保護伺服器

1、如何維護伺服器

1 從基本做起

從基本做起是最保險的方式。你必須將伺服器上含有機密數據的區域通通轉換成NTFS格式；同理，防毒程序也必須按時更新。建議同時在伺服器和桌面電腦上安裝防毒軟體。伺服器安全維護中這些軟體還應該設定成每天自動下載最新的病毒定義文件。伺服器安全維護中另外,Exchange Server（郵件伺服器）也應該安裝防毒軟體，伺服器安全維護中這類軟體可掃描所有寄進來的電子郵件，尋找被病毒感染的附件，若發現病毒，郵件馬上會被隔離，減低使用者被感染的機會。

另一個保護網路的好方法是依員工上班時間來限定使用者登錄網路的許可權。例如，上白天班的員工不該有許可權在三更半夜登錄網路。

最後，伺服器安全維護中存取網路上的任何數據皆須通過密碼登錄。伺服器安全維護中強迫大家在設定密碼時，必須混用大小寫字母、數字和特殊字元。在Windows NT Server Resource
Kit里就有這樣的工具軟體。你還應該設定定期更新密碼，且密碼長度不得少於八個字元。若你已經做了這些措施，但還是擔心密碼不安全，你可以試試從網路下載一些黑客工具，然後測試一下這些密碼到底有多安全。

2 保護備份

大多數人都沒有意識到，備份本身就是一個巨大的安全漏洞，怎麼說呢？試想，大多數的備份工作多在晚上10點或11點開始，依數據多寡，備份完成後大概也是夜半時分了。現在，想像一下，現在是凌晨四點，備份工作已經結束。有心人士正好可趁此時偷走備份磁碟，並在自己家中或是你競爭對手辦公室里的伺服器上恢復。不過，你可以阻止這種事情發生。首先，你可利用密碼保護你的磁碟，若你的備份程序支持加密功能，你還可以將數據進行加密。其次，你可以將備份完成的時間定在你早上進辦公室的時間，這樣的話，即使有人半夜想溜進來偷走磁碟的話也無法了，因為磁碟正在使用中；如果竊賊強行把磁碟拿走，他一樣無法讀取那些損毀的數據。

3使用RAS的回撥功能

Windows
NT最酷的功能之一就是支持伺服器遠端存取(RAS)，不幸的是，RAS伺服器對黑客來說實在太方便了，他們只需要一個電話號碼、一點耐心，然後就能通過RAS進入主機。不過你可以採取一些方法來保護RAS伺服器的安全。

你所採用的技術主要端賴於遠端存取者的工作方式。如果遠端用戶經常是從家裡或是固定的地方上網，建議你使用回撥功能，它允許遠端用戶登錄後即掛斷，然後RAS伺服器會撥出預設的電話號碼接通用戶，因為此一電話號碼已經預先在程序中了，黑客也就沒有機會指定伺服器回撥的號碼了。

另一個辦法是限定遠端用戶只能存取單一伺服器。你可以將用戶經常使用到的數據復制到RAS伺服器的一個特殊共用點上，再將遠端用戶的登錄限制在一台伺服器上，而非整個網路。如此一來，即使黑客入侵主機，他們也只能在單一機器上作怪，間接達到減少破壞的程度。

最後還有一個技巧就是在RAS伺服器上使用「另類」網路協議。很都以TCP/IP協議當作RAS協議。利用TCP/IP協議本身的性質與接受程度，如此選擇相當合理，但是RAS還支持IPX/SPX和NetBEUI協議，如果你使用NetBEUI當作RAS協議，黑客若一時不察鐵定會被搞得暈頭轉向。

考慮工作站的安全問題

在伺服器安全的文章里提及工作站安全感覺似乎不太搭邊，但是，工作站正是進入伺服器的大門，加強工作站的安全能夠提高整體網路的安全性。對於初學者，建議在所有工作站上使用Windows
2000。Windows 2000是一個非常安全的操作系統，如果你沒有Windows 2000，那至少使用Windows
NT。如此你便能將工作站鎖定，若沒有許可權，一般人將很難取得網路配置信息。

另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當作簡易型的終端機（mb terminal）或者說，智慧型的簡易終端機。換言之，工作站上不會存有任何數據或軟體，當你將電腦當作mb terminal使用時，伺服器必須執行Windows NT 終端服務程序，而且所有應用程序都只在伺服器上運作，工作站只能被動接收並顯示數據而已。這意味著工作站上只有安裝最少的Windows版本，和一份微軟Terminal Server Client。這種方法應該是最安全的網路設計方案。

執行最新修補程序

微軟內部有一組人力專門檢查並修補安全漏洞，這些修補程序（補丁）有時會被收集成service
pack（服務包）發布。服務包通常有兩種不同版本：一個任何人都可以使用的40位的版本，另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密演算法，比40位的版本要安全得多。

一個服務包有時得等上好幾個月才發行一次，但要是有嚴重點的漏洞被發現，你當然希望立即進行修補，不想苦等姍姍來遲的服務包。好在你並不需要等待，微軟會定期將重要的修補程序發布在它的FTP站上，這些最新修補程序都尚未收錄到最新一版的服務包里，我建議你經常去看看最新修補程序，記住，修補程序一定要按時間順序來使用，若使用錯亂的話，可能導致一些文件的版本錯誤，也可能造成Windows當機。

頒布嚴格的安全政策

另一個提高安全性的方式就是制定一強有力的安全策略，確保每一個人都了解，並強制執行。若你使用Windows 2000
Server，你可以將部分許可權授權給特定代理人，而無須將全部的網管權利交出。即使你核定代理人某些許可權，你依然可縣制其許可權大小，例如無法開設新的使用者帳號，或改變許可權等。

防火牆，檢查，再檢查

最後一個技巧是仔細檢查防火牆的設置。防火牆是網路規劃中很重要的一部份，因為它能使公司電腦不受外界惡意破壞。

首先，不要公布非必要的IP地址。你至少要有一個對外的IP地址，所有的網路通訊都必須經由此地址。如果你還有DNS注冊的Web伺服器或是電子郵件伺服器，這些IP地址也要穿過防火牆對外公布。但是，工作站和其他伺服器的IP地址則必須隱藏。

你還可以查看所有的通訊埠，確定不常用的已經全數關閉。例如，TCP/IP port 80是用於HTTP流量，因此不能堵掉這個埠，也許port
81應該永遠都用不著吧，所以就應該關掉。你可以在網路上查到每個埠的詳細用途。

伺服器安全問題是個大議題，你總不希望重要數據遭病毒/黑客損毀，或被人偷走做為不利你的用途，本文介紹了7個重要的安全檢查關卡，你不妨試試看。

2、怎樣保護一台web伺服器的安全

安全是相對的概念。因為安全涉及到伺服器的磁碟許可權跟其他許可權，資料庫的許可權，網站代碼的質量等等，缺一不可。比如你磁碟許可權都做好了，但是資料庫或ftp伺服器因為其他漏洞被人入侵提權了，導致管理員密碼被拿到，那麼之前做的努力都白費了。安全就好比木桶短板原理，一個木桶能裝多少誰，不是看木桶最長的那塊板，而是取決於最短的那塊板，水往低處流，所以會從最短的那塊板流出。安全也一樣，要照顧到方方面面，只要是在伺服器上運行的軟體，都要兼顧安全，不安全不可信的組件不要隨意注冊，管理員帳號密碼盡量不要讓人家知道，網站、資料庫的帳號密碼也要保管好。這個世上沒有絕對的安全。

3、怎樣保護伺服器不受停電影響

那要看伺服器的網路是不是在你們公司了啊，如果線路在你們公司，停電了，線路也掛了，肯定連不上伺服器了哦。
如果線路沒有在你們公司，不受停電影響，就用UPS啊，要看你UPS的型號，跟伺服器的型號，最好是查查這兩個部件的詳細說明，再百度一下相關的操作說明，在伺服器上，設定好，停電後，啟動備用電源，就可以了

4、伺服器系統的伺服器保護

不要在網路部署的環節上墨守成規，如果你採用了所有菜鳥和新人都慣於使用的手段和部署方式，被黑客順利攻破的幾率自然要大了很多。舉例來說，RAS最常用的是TCP/IP協議，但其實IPX/SP協議也是可以使用的。如果網管員選擇了這種非常規的協議，確實可以增加黑客入侵企業數據的困難。

5、有什麼方法可以保護我的伺服器不被攻擊？

防止伺服器被攻擊一般都是使用防火牆，市面上很多防火牆收費高，而且容易誤封ip，而使用【奇速盾】就沒有這些問題。
無視DDOS、CC攻擊，防禦無上限
受攻擊後沒有任何影響，用戶不卡不掉線
智能加速，節約流量，讓用戶體驗更流暢
隱藏伺服器真實IP，保障隱私和安全
獨創雙向通訊加密演算法，數據更安全
關注gz號:cjkjdyh，可免費測試試用哦~

6、伺服器如何防護

進入安全模式殺軟全盤查殺，用360清除 最好是關閉系統還原，方法是「右擊我的電腦——屬性——系統還原——在所有驅動器上關閉系統還原」 拔掉網線 加個360arp防火牆

7、什麼是維護伺服器？

作為互聯網的一個重要組成部分，伺服器擔任著很重要的角色。其實不光是互聯網，像銀行、超市、醫院哪一個行業都離不開伺服器7×24×365的支持。當設備正常運轉的時候人們不會意識到它存在的重要性，但伺服器出現宕機，用戶不能在銀行存取款，超市的產品也沒有價格，醫院的葯價、病人信息也都不能及時提取，這些因為伺服器故障而出現的問題接踵而來，擺在經理、管理員面前的只有投訴和搶修。作為一位管理員擔負著讓伺服器穩定維護、降低故障的責任，誰都不希望看到伺服器出現故障。 伺服器已經不能滿足應用需求 隨著信息化建設的飛速發展，很多企業意識到自己的伺服器已經不能滿足自己發展的需要了。某公司伺服器會經常出現宕機等情況，其原因是伺服器不能承擔更多的用戶訪問數量、還有處理器因為過於陳舊會出現資源佔用率過高的情況。以上僅僅是舉個例子，生活中的實例還會更多，在這就不一一列舉了。不僅是升級產品的煩惱，一些企業在選擇產品的時候，面對眾多品牌和銷售人員的花言巧語都不知所措。僅憑書面介紹和應用案例，用戶無法清楚了解自己的應用能否被所選購的產品滿足。買回去之後發現，該套方案並不適用自己的應用，結果造成了投資的浪費。 舊機器帶來了更多的電費開支 很多企業不會想到伺服器運行一年的電費開支是多少？怎樣可以節約？表面上伺服器是消費電力，其實伺服器的運行還增加了二氧化碳的排放。為什麼這樣說呢？因為國內絕大部分伺服器是放在數據中心託管，因此上百台伺服器就需要一個很好的冷卻環境，因為只有當溫度達到一定程度時，伺服器才可以穩定運行。在數據中心所使用的電能中，有38%～63%由伺服器所消耗，其次是空調，它消耗了約23%～54%的電力。下面我們引用一些數據來看一下伺服器數據中心所帶來的環境危害有多嚴重。 早在06年美國政府就完成了一項調查，IT行業一年內共消耗了約610億千瓦時，佔美國耗電量的 1.5%的電量，總電力成本約45億美元。據數據分析公司稱，運行和冷卻數據中心所需的大量電能現已導致二氧化碳排放量佔了全球因信息和通信技術產生的二氧化碳總排放量的四分之一。根據EPA的報告，在過去的5年多時間里，伺服器和數據中心的電力消耗增長了1倍；而在未來5年內，電力消耗還將增長一倍，高達1000億kWh，每年消耗74億美元。而根據美國環保署向國會遞交的一份有關伺服器和數據中心能耗問題的報告，如果數據中心採用更具能效的設備和更優化的操作方式，那麼美國的數據中心全年可以節約40億美元電力支出。由此可見採用新技術來保護環境是一件刻不容緩的事情。 怎樣節約投資成本？ 1.硬體升級 這里談到將伺服器進行硬體升級，很多用戶都不理解，我們已經有了伺服器，而且運行穩定，那為什麼要去升級呢？首先將伺服器升級是為了提高性能，滿足更多、更復雜的應用需求，增加企業對未來應用的擴充能力。其次，將伺服器升級不僅可以降低電費開支，還可以整合伺服器資源，同時達到降低成本的目的。最後，通過伺服器的升級、整合達到更利於管理的目的。 伺服器硬體升級分為兩個階段，一種是在原有基礎上將配件進行升級更新，就是更新處理器、內存、硬碟等。還有一種是整套設備遷移，也就是將數據遷移到新的設備中，淘汰陳舊的設備。目前我們用到的雙核產品都可以平滑過渡到四核，從而降低企業投資成本。 2.採用虛擬化技術整合應用 通過虛擬化將伺服器整合，因為新伺服器從單機性能上提高了，從而讓一台伺服器能擔任更多的任務。目前，英特爾的數據中心，機架和刀片式服務期都在同時採用，一方面充分利用目前的一些能力，主要是指多核處理器。同時刀片伺服器的部署，是採用了網格計算虛擬化的理念，尤其是再工程部門進行數據處理方面，也通過虛擬化進行伺服器的整合。 3.軟體優化 除了硬體方面提高產品性能之外，軟體方面我們也要進行優化和調試，這樣才可以進一步保證伺服器性能達到最佳狀態。我們僅以資料庫方面舉例：某省資料庫CPU長時間負載很高，很多時候還經常是cpu idle值為各位數，甚至經常為<5 的各位數，於是趕緊登陸檢查，發現主要的瓶頸是WAIT IO，初步判斷是和業務中的SQL語句有關的問題造成的。依據STATSPACK和一些維護經驗，作出了修改策略，將改表重建為時間分區表，按月份存放，並建立相應的local index，僅這一項優化就使得wio降低了25%左右。由此可見軟體優化對於伺服器性能的重要性。 作為企業級用戶，如果您已經感覺到自己的伺服器已經不能滿足需求，或不清楚您所需要采購哪種類型的伺服器，請參考我們近期推出的《軟硬兼施 穩定為先》伺服器升級、維護專題，或者在文章下面給我們直接留言。參考 http://www.it.com.cn/f/server/083/27/569766.htm

8、保護DNS伺服器幾種有效方法

　　DNS軟體是黑客熱衷攻擊的目標，它可能帶來安全問題，在網路安全防護中，DNS的安全保護就顯得尤為重要。本文結合相關資料和自己多年來的經驗列舉了四個保護DNS伺服器有效的方法。以便讀者參考。1.使用DNS轉發器DNS轉發器是為其他DNS伺服器完成DNS查詢的DNS伺服器。使用DNS轉發器的主要目的是減輕DNS處理的壓力，把查詢請求從DNS伺服器轉給轉發器， 從DNS轉發器潛在地更大DNS高速緩存中受益。使用DNS轉發器的另一個好處是它阻止了DNS伺服器轉發來自互聯網DNS伺服器的查詢請求。如果你的DNS伺服器保存了你內部的域DNS資源記錄的話， 這一點就非常重要。不讓內部DNS伺服器進行遞歸查詢並直接聯系DNS伺服器，而是讓它使用轉發器來處理未授權的請求。2.使用只緩沖DNS伺服器只緩沖DNS伺服器是針對為授權域名的。它被用做遞歸查詢或者使用轉發器。當只緩沖DNS伺服器收到一個反饋，它把結果保存在高速緩存中，然後把 結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS伺服器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。把只緩沖DNS伺服器作為轉發器使用，在你的管理控制下，可以提高組織安全性。內部DNS伺服器可以把只緩沖DNS伺服器當作自己的轉發器，只緩沖 DNS伺服器代替你的內部DNS伺服器完成遞歸查詢。使用你自己的只緩沖DNS伺服器作為轉發器能夠提高安全性，因為你不需要依賴你的ISP的DNS服務 器作為轉發器，在你不能確認ISP的DNS伺服器安全性的情況下，更是如此。3.使用DNS廣告者DNS廣告者是一台負責解析域中查詢的DNS伺服器。例如，如果你的主機對於domain.com 和corp.com是公開可用的資源，你的公共DNS伺服器就應該為 domain.com 和corp.com配置DNS區文件。除DNS區文件宿主的其他DNS伺服器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS伺服器不會對其他DNS伺服器進行遞歸查詢。這讓用戶不能使用你的公共DNS伺服器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險，包括緩存中毒，增加了安全。4.使用DNS解析者DNS解析者是一台可以完成遞歸查詢的DNS伺服器，它能夠解析為授權的域名。例如，你可能在內部網路上有一台DNS伺服器，授權內部網路域名 internalcorp.com的DNS伺服器。當網路中的客戶機使用這台DNS伺服器去解析techrepublic.com時，這台DNS伺服器通過向其他DNS伺服器查詢來執行遞歸 以獲得答案。DNS伺服器和DNS解析者之間的區別是DNS解析者是僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS伺服器。你可以讓DNS 解析者僅對內部用戶使用，你也可以讓它僅為外部用戶服務，這樣你就不用在沒有辦法控制的外部設立DNS伺服器了，從而提高了安全性。當然，你也可以讓DNS解析者同時被內、外部用戶使用。

9、網路訪問保護的伺服器

下面是常用的 NAP 伺服器組件。
NAP 健康策略伺服器。運行 NPS 的伺服器，它充當 NAP 健康評估伺服器的角色。NAP 健康策略伺服器具有健康策略和網路策略，這些策略為請求網路訪問的客戶端計算機定義健康要求和強制設置。NAP 健康策略伺服器使用 NPS 處理包含 NAP EC 發送的系統 SoH 的 RADIUS 訪問請求消息，並將其傳遞給 NAP 管理伺服器進行評估。
NAP 管理伺服器。提供一種類似於客戶端上的 NAP 代理的處理功能。它負責從 NAP 強制點收集 SoH，將 SoH 分發給相應的系統健康驗證程序 (SHV)，以及從 SHV 收集 SoH 響應 (SoHR) 並將其傳遞給 NPS 服務進行評估。
系統健康驗證程序 (SHV)。伺服器軟體對應於 SHA。客戶端上的每個 SHA 在 NPS 中都具有相應的 SHV。SHV 驗證客戶端計算機上與其對應的 SHA 所創建的 SoH。SHA 和 SHV 相互匹配，並且與相應的健康要求伺服器（如果適用）和可能的更新伺服器匹配。SHV 還可以檢測到尚未接收 SoH（如 SHA 從未安裝或者已損壞或刪除的情況）。無論 SoH 符合還是不符合定義的策略，SHV 都向 NAP 管理伺服器發送健康聲明響應 (SoHR) 消息。一個網路可能具有多種 SHV。如果情況如此，則運行 NPS 的伺服器必須調整所有 SHV 中的輸出，並且確定是否限制不符合要求的計算機的訪問。如果您的部署使用多個 SHV，則需要了解它們交互的方式，在配置健康策略時還要進行仔細地計劃。
NAP 強制伺服器 (NAP ES)。與所使用 NAP 強制方法的相應 NAP EC 相匹配。NAP ES 接收來自 NAP EC 的 SoH 列表，並將其傳遞給 NPS 進行評估。根據響應，它向支持 NAP 的客戶端提供有限制或無限制的網路訪問。根據 NAP 強制的類型，NAP ES 可以是 NAP 強制點的一個組件。
NAP 強制點。使用 NAP 或可以與 NAP 結合使用以要求評估 NAP 客戶端的健康狀況並提供受限網路訪問或通信的伺服器或網路訪問設備。NAP 強制點可以是健康注冊機構（IPSec 強制）、身份驗證交換機或無線訪問點（802.1x 強制）、運行路由和遠程訪問的伺服器（VPN 強制）、DHCP 伺服器（DHCP 強制）或 TS 網關伺服器（TS 網關強制）。
健康要求伺服器。與 SHV 通信以提供評估系統健康要求時使用的信息的軟體組件。例如，健康要求伺服器可以是為驗證客戶端防病毒 SoH 提供當前簽名文件版本的防病毒簽名伺服器。健康要求伺服器與 SHV 相匹配，但並不是所有 SHV 都需要健康要求伺服器。例如，SHV 可以只指導支持 NAP 的客戶端檢查本地系統設置，以確保啟用基於主機的防火牆。
更新伺服器。承載 SHA 用來使不符合要求的客戶端計算機變為符合要求的客戶端計算機的更新。例如，更新伺服器可以承載軟體更新。如果健康策略要求 NAP 客戶端安裝最新的軟體更新，則 NAP EC 將對沒有這些更新的客戶端的網路訪問加以限制。為了使客戶端能夠獲得符合健康策略所需的更新，具有受限網路訪問許可權的客戶端必須可以訪問更新伺服器。
健康聲明響應 (SoHR)。包含客戶端 SoH 的 SHV 評估結果。沿 SoH 的路徑，將 SoHR 反向發送回客戶端計算機 SHA。如果認為客戶端計算機不符合要求，則 SoHR 包含更新說明，SHA 會使用該說明更新客戶端計算機配置，使其符合健康要求。
就像每種類型的 SoH 都包含有關系統健康狀態的信息一樣，每個 SoHR 消息都包含有關如何使客戶端計算機符合健康要求的信息。

10、伺服器如何做防禦？

使用防護軟體
以DDos為主的攻擊，傳統的防護就是用高防伺服器，但是高防伺服器有防護上線。比如，機房有400G的防護，黑客攻擊超過了400G，高防就沒有用了，網路就會癱瘓，游戲就打不開，黑客停止攻擊或者伺服器解封後才能運行。我們的產品杭州超級科技的超級盾就是打不死，不掉線，一個機房被打死，還有無數的機房，會智能切換，無縫銜接。產品使用的分布式架構，無數的節點，打死一個節點，還有很多節點智能切換。隱藏真實IP，讓別人找不到你的伺服器IP。自帶防攻擊能力。智能路由是優先選擇離你最近的電信網路訪問，起到加速的作用。