服務(wù)器安全解析

服務(wù)器安全1、簡介服務(wù)器是一個(gè)企業(yè)信息化資源的重要組成部分，其上運(yùn)行著各種各樣的服務(wù)，對(duì)企事業(yè)單位管理水平和生產(chǎn)效率的提高至關(guān)重要。服務(wù)器從提供的服務(wù)類型上可分為WWW服務(wù)器，數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器，應(yīng)用服務(wù)器等，從服務(wù)對(duì)象可分為對(duì)外提供服務(wù)的網(wǎng)絡(luò)服務(wù)器和對(duì)內(nèi)服務(wù)的局域網(wǎng)服務(wù)器。服務(wù)器面臨著各種類型的攻擊，如DDOS攻擊，病毒木馬等，入侵篡改信息。一旦服務(wù)器被攻擊，就會(huì)面臨著服務(wù)器終止服務(wù)，信息泄露的危險(xiǎn)。因此加強(qiáng)服務(wù)器安全至關(guān)重要。2、安全措施為加強(qiáng)服務(wù)器安全，可從三個(gè)方面進(jìn)行：事前預(yù)防，事中監(jiān)控，事后清理事前預(yù)防

事前預(yù)防主要是指在服務(wù)器被入侵之前即做好預(yù)防措施，使得入侵根本無法進(jìn)行。事中監(jiān)控

事中監(jiān)控是指在黑客入侵時(shí)，及時(shí)進(jìn)行監(jiān)控或報(bào)警處理，并對(duì)病毒進(jìn)行清除。事后審查

事后審查是針對(duì)監(jiān)控沒有及時(shí)發(fā)現(xiàn)的漏洞或入侵行為進(jìn)行審查，并對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)及時(shí)進(jìn)行補(bǔ)救。3、事前預(yù)防：防火墻事前預(yù)防：主要包括的措施有安裝防火墻、訪問控制和認(rèn)證、漏洞補(bǔ)丁及時(shí)修復(fù)等。防火墻：是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項(xiàng)信息安全的防護(hù)系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在國際防火墻市場上占據(jù)兩位數(shù)只有checkpoint和CICSO。近幾年國內(nèi)市場出現(xiàn)了許多生產(chǎn)專業(yè)的防火墻產(chǎn)品的公司，如東方龍馬、天融信公司。防火墻主要涉及下面幾種技術(shù)；網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)虛擬專用網(wǎng)技術(shù)應(yīng)用層狀態(tài)監(jiān)測包過濾（ASPF）DMZ：DemilitarizedZone隔離區(qū)

3、事前預(yù)防：防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)

實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。

靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。3、事前預(yù)防：防火墻端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式3、事前預(yù)防：防火墻虛擬專用網(wǎng)VPN技術(shù)虛擬專用網(wǎng)(VPN)是局域網(wǎng)在廣域網(wǎng)上的擴(kuò)展，是專用計(jì)算機(jī)網(wǎng)絡(luò)在Internet上的延伸。VPN通過專用隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線，實(shí)現(xiàn)安全的信息傳輸。雖然VPN不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。應(yīng)用層狀態(tài)監(jiān)測包過濾（ASPF）aspf（applicationspecificpacketfilter）是針對(duì)應(yīng)用層的包過濾，即基于狀態(tài)的報(bào)文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。aspf能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會(huì)話信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過。為保護(hù)網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。3、事前預(yù)防：防火墻隔離區(qū)DMZ它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問用戶不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)。在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)。因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對(duì)來自外網(wǎng)的攻擊者來說又多了一道關(guān)卡。它將部分用于提供對(duì)外服務(wù)的服務(wù)器主機(jī)劃分到一個(gè)特定的子網(wǎng)——DMZ內(nèi)，在DMZ的主機(jī)能與同處DMZ內(nèi)的主機(jī)和外部網(wǎng)絡(luò)的主機(jī)通信，而同內(nèi)部網(wǎng)絡(luò)主機(jī)的通信會(huì)被受到限制。這使DMZ的主機(jī)能被內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)所訪問，而內(nèi)部網(wǎng)絡(luò)又能避免外部網(wǎng)絡(luò)所得知。3、事前預(yù)防：訪問控制和認(rèn)證訪問控制和認(rèn)證：訪問控制和認(rèn)證是指控制訪問服務(wù)器的人和訪問內(nèi)容。訪問控制是網(wǎng)絡(luò)安裝防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄及控制以及屬性控制多種手段這方面的產(chǎn)品主要有通軟的GNAC，天融信的TDSM-DSM，趨勢(shì)科技的EndpointSecurity

3、事前預(yù)防：漏洞補(bǔ)丁修復(fù)漏洞補(bǔ)丁包是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，針對(duì)這種情況對(duì)于大型軟件系統(tǒng)（如微軟操作系統(tǒng)）在使用過程中暴露的問題（一般由黑客或病毒設(shè)計(jì)者發(fā)現(xiàn)）而發(fā)布的解決問題的小程序包。市場上常見的漏洞補(bǔ)丁管理軟件有江南天安的TASS_Smart_VM，安全狗的safedog、360的服務(wù)器版安全衛(wèi)生

4、事中監(jiān)控事中監(jiān)控：主要是針對(duì)當(dāng)前正在運(yùn)行的系統(tǒng)發(fā)生的入侵行為進(jìn)行進(jìn)行監(jiān)控，并對(duì)發(fā)生入侵行為進(jìn)行處理。如非法軟件運(yùn)行，A軟件非法調(diào)用B軟件，黑客或者不具備權(quán)限的用戶訪問某些資源，修改注冊(cè)表、系統(tǒng)文件等，實(shí)時(shí)監(jiān)控程序會(huì)及時(shí)阻止并處理這些非法行為，產(chǎn)生報(bào)警，并報(bào)告給用戶。事中監(jiān)控的主要軟件包括殺毒軟件和HIPS（基于主機(jī)的入侵防御系統(tǒng)）。殺毒軟件主要針對(duì)已知病毒的查殺，HIPS是一種能監(jiān)控你電腦中文件的運(yùn)行和文件運(yùn)用了其他的文件以及文件對(duì)注冊(cè)表的修改，并向你報(bào)告請(qǐng)求允許的的軟件。市場上殺毒軟件種類繁多，比較流行的有國外的卡巴斯基、諾頓、賽門鐵克，國產(chǎn)的有360、瑞星、江民等HIPS軟件軟件眾多，如GSS(GhostSecuritySuite)、Winpooch、ParadorFileProtectionPE、McAfeeHostIntrusionPrevention

，MalwareDefender（奇虎360旗下軟件）、EQSecure（國產(chǎn)的E盾)。4、事中監(jiān)控殺毒引擎主要涉及以下技術(shù)：虛擬機(jī)技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、智能碼標(biāo)識(shí)技術(shù)、行為攔截技術(shù)。4、事中監(jiān)控虛擬機(jī)技術(shù)：在反病毒界也被稱為通用解密器，已經(jīng)成為反病毒軟件中最重要的組成部分之一。殺毒引擎中的虛擬機(jī)，和那些諸如VMWare的“虛擬機(jī)”是有區(qū)別的。查毒引擎的虛擬機(jī)是一個(gè)軟件模擬的CPU，它可以象真正CPU一樣取值，譯碼，執(zhí)行，可以模擬一段代碼在真正CPU上運(yùn)行得到的結(jié)果。給定一組機(jī)器碼序列，虛擬機(jī)就會(huì)自動(dòng)從中取出第一條指令操作碼部分，判斷操作碼類型和尋址方式以確定該指令長度，然后在相應(yīng)的函數(shù)中執(zhí)行該指令，并根據(jù)執(zhí)行后的結(jié)果確定下條指令的位置，如此循環(huán)反復(fù)直到某個(gè)特定情況發(fā)生以結(jié)束工作，這就是虛擬機(jī)的基本工作原理和簡單流程。設(shè)計(jì)虛擬機(jī)查毒的目的，就是為了對(duì)付加密變形病毒，虛擬機(jī)首先從文件中確定并讀取病毒入口處代碼，然后以上述工作步驟解釋執(zhí)行病毒頭部的解密段（Decryptor），最后在執(zhí)行完的結(jié)果（解密后的病毒體明文）中查找病毒的特征碼。這里所謂的“虛擬”，并非是指創(chuàng)建了什么虛擬環(huán)境，而是指染毒文件并沒有實(shí)際執(zhí)行，只不過是虛擬機(jī)模擬了其真實(shí)執(zhí)行時(shí)的效果。這就是虛擬機(jī)查毒基本原理。4、事中監(jiān)控實(shí)時(shí)監(jiān)控：病毒實(shí)時(shí)監(jiān)控普遍使用了驅(qū)動(dòng)編程技術(shù)，讓工作于系統(tǒng)核心態(tài)的驅(qū)動(dòng)程序去攔截所有的文件訪問。當(dāng)然由于工作系統(tǒng)的不同，驅(qū)動(dòng)程序無論從結(jié)構(gòu)還是工作原理都不盡相同的，當(dāng)然程序?qū)懛ê途幾g環(huán)境更是千差萬別了。病毒實(shí)時(shí)監(jiān)控，實(shí)質(zhì)就是對(duì)文件的監(jiān)控。除了文件監(jiān)控外，還有各種各樣的實(shí)時(shí)監(jiān)控工具，都具有各自不同的特點(diǎn)和功用?，F(xiàn)在流行的網(wǎng)絡(luò)監(jiān)控，郵件監(jiān)控基本上是對(duì)文件監(jiān)控的改進(jìn)，革命性的改動(dòng)沒有。病毒實(shí)時(shí)監(jiān)控，其實(shí)就是一個(gè)文件監(jiān)視器。它會(huì)在文件打開，關(guān)閉，清除，寫入等操作時(shí)檢查文件是否是病毒攜帶者，如果是則根據(jù)用戶的決定選擇不同的處理方案，如清除病毒，禁止訪問該文件，刪除該文件或簡單地忽略。這樣就可以有效地避免病毒在本地機(jī)器上的感染傳播，因?yàn)榭蓤?zhí)行文件裝入器在裝入一個(gè)文件執(zhí)行時(shí)首先會(huì)要求打開該文件，而這個(gè)請(qǐng)求又一定會(huì)被實(shí)時(shí)監(jiān)控在第一時(shí)間截獲到，它確保了每次執(zhí)行的都是干凈的不帶毒的文件從而不給病毒以任何執(zhí)行和發(fā)作的機(jī)會(huì)4、事中監(jiān)控特征碼技術(shù):運(yùn)用程序中某一段或幾段64字節(jié)以下的代碼作為判別程序病毒的主要依據(jù)行為攔截技術(shù)：通過對(duì)程序行為的分析來判斷其是否為病毒5、事后審查事后審查：主要針對(duì)前期沒有預(yù)防和控制的已經(jīng)發(fā)生的風(fēng)險(xiǎn)進(jìn)行的補(bǔ)救措施。如審查系統(tǒng)的安全日志，發(fā)現(xiàn)非法的行為。如全盤掃描發(fā)現(xiàn)病毒文件等。如端口掃描發(fā)現(xiàn)非法開啟的端口。該部分功能大部分都集成在其他軟件中，作為整體軟件的一個(gè)功能點(diǎn)，如殺毒軟件帶有的全盤掃描和端口掃描功能。安全管理軟件一般帶有的日志查看功能。6、集成安全軟件服務(wù)器的安全防護(hù)是一個(gè)整體工程，因此需要從各個(gè)階段進(jìn)行防護(hù)。因此市場上出現(xiàn)一批集中進(jìn)行管理的安全防護(hù)軟件。它將各個(gè)功能集中在一起，功能強(qiáng)大，使用方便。下面簡單介紹兩款比較流行的軟件：1、服務(wù)器安全狗

它具備防病毒、防入侵、防攻擊、防篡改功能。實(shí)時(shí)監(jiān)測Ip和端口訪問的合法性，實(shí)時(shí)攔截ARP攻擊、DDOS攻擊、暴力破解等。全面開放保護(hù)規(guī)則，同時(shí)支持監(jiān)控網(wǎng)站目錄，有效保護(hù)重要文件、目錄與注冊(cè)表不被篡改與刪除，實(shí)時(shí)防止網(wǎng)站被上傳網(wǎng)頁木馬。系統(tǒng)默認(rèn)規(guī)則與用戶自定義規(guī)則全支持，靈活定制，全面保護(hù)。有效防止未授權(quán)的非法用戶登錄服務(wù)器