讓服務器網(wǎng)絡更安全

引言：終端用戶的高效穩(wěn)定上網(wǎng)，離不開部署在局域網(wǎng)服務器中眾多網(wǎng)絡服務的支持，例如，獲得上網(wǎng)地址離不開DHCP服務，進行網(wǎng)站域名解析離不開DNS服務的支持等等。試想一下，當這些重要的網(wǎng)絡服務安全性無法保證時，終端用戶還能安全穩(wěn)定地上網(wǎng)嗎？顯然不會！為此，我們需要采取措施，想方設法讓服務器中的網(wǎng)絡服務運行更安全。

讓DNS服務更安全

圖1 組策略屬性對話框

首先，嚴格限制遠程訪問權(quán)限。要是普通用戶可以自由遠程訪問并修改DNS服務器中的重要內(nèi)容，那么DNS服務器的工作安全性將不能得到有效保障。所以，嚴格限制DNS服務器的遠程訪問權(quán)限，保證其不會被非法用戶遠程攻擊，是相當有必要的。只要用鼠標右擊系統(tǒng)桌面上的“計算機”圖標，從右鍵菜單中點選“管理”命令，依次展開計算機管理界面中的“系統(tǒng)工具”、“本地用戶和組”、“用戶”分支，雙擊指定分支下的來賓賬號，在對應賬號屬性設置框中，勾選“賬號已停用”選項，確認后退出設置對話框。接著依次點擊“開 始”、“運行”命令，彈出系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)；找到“本地計算機策略”、“計算機配置”、“Windows 設 置”、“安全設置”、“本地策略”、“用戶權(quán)限分配”分支選項，用鼠標雙擊“從網(wǎng)絡訪問此計算機”組策略選項，彈出如圖1所示的組策略屬性對話框，刪除所有陌生用戶賬號，再將我們認為合法可信的用戶賬號添加導入進來，最后重啟一下DNS服務器所在主機系統(tǒng)即可。

圖2 注冊表分支

其次，多措并舉預防緩存攻擊。一是禁用防止緩存污染功能。為了防止自己的DNS服務器緩存被黑客 攻 擊，Windows Server 2003系統(tǒng)在默認狀態(tài)下支持DNS服務器啟用“防止緩存污染”功能，來保護緩存內(nèi)容不被虛假信息“污染”；要是發(fā)現(xiàn)該功能還沒有被啟用時，我們只要進入DNS服務器屬性配置對話框，點擊“高級”標簽，在對應標簽頁面中選中“防止緩存污染”選項，再將DNS服務器所在主機系統(tǒng)重新啟動一下即可。二是禁用DNS緩存功能?？梢杂袃煞N方法，一種方法是臨時性的，只要依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，在其中執(zhí)行“cmd”命令，進入系統(tǒng)的DOS命令行窗口，在該窗口中執(zhí)行“net stop dnscache”命令，DNS緩存功能就會被臨時禁用了，不過系統(tǒng)重新啟動之后，該功能又會立即生效了。另外一種方法是永久性的，只要按照上面介紹的方法，停用“DNS Client”服務工作狀態(tài)即可。當然，一旦停用了DNS解析器緩存功能后，客戶機的總體性能會降低，同時DNS請求查詢的網(wǎng)絡通信量會增加，這可能會給上網(wǎng)瀏覽的速度造成一定的影響。三是將DNS服務器的TTL值修改得稍微小一些。依次單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行對話框中，執(zhí)行“regedit”命令，彈出注冊表編輯窗口，在該編輯窗口的左側(cè)列表中，依次 展 開“HKEY_LOCAL_MACHINESystemCurrent Control SetServicesTcpipParameters”注冊表分支（如圖2所示），從目標分支下面找到”DefaultTTL”鍵值（如果沒有找到可以自行創(chuàng)建），用鼠標雙擊該鍵值，在彈出的編輯對話框中我們可以將TTL值修改為“64”或“32”，再單擊“確定”按鈕，并刷新系統(tǒng)注冊表，這樣TTL數(shù)值就變小了！

第三，謹防非法訪問配置信息。要是單位網(wǎng)絡中部署了獨立的DNS服務器，那么在缺省狀態(tài)下，服務器配置信息會存儲在系統(tǒng)DNS文件夾中，還有一些配置會存儲在注冊表相關(guān)分支下。如果黑客自由訪問這些配置信息，同時對其隨意篡改的話，DNS服務安全性將不能得到保證。為了防止黑客非法訪問這些配置，可以先登錄DNS服務器所在主機系統(tǒng)，進入Windows資源管理器窗口，依次雙擊“WinNT”、“System32”、“DNS”文件夾圖標，打開“DNS”文件夾的右鍵菜單，點擊“安全”命令，切換到對應文件夾安全設置頁面，在這里只為合法可信用戶分配編輯調(diào)整權(quán)限，將其他人的操作權(quán)限全部取消即可。之后進入系統(tǒng)注冊表編輯界面，將鼠標定位到注冊表 分 支“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesDNS”上，打開目標分支選項的右鍵菜單，單擊“權(quán)限”命令，展開如圖3所示的權(quán)限調(diào)整對話框，在這里只保留合法可信用戶賬號，同時為對應賬號分配修改權(quán)限，這樣就能防止用戶通過注冊表修改DNS配置了。

第四，及時追蹤潛在安全隱患。要是能將DNS服務器的運行狀態(tài)信息自動追蹤記錄下來，日后有針對性地查詢、分析其中內(nèi)容，就可以在第一時間追蹤到DNS服務器中存在的潛在安全隱患。在缺省狀態(tài)下，DNS服務器的日志功能并沒有啟動運行，管理員只要在DNS服務器所在主機系統(tǒng)中，進行如下設置操作，就能成功啟用這項功能：首先以超級用戶身份登錄進入DNS服務器所在主機系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“DNS”命令，切換到DNS控制臺窗口，用鼠標選中DNS服務器主機名稱，同時用鼠標右擊之，單擊右鍵菜單中的“屬性”命令，切換到DNS服務器屬性設置對話框。接著點選“事件日志”選項卡，展開如圖4所示的選項設置頁面，在這里選中需要跟蹤記憶的狀態(tài)信息，確認后DNS服務器日后會將所有狀態(tài)信息自動存儲在系統(tǒng)日志文件中。當需要查詢分析日志內(nèi)容時，只要進入DNS服務器的事件查看器窗口，從中就能查詢到DNS各方面的狀態(tài)信息，例如DNS查詢、應答、發(fā)送、接收等方面的狀態(tài)信息等，依照這些信息，管理員基本就能判斷出DNS服務器的安全狀況了。

圖3 權(quán)限調(diào)整對話框

圖4 選項設置頁面

圖5 添加服務器對話框

讓DHCP服務更安全

首先強制進行域認證。為了防止授權(quán)DHCP服務器受到非授權(quán)DHCP服務器干擾，系統(tǒng)管理員可以通過域認證方式，確保終端計算機優(yōu)先從授權(quán)DHCP服務器那里獲得上網(wǎng)參數(shù)。在將合法、授權(quán)DHCP服務器添加到局域網(wǎng)指定域時，可以進行如下設置操作：首先以超級用戶身份登錄特定域控制器所在主機系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“DHCP”命令，彈出DHCP服務器控制臺窗口。在該界面左側(cè)顯示區(qū)域，用鼠標右擊本地主機名稱，點擊“添加服務器”命令，彈出如圖5所示的添加服務器對話框，按下“瀏覽”按鈕，從其后界面中選擇并導入合法授權(quán)的DHCP服務器所在主機名稱，也能在“此服務器”位置處直接輸入DHCP服務器主機地址，確認后保存設置操作。這樣，特定域中的網(wǎng)絡終端主機日后上網(wǎng)訪問時，就會優(yōu)先從授權(quán)的DHCP服務器那里獲取有效的上網(wǎng)地址。盡管這種方法保護效果很好，不過在組網(wǎng)規(guī)模不大的上網(wǎng)環(huán)境中，基本不會用到域工作模式，那么這種方法也就沒有實現(xiàn)的基礎(chǔ)。其實，現(xiàn)在局域網(wǎng)使用的交換機都支持網(wǎng)絡管理功能，我們可以在交換機后臺系統(tǒng)中，封殺非授權(quán)DHCP服務器使用的交換端口，讓其無法干擾合法DHCP服務器的正常工作。當然，這種方法需要想辦法找到非授權(quán)DHCP服務器使用的端口號碼。例如，某臺非授權(quán)DHCP服務器所在主機的IP地址為10.176.34.168，它 與 一 臺H3C系列的交換機相連，要找到它使用的交換端口號碼時，可以先在網(wǎng)絡中的一臺終端主機系統(tǒng)中，打開DOS命令行窗口，輸入“ping -a 10.176.34.168”命令，獲取它的計算機主機名稱。接著使用Arp命令，查詢對應主機使用的網(wǎng)卡MAC地址，也能到授權(quán)DHCP服務器系統(tǒng)中，查看緩存池中特定IP對應的MAC地址。弄清楚了MAC地址后，登錄交換機后臺系統(tǒng)，在系統(tǒng)全局模式狀態(tài)下，執(zhí)行“display mac”命令顯示所有MAC地址與交換機端口的對應關(guān)系。從顯示的對應關(guān)系列表中，我們就能準確定位到非授權(quán)DHCP服務器使用的端口號碼了，假設該端口號碼為“e0/36”。最后，使 用“interface e0/36”命令，進入對應交換端口視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行“shutdown”命令，就能將非授權(quán)DHCP服務器使用的端口封殺掉，這樣授權(quán)DHCP服務器就能安全、穩(wěn)定地工作了。

圖6 輸入保留名稱

其次，集中進行綁地址。在局域網(wǎng)中IP地址被盜用的現(xiàn)象非常頻繁，這種現(xiàn)象容易引起網(wǎng)絡運行不安全。為了避免IP地址被盜用，管理員不妨在DHCP服務器中，對特定網(wǎng)絡終端主機的IP地址和MAC地址進行集中捆綁。首先查詢終端地址。打開終端系統(tǒng)的運行對話框，輸入“cmd”命令并回車，展開DOS命令行窗口，在該窗口命令提示符狀態(tài)下執(zhí)行“ipconfig /all”命令，獲取計算機的IP地址和MAC地址。其次進行地址綁定。在DHCP服務器中進行地址綁定操作時，可以先進入DHCP服務器所在主機系統(tǒng)，在系統(tǒng)控制面板中逐一雙擊“管理工具”、“DHCP”圖標，切換到DHCP控制臺窗口，將鼠標定位到特定作用域節(jié)點下面的“保留”選項上，打開它的快捷菜單，點擊“新建保留”命令，在其后界面的“保留名稱”欄中（如圖6所示），輸入好特定IP地址的保留名稱，在“IP地址”欄中設置好特定計算機使用的IP地址，在“MAC地址”欄中輸入對應計算機的網(wǎng)卡物理地址，同時將“支持類型”參數(shù)設置為“兩者”選項，確認后完成特定計算機的地址綁定操作。同樣地，將其他終端計算機的IP和MAC地址也綁定起來。日后，局域網(wǎng)用戶即使搶用了重要網(wǎng)絡終端的IP地址，他們也無法通過該地址連接到局域網(wǎng)中，那么整個網(wǎng)絡運行自然就安全了。

圖7 特定端口視圖狀態(tài)

圖8 標簽頁面

第 三，開 啟DHCP監(jiān)聽功能。在局域網(wǎng)交換機支持DHCP監(jiān)聽功能的情況下，可以使用該功能控制普通用戶只允許對外發(fā)送DHCP數(shù)據(jù)包，同時自動丟棄來自該用戶端口的其他DHCP數(shù)據(jù)包，從而達到預防非法DHCP服務器干擾授權(quán)DHCP服務器目的。以H3C系列交換機為例，要開啟它的DHCP監(jiān)聽功能時，先以超級用戶身份登錄交換機后臺系統(tǒng)，使用“system-view”命 令，切換到全局視圖模式，輸入“dhcp-snooping”命令，開啟全局DHCP監(jiān)聽功能。這時，交換機就能對單位網(wǎng)絡中存在的所有DHCP數(shù)據(jù)報文進行自動偵聽，并限制非信任端口只能對外發(fā)送DHCP數(shù)據(jù)包，而不能發(fā)送其他DHCP數(shù)據(jù)包，日后即使有未授權(quán)DHCP服務器偷偷連接到單位網(wǎng)絡中，該功能將會自動對它進行屏蔽，確保局域網(wǎng)中的所有終端可以穩(wěn)定地從授權(quán)的DHCP服務器那里申請得到IP地址。要想讓交換機特定端口可以正常接收各類DHCP數(shù)據(jù)報文，同時對它們進行轉(zhuǎn)發(fā)時，還可以將指定交換端口配置成可信任端口。例如，想配置交換機上的G0/1/16端口成為合法交換端口時，只要先進入后臺系統(tǒng)的全局視圖模式，輸入“interface G0/1/16”命令，進入如圖7所示的特定端口視圖狀態(tài)，再執(zhí)行“dhcp-snooping trust”命令即可。日后，目標交換端口就可以任意接收或轉(zhuǎn)發(fā)所有DHCP數(shù)據(jù)包了。一般來說，當單位網(wǎng)絡中的DHCP中繼設備與交換機保持直接連接狀態(tài)時，只要互連端口處于Trunk模式，那么管理員就應該將該交換端口配置成合法端口。

讓WEB服務更安全

首先限制WEB訪問權(quán)限。正常情況下，非法用戶都是先竊取Web站點主目錄訪問權(quán)限，來破壞WEB服務運行安全的。為了避免這種現(xiàn)象發(fā)生，管理員有必要進入Web站點屬性設置框，嚴格限制站點主目錄訪問權(quán)限，具體操作步驟為：依次單擊“開始”、“設置”、“控制面板”，雙擊“管理工具”、“Internet服務管理器”等圖標，展開IIS控制臺界面。右擊Web站點名稱，點選右鍵菜單中的“屬性”命令，選擇指定站點屬性設置框中的“目錄安全性”標簽，進入如圖8所示的標簽頁面，按下“匿名訪問和身份驗證控制”旁的“編輯”按鈕，在其后頁面中導入安全可信的用戶賬號，并將其他用戶賬號依次刪除掉。之后切換到“主目錄”標簽頁面，在“應用程序設置”位置處單擊“配置”按鈕，選中與ASPX相關(guān)的功能選項。進入系統(tǒng)資源管理器窗口，從中找到WEB站點所用根目錄，打開它的右鍵菜單，選擇“屬性”命令，進入“安全”標簽頁面，逐一刪除這里的所有陌生用戶賬號，將合法可信的用戶賬號導入進來，并為它們設置好合適的訪問權(quán)限，確認后保存設置操作。

其次，攔截SQL注入攻擊。所有的SQL注入都是從訪問者輸入開始的，如果Web站點對所有用戶輸入進行了判定和過濾，那么就能有效防止SQL注入攻擊了。如果Web站點是用戶自行編寫代碼開發(fā)設計的，那就必須要對類似request.form 、request.qurrystring這些get或post請求中的參數(shù)信息進行過濾和修改，保證要過濾掉#、%、select這樣的非法字符。倘若Web站點是通過動易等免費代碼開發(fā)設計的，它們一般都有預防SQL注入功能，只要手工啟動運行這類功能，就能有效攔截SQL注入攻擊了。

第三，加強Web身份驗證。進入Web站點的目錄安全選項設置頁面，單擊“安全通信”處的“編輯”按鈕，將“要求安全通道(SSL)”、“要求128位加密”等選項依次選中，在“身份驗證和訪問控制”位置處按“編輯”按鈕，將“啟用匿名訪問”、“集成Windows身份驗證”這些選項的選中狀態(tài)全部取消，再將“基本身份驗證”選中即可。