如何确保服务器系统安全

一、确保服务器系统安全
1. 确保服务器的系统文件是最新的版本，并及时更新系统补丁。
2. 管理员需对所有主机进行检查，知道访问者的来源。
3. 过滤不必要的服务和端口，可以使用工具来过滤不必要的服务和端口，即在路由器上过滤假 IP. 只开放服务端口成为目前很多服务器的流行做法，例如 WWW 服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。
4. 限制同时打开的 SYN 半连接数目，缩短 SYN 半连接的 time out 时间，限制 SYN/ICMP 流量。
5. 正确设置防火墙，在防火墙上运行端口映射程序或端口扫描程序。
6. 认真检查网络设备和主机 / 服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可能遭到了攻击。
7. 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，若黑客以特洛伊木马替换它，文件传输功能无疑会陷入瘫痪。
8. 充分利用网络设备保护网络资源。
9、在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略：流控，包过滤，半连接超时，垃圾包丢弃，来源伪造的数据包丢弃，SYN 阀值，禁用 ICMP 和 UDP 广播。
10、使用高可扩展性的 DNS 设备来保护针对 DNS 的 DDOS 攻击。可以考虑购买 Cloudfair 的商业解决方案，它可以提供针对 DNS 或 TCP/IP3 到 7 层的 DDOS 攻击保护。
11、启用路由器或防火墙的反 IP 欺骗功能。在 CISCO 的 ASA 防火墙中配置该功能要比在路由器中更方便。在 ASDM（Cisco Adaptive Security Device Manager）中启用该功能只要点击 “配置” 中的 “防火墙”，找到 “anti-spoofing” 然后点击启用即可。也可以在路由器中使用 ACL（access control list）来防止 IP 欺骗，先针对内网创建 ACL，然后应用到互联网的接口上。