定期备份工
作,便于出现问题时能够及时恢复,降低损失.
4结语
进入物联网时代后,基于校园网的各种应用也
越来越多,作为校园网核心的服务器就显得尤为重
要,如何让校园网服务器为师生提供安全、可靠、高
效的网络服务,是摆在网管员面前的首要任务.笔
者对服务器的安全进行了探索与研究,提出了相应
的安全配置策略,并针对不同的服务器进行了灵活
应用,实践证明效果良好.另外,平时还要多关注黑
客技术与手法,多通过系统日志文件了解服务器运
行状态,做到防患于未然.
参考文献:
[1]步山岳,张有东.汁算机安全技术EM].北京:高等教育
出版社,2008.
E2]乜国雷.计算机网络服务器的入侵与防御研究[J].自
动化与仪器仪表,2011(4):166168.
E33黎劲.探讨广州体育学院校园网络服务器安全策略
EJ].计算机光盘软件与应用,2012(8):5657.
[责任编辑:张和平]
TheEraoftheInternetofThingsofCampusNetworkServer
SecurityConfigurationStrategyResearch
CHENZheng—quan
(JiangSuCollegeofInformationTechnolo~y,Wu.ri,Jiang“,214153,China)
Abstract:Inthevirus,trojanandhackerrampanttoday,howtoensurethesafetyofcampus
networkserveristhecurrentnetworkmanagementpriorityamongpriorities.Thearticlemain—
lytotheeraoftheInternetofthingsthecampusnetworksecuritytoexploreandresearch,
firstlyanalyzedintheeraoftheInternetofthingsthecampusnetworksecuritythreats,ex—
ploreswaysofstrengtheningserversecurityconfigurationstrategies,andthesestrategiesflexi—
blyappliedinourcampusnetworkserver,therebyeffectivelyimprovingthetheseserversecur—
ity.
Keywords:campusnetwork;server;securityconfiguration;strategy
|
|