网站主机安全之服务器的网络安全

网络安全是指你机房的服务器要有合理的安全拓扑结构。安全的网络会让你的系统管理任务轻松很多,否则你会时刻提心吊胆。例如,如果你的NFS服务器直接面对互联网,那么你的麻烦就来了。因此,在服务器的前面,至少要有网络屏蔽设施,或称为防火墙。 服务器的”

【路由器之家】-网站主机安全之服务器的网络安全,下面就是【路由器网】小编整理的路由器设置教程。

 

  网络安全是指你机房的服务器要有合理的安全拓扑结构。安全的网络会让你的系统管理任务轻松很多,否则你会时刻提心吊胆。例如,如果你的NFS服务器直接面对互联网,那么你的麻烦就来了。因此,在服务器的前面,至少要有网络屏蔽设施,或称为防火墙。

网站主机安全之服务器的网络安全

  服务器的网络安全中从头部署新的防火墙策略是一件复杂的事情,你要综合考虑许多方面。一般来说,防火墙有两种工作模式,称为路由模式和透明模式,在路由模式下,防火墙就象一个路由器,能进行数据包的路192.168.0.0由。

  不同的是,它能识别网络第四层协议(即传输层)的信息,因此它能基于TCP/UDP端口来进行过滤。在该模式下,防火墙本身要配备两个或多个网络地址,你的网络结构会被改变。在透明模式下,防火墙更象一个网桥,它不网络结构,从拓扑中看来,它似乎是不存在的(因此称为透明)。但是,透明模式的防火墙同样具备数据包过滤的功能。透明模式的防火墙不具备IP地址。这两种模式的防火墙都提供网络访问控制功能,例如你可以在防火墙上设置,过滤掉来自因特网的对服务器的NFS端口的访问请求。

  在网络中使用哪种工作模式的防火墙取决于你的网络。一般来说,如果你的服务器使用真实IP地址(该地址一般是IDC分配给你的),会选择防火墙的透明模式。因为在该模式下,你的服务器看起来象直接面对互联网一样,所有对服务器的访问请求都直接到达服务器。当然,在数据包到达服务器之前会经过防火墙的检测,不符合规则的数据包会被丢弃掉(从服务器编程的角度看,它不会觉察到数据包实际已被处理过)。

  实际上为了安全起见,很多服务器都采用私有IP地址(例如172.16.0.0/16和192.168.0.0/24都属于私有IP地址),如果这些服务器不必对外提供服务,那么就最安全不过了,如果要对外提供服务,就有必要通过防火墙的NAT(网络地址转换)来满足来自因特网的访问要求。NAT是防火墙的一项功能,它实际上工作在路由模式下。

  大多数防火墙都会区分所谓的正向NAT和反向NAT,所谓正向NAT就是指从内网出去的数据包,在经过防火墙后,包头会被改写,源IP被改写成防火墙上绑定的IP地址(或地址池,肯定是公网真实IP),源端口也会有所改变,回来的数据包经过同样处理,这样就内网具有私有IP的主机能够与因特网进行通信。在反向NAT的实现中,会将服务器的公网IP绑定在出口处的防火墙上,服务器只会使用一个私有IP,防火墙会在它的公网IP和这个私有IP之间建立一个映射,当外网对这台服务器的请求到达防火墙时,防火墙会把它转发给该服务器。当然,在转发之前,会先匹配防火墙规则集,不符合规则的数据包将被丢弃。

  使用反向NAT,会大大提高服务器的安全性。因为任何用户的访问都不是直接面对服务器,而是先要经过防火墙才被转交。而且,服务器使用私有IP地址,这总比使用真实地址要安全。在绝服务上,这种方式的成效更显然。但是,相对于透明模式的防火墙,采用反向NAT方式的防火墙会影响网络速度。如果你的站点访问流量超大,那么就不要使用该种方式。值得一提的是,CISCO的PIX在NAT的处理上性能异常卓越。

  另外一种情况是,服务器使用真实IP地址,防火墙配置成路由模式,不使用它的NAT功能。这种情况虽然可以实现,但会使你的网络结构变得很复杂,似乎也不会带来效益的提高。

  大多数IDC的机房不提供防火墙服务,你需要自己购买和配置使用防火墙。你完全可以按透明模式或NAT模式来配置,具体怎么配取决于你的实际情况。有些IDC公司会提供防火墙服务,作为他们吸引客户的一个手段。一般来说,他们的防火墙服务会收费。

  如果你的服务器在IDC提供的公共防火墙后面,那么就有必要仔细考虑你的内网结构了。如果IDC提供给你的防火墙使用透明模式,也即是你的服务器全部使用真实IP地址,在这种情况下,除非你的服务器数量足够多(象我们在有500多台),那么在你的逻辑网段里肯定还有其他公司的主机存在。

  这样,虽然有防火墙,你的系统管理任务也不会轻松多少,因为你要受到同一网段里其他公司主机的。例如,你的服务器的IP地址段是211.139.130.0/24,你使用了其中的几个地址,那么在这个网段里还会有200多台其他公司的主机,它们与你的主机同处于一个防火墙之后,虽然防火墙可以屏蔽来自因特网的某些访问,然而,内部这些主机之间的相互访问却没有任何屏蔽措施。于是,其他公司的人可以通过他们的主机来你。

  或者,网络中一台主机被黑客入侵,则所有服务器都会面临严重。在这样的网络中,你不要运行NFS、Sendmail、BIND这样的服务。

  这种问题的解决方法是自己购买防火墙,并配置使用透明模式,不要使用公用防火墙的透明模式。

  有的IDC公司会给你提供NAT方式的防火墙,你需要在服务器上设置私有IP地址,然后由防火墙来给服务器做地址转换。这种情况与上述情况存在同样的问题,那就是,在你的服务器所在的逻辑网段里还有其他公司的主机。

  例如在172.16.16.0/24这个网段可容纳254台主机,你的服务器使用了其中的几个IP,那么可能还有200多台其他公司的主机与你的服务器在同一个网段里。这样,虽然对外有防火墙,但无法防范来自内网的。

  要解决这个问题,你不必自己购买防火墙。既然私有IP是可以任意分配的,那么你可以向IDC单独要一个网段,例如172.16.19.0/24网段,把你的服务器都放在这个网段里,其中不要有其他公司的主机。这样一来,你的内网也无懈可击了。

  实际上,如果你有一个大的UNIX主机的网络,那么没必要让每台主机都在防火墙上打开登陆端口。你可以特别设置一台或两台主机做为登陆入口,对其他主机的访问都必须使用入口主机作为跳板。这样做了使用的方便性,但带来更强的安全性。当然,前提是你必须管理好入口主机。

  有一种电子令牌卡适合这种应用,它是一张随身携带的卡,每隔一段时间(这个时间通常很小,几分钟或者几十秒)动态产生一个口令,你只有使用这个口令才能登陆主机,并且该口令很快就会失效。

  不仅是UNIX主机,对Windows主机的终端管理也可以采用这种跳板的方式。但Windows的终端比UNIX的shell要麻烦得多,如果你不愿太多的方便性,那么就不要这样做。

  网络安全是服务器安全中重要的部分,希望大家已经掌握以上的内容,另外,还希望大家多多关注防火墙的知识,以更明白的了解服务器网络安全。

以上关于-【网站主机安全之服务器的网络安全】内容,由【路由器之家】搜集整理分享。

本文来自投稿,不代表路由百科立场,如若转载,请注明出处:https://www.qh4321.com/46109.html

(0)

相关推荐

  • 网页打不开的解决方法总汇

    一键清理( 一、ie浏览器本身的问题 当ie浏览器本身出现故障时,自然会影响到浏览了;或者ie被恶意修改也会导致无法浏览网页。这时可以尝试用“ie修复”来修复(到安全模式下修复),或者重新安装ie。 二、病毒感染xp系统的应用层网关服务导致网页打不开解决方法: 出”

    2023年8月20日
  • 大学宿舍电脑路由器流量限制步骤

    原标题:"大学宿舍很多台电脑怎么做流量限制"关于路由器设置教程分享。 – 来源:路由器之家 – 编辑:小元。现在大学宿舍很多都是一台路由器带几台电脑上网了。有时候,当一个人在”

    2021年1月19日
  • 腾达路由器和水星路由器桥接设置上网

    腾达路由器和水星路由器无线桥接怎么设置?家里原来有一台水星无线路由器,但是某些区域的信号不是很好。因此又买了一个无线路由器回来,是腾达的牌子。请问怎么设置腾达路由器无线桥接水星路

    2021年3月31日
  • 水星MW325R路由器如何用手机设置上网?

    在没有计算机的情况下,是可以用手机来设置水星MW325R路由器上网的。一台新购买的水星MW325R路由器,或者是刚恢复出厂设置的MW325R路由器,如果用手机来设置其上网,需要按照下面的步骤来进行设置

    2021年3月19日
  • 无线网加密怎么设置?

    问:无线没有密码,怎么给无线网加密(设置一个密码)?答:无线网(Wi-Fi),是由无线路由器提供的;所以,给无线网加密时,需要登录到路由器的管理页面,才能够完成加密的操作,下面会介绍详细的操作步骤。温馨提示:电脑、手机 都能给无线网加密,下面将详细的介绍,用电脑给无线网加密的方法。 如果你没有电脑,

    2021年4月22日
  • 360安全路由器P1默认管理密码查看方法

    原标题:"360安全路由器P1默认管理密码是多少"相关路由器设置经验分享。 – 来源:路由器之家  在360安全路由器P1设置时,提示输入路由器的默认管理密码,但不知道默认管理密码是”

    2021年2月4日