1. 如何訪問區域網中的ftp
外網訪問內網首先伺服器必須影射到外網地址才可以訪問,如果你的地址是內網的,外網無法訪問,必須登錄路由器映射IP和埠。FTP的埠和外網埠設置也必須一樣,FTP默認21埠,在路由的埠映射里,添加你的IP,也就是192.168.1.100,而埠填21。
1.在內網安裝nat123軟體。
2.啟用nat123。添加埠映射。選擇自己需要內網發布到外網的應用。如網站應用80埠映射,或其他,或全埠映射所有應用。可以使用自己的頂級域名,或直接使用默認提示的二級域名。
3.域名映射後,用域名訪問即可以了哦。就是這么簡單實現外網訪問內網。
2. FTP的防範與攻擊如何實現
------------------------FTP安全考慮—RFC2577----------------------------------
1.簡介
文件傳輸協議規范(FTP)[PR85]提供了一種允許客戶端建立FTP控制連接並在兩台
FTP伺服器間傳輸文件的機制。這種「代理FTP」機制可以用來減少網路的流量,客戶端命
令一台伺服器傳輸文件給另一台伺服器,而不是從第一台伺服器傳輸文件給客戶端,然後從
客戶端再傳輸給第二台伺服器。當客戶端連接到網路的速度特別慢時,這是非常有用的。但
同時,代理FTP還帶來了一個安全問題——「跳轉攻擊(bounce attack)」[CERT97:27]。除
了「跳轉攻擊」,FTP伺服器還可以被攻擊者通過強力來猜測密碼。
本文檔並不考慮當FTP和一些強壯的安全協議(比如IP安全)聯合使用的情況。雖然
這些安全關注並不在本文檔的考慮范圍內,但是它們也應該被寫成文檔。
本文給FTP伺服器的實現者和系統管理員提供了一些信息,如下所示。第二章描述了
FTP「跳轉攻擊」。第三章提供了減少「跳轉攻擊」的建議。第四章給基於網路地址限制訪
問的伺服器提供了建議。第五章提供了限制客戶端強力「猜測密碼」的建議。接著,第六章
簡單的討論了改善保密性的機制。第七章給出了阻止猜測用戶身份的機制。第八章討論了端
口盜用。最後,第九章討論了其它跟軟體漏洞有關而跟協議本身無關的FTP安全問題。
2.跳轉攻擊(Bounce Attack)
RFC959[PR85]中規定的FTP規范提供了一種攻擊知名網路伺服器的一種方法,並且使
攻擊者很難被跟蹤。攻擊者發送一個FTP"PORT"命令給目標FTP伺服器,其中包含該主機
的網路地址和被攻擊的服務的埠號。這樣,客戶端就能命令FTP伺服器發一個文件給被
攻擊的服務。這個文件可能包括根被攻擊的服務有關的命令(如SMTP,NNTP等)。由於是
命令第三方去連接到一種服務,而不是直接連接,就使得跟蹤攻擊者變得困難,並且還避開
了基於網路地址的訪問限制。
例如,客戶端上載包含SMTP命令的報文到FTP伺服器。然後,使用正確的PORT命
令,客戶端命令伺服器打開一個連接給第三方機器的SMTP埠。最後,客戶端命令服務
器傳輸剛才上載的包含SMTP命令的報文給第三方機器。這就使得客戶端不建立任何直接
的連接而在第三方機器上偽造郵件,並且很難跟蹤到這個攻擊者。
3.避免跳轉攻擊
原來的FTP規范[PR85]假定使用TCP進行數據鏈接,TCP埠號從0到1023時報留給
一些眾所周知的服務的,比如郵件,網路新聞和FTP控制鏈接。FTP規范對數據鏈接沒有
限制TCP埠號。因此,使用代理FTP,客戶端就可以命令伺服器去攻擊任何機器上眾所
周知的服務。
為了避免跳轉攻擊,伺服器最好不要打開數據鏈接到小於1024的TCP埠號。如果服
務器收到一個TCP埠號小於1024的PORT命令,那麼可以返回消息504(對這種參數命
令不能實現)。但要注意這樣遺留下那些不知名服務(埠號大於1023)易受攻擊。
一些建議(例如[AOM98]和[Pis94])提供了允許使用除了TCP以外的其他傳輸協議來
建立數據連接的機制。當使用這些協議時,同樣要注意採用類似的防範措施來保護眾所周知
的服務。
另外,我們注意到跳轉攻擊一般需要攻擊者首先上載一個報文到FTP伺服器然後再下
載到准備攻擊的服務埠上。使用適當的文件保護措施就可以阻止這種情況發生。然而攻擊
者也可能通過從遠程FTP伺服器發送一些能破壞某些服務的數據來攻擊它。
禁止使用PORT命令也是避免跳轉攻擊的一種方法。大多數文件傳輸可以僅通過PASV
命令來實現。但這樣做的缺點就是喪失了使用代理FTP的能力,當然代理FTP並不是在所
有場合都需要的。
4.受限制的訪問
一些FTP伺服器希望有基於網路地址的訪問控制。例如,伺服器可能希望限制來自某
些地點的對某些文件的訪問(例如為了某些文件不被傳送到組織以外)。在這種情況下,服
務器在發送受限制的文件之前應該首先確保遠程主機的網路地址在本組織的范圍內,不管是
控制連接還是數據連接。通過檢查這兩個連接,伺服器就被保護避免了這種情況:控制連接
用一台可信任的主機連接而數據連接不是。同樣的,客戶也應該在接受監聽模式下的開放端
口連接後檢察遠程主機的IP地址,以確保連接是由所期望的伺服器建立的。
注意,基於網路地址的受限訪問留下了FTP伺服器易受「地址盜用(spoof)」攻擊。在
spoof攻擊中,攻擊機器可以冒用在組織內的機器的網路地址,從而將文件下載到在組織之
外的未授權的機器上。只要可能,就應該使用安全鑒別機制,比如在[HL97]中列出的安全鑒
別機制。
5.保護密碼
為了減少通過FTP伺服器進行強力密碼猜測攻擊的風險,建議伺服器限制嘗試發送正
確的密碼的次數。在幾次嘗試(3~5次)後,伺服器應該結束和該客戶的控制連接。在結束
控制連接以前,伺服器必須給客戶端發送一個返回碼421(「服務不可用,關閉控制連接」
[PR85])。另外,伺服器在相應無效的「PASS」命令之前應暫停幾秒來消減強力攻擊的有效
性。若可能的話,目標操作系統提供的機制可以用來完成上述建議。
攻擊者可能通過與伺服器建立多個、並行的控制連接破壞上述的機制。為了搏擊多個並
行控制連接的使用,伺服器可以限制控制連接的最大數目,或探查會話中的可疑行為並在以
後拒絕該站點的連接請求。然而上述兩種措施又引入了「服務否決」攻擊,攻擊者可以故意
的禁止有效用戶的訪問。
標准FTP[PR85]在明文文本中使用「PASS」命令發送密碼。建議FTP客戶端和伺服器
端使用備用的鑒別機制,這種鑒別機制不會遭受竊聽。比如,IETF公共鑒別技術工作組開
發的機制[HL97]。
6.私密性
在FTP標准中[PR85]中,所有在網路上被傳送的數據和控制信息(包括密碼)都未被
加密。為了保障FTP傳輸數據的私密性,應盡可能使用強壯的加密系統。在[HL97]中定義
了一個這樣的機制。
7.保護用戶名
當「USER」命令中的用戶名被拒絕時,在FTP標准中[PR85]中定義了相應的返回碼530。
而當用戶名是有效的但卻需要密碼,FTP將使用返回碼331。為了避免惡意的客戶利用USER
操作返回的碼確定一個用戶名是否有效,建議伺服器對USER命令始終返回331,然後拒絕
對無效用戶名合並用戶名和密碼。
8.埠盜用
許多操作系統以遞增的順序動態的分配埠號。通過合法的傳輸,攻擊者能夠觀察當前
由伺服器端分配的埠號,並「猜」出下一個即將使用的埠號。攻擊者可以與這個埠建
立連接,然後就剝奪了下一個合法用戶進行傳輸的能力。或者,攻擊者可以盜取給合法用戶
的文件。另外,攻擊者還可能在從授權用戶發出的數據流中插入偽造的文件。通過使FTP
客戶和伺服器隨機的給數據連接分配埠號,或者要求操作系統隨機分配埠號,或者使用
與系統無關的機制都可以減少埠盜用的發生。
9.基於軟體的安全問題
本文檔的重點是和協議相關的安全問題。另外還有一些成文的FTP安全問題是由於不
完善的FTP實現造成的。雖然這種類型的問題的細節超出本文檔的范圍,還是有必要指出
以下那些過去曾被誤用,今後的實現應該慎重考慮的FTP特性。
? 匿名FTP
匿名FTP服務使客戶端用最少的證明連接到FTP伺服器分享公共文件。如果這樣的用
戶能夠讀系統上所有的文件或者能建立文件,那麼問題就產生了。[CERT92:09] [CERT93:06]
? 執行遠程命令
FTP擴展命令"SITE EXEC"允許客戶端執行伺服器上任意的命令。這種特性顯然需要非
常小心的實現。已經有幾個成文的例子說明攻擊者利用FTP「SITE EXEC」命令可以破壞服
務器的安全性。[CERT94:08] [CERT95:16]
? 調試代碼
前面的一些跟FTP有關危及安全的問題是由於置入了調試特性的軟體造成的。
[CERT88:01]
本文建議有這些功能的FTP伺服器的實現者在發布軟體之前參閱所有的CERT有關這
些問題的攻擊以及類似機制的忠告。
10.結論
使用以上建議可以減少和FTP伺服器有關的安全問題的發生,而不用刪除其功能。
3. 免費有一個自己的FTP伺服器,互聯網都可以訪問的
FTP就是用來上傳網站程序的空間,是一般我們用來安裝源碼程序和管理源碼程序的傳輸工具。平時經常用到。
iis7遠程桌面管理軟體,是一款綠色小巧,功能實用的FTP工具軟體,其界面簡潔,操作方便,它支持FTP批量上傳下載,它可以同時連接多台ftp伺服器進行文件傳輸工作,還可以在線解壓縮文件,支持文件查找,在線編輯等功能。同時它還能夠同時遠程操作多台伺服器,並且多台伺服器間可以自由切換,適合機房管理、站長、運維工作、程序員使用。
4. 自行車ftp多少算入門
24或21速就算入門級別的,FTP是功能性臨界功率 FTP的定義是你現在一小時能產生的最大平均功率,用經驗公式可以使用CP20來計算FTP。
5. 如何知道程序使用的埠號范圍
一樓的方法最簡單
如果你懂的話 看看這個 很有幫助
埠號從1---65535
應用協議 埠號/協議 說明
ftp-data 20/tcp FTP, data
ftp 21/tcp FTP. control
telnet 23/tcp
smtp 25/tcp Simple Mail Transfer Protocol
time 37/tcp timserver
time 37/udp timserver
domain 53/tcp DNS
domain 53/udp Domain Name Server
tftp 69/udp Trivial File Transfer
gopher 70/tcp
http 80/tcp www-http World Wide Web
pop3 110/tcp Post Office Protocol-Version 3
nntp 119/tcp Network News Transfer Protocol
netbios-ns 137/tcp NETBIOS Name Service
netbios-ns 137/udp NETBIOS Name Service
netbios-dgm 138/udp NETBIOS Datagram Service
netbios-ssn 139/tcp NETBIOS Session Service
IMAP 143/tcp Internet Message Access Protocol
SNMP 161/udp SNMP
SNMP trap 162/udp SNMP trap
irc(聊天工具) 194/tcp Internet Relay Chat Protocol
ipx 213/udp IPX over IP
ldap 389/tcp Lightweight Directory Access Protocol
https 443/tcp
https 443/udp
uucp 540/tcp
ldaps 636/tcp LDAP over TLS/SSL
doom 666/tcp Doom Id Software
doom 666/udp Doom Id Software
phone 1167/udp Conference calling
ms-sql-s 1433/tcp Microsoft-SQL-Server
ms-sql-s 1433/udp Microsoft-SQL-Server
ms-sql-m 1434/tcp Microsoft-SQL-Monitor
ms-sql-m 1434/udp Microsoft-SQL-Monitor
mysql 3306
php 3307
wins 1512/tcp Microsoft Windows Internet Name Service
wins 1512/udp Microsoft Windows Internet Name Service
l2tp 1701/udp Layer Two Tunneling Protocol
H.323/H.225 TCP 1720
H.225 是由 ITU-T 定義的 H.323 VOIP 體系結構中的一種主要協議,是 H.200/AV.120-Series Recommendations 中包含窄帶視頻電話服務的一種標准。它主要處理傳輸路徑問題,包括一個或多個網路包,其中的配置和管理提供不擔保服務質量 QoS,這一點無法與 N-ISDN 等同起來,其附加保護或恢復機制遠遠超出了由 Rec 委託代理的功能。對於終端而言,H.320 是非常必要的。H.225 描述了如何操作網路包上的視頻、音頻、數據和控制信息使其提供 H.323 裝備會話服務。H.225 主要有兩個部分:呼叫信令和 RAS (注冊、接入允許和狀態)。
H.225 的呼叫控制信令是用來建立 H.323 終點連接,這是通過在呼叫信令信道上交換 H.225 協議信息實現的。該呼叫信令信道可以位於兩 H.323 終點之間也可以位於終點和關守之間。H.225 詳細定義了 Q.931 信令信息的使用和支持。在 IP 網路的 TCP 埠1720需要創建一個可靠的 TCP 呼叫控制信道,該埠完成 Q.931 呼叫控制信息的初始化,從而實現連接、維持和呼叫分離功能。當網路域中存在一個網關時,H.225 呼叫安裝信息可能通過直接呼叫信令也可能通過關守路由呼叫信令 GKRCS 而交換。關守用來決定 RAS 接入信息交換的選擇方式。一旦有了關守,H.225 信息可以在終點之間直接進行交換。
H.225/RAS(注冊、接入允許和狀態)是位於終點和關守之間的協議。RAS 主要用來實現終點和關守之間的注冊、接入允許控制、帶寬轉換、狀態和拆除程序等操作。一個 RAS 信道主要用來交換 RAS 信息,在其它任何信道建立之前,該信令信道位於一個終點和一個關守之間。
QICQ 4000/udp
QICQ 8000/udp
QQ 1080/UDP Socks 代理
《木馬的常用連接埠》
木馬類軟體常用的連接埠,如tcp135、139、445、3389、5000等,我們稱為敏感埠,另外「冰河」常用7626埠、「廣外女生」常用6267埠。
\\在許多「網管」眼裡,135埠是最讓人捉摸不透的埠,因為他們中的大多數都無法明確地了解到135埠的真正作用,也不清楚該埠到底會有哪些潛在的危險。直到一種名為「IEen」的專業遠程式控制制工具出現,人們才清楚135埠究竟會有什麼樣的潛在安全威脅。
HSRP消息封裝在用戶數據報協議(UDP)數據包中的數據部分,使用UDP埠號1985
主機名字伺服器(nameserver)埠號是42
《VPN使用埠:》
l2tp 1701/udp #Layer Two Tunneling Protocol
pptp 1723/tcp #Point-to-point tunnelling protocol
《遠程式控制制軟體pcAnywhere使用的埠》它的「被控端」使用2個埠,數據埠(5631)和狀態埠(5632)。
6. 85中用ACL設置FTP訪問不成功,請教高手,急等!
85哪個埠的in方向?3300是什麼,你的問題不夠清晰。你用的H3C?
如果你在伺服器介面的in方向加策略,那就錯了,因為伺服器在反饋服務請求的時候,它是不會用FTP的埠回復的,而是隨機埠;正確的做法是在連接伺服器埠的out方向加策略允許其他網段訪問該伺服器的FTP埠,華為的命令不熟,大體意思是這樣的,你自己翻翻資料吧
in方向是不行的,因為in方向是指從伺服器發出的數據包,這樣,它的埠號不是ftp的20、21,而是一個隨機的埠號,如果華為的交換機只有in方向的訪問控制列表的話,你可以把列表放在交換機上聯介面的in方向上。
7. 各個埠都代表什麼意思
按照埠號的大小分類,可分為如下幾類 :
(1)公認埠(WellKnownPorts):從0到1023,它們緊密綁定(binding)於一些服務。通常這些埠的通訊明確表明了某種服務的協議。例如:80埠實際上總是HTTP通訊。
(2)注冊埠(RegisteredPorts):從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些埠,這些埠同樣用於許多其它目的。例如:許多系統處理動態埠從1024左右開始。
(3)動態和/或私有埠(Dynamicand/orPrivatePorts):從49152到65535。理論上,不應為服務分配這些埠。實際上,機器通常從1024起分配動態埠。但也有例外:SUN的RPC埠從32768開始。
(7)ftp85ras擴展閱讀
各種服務常用埠號:
1,HTTP協議代理伺服器常用埠號:80/8080/3128/8081/9098
2,SOCKS代理協議伺服器常用埠號:1080
3,FTP(文件傳輸)協議代理伺服器常用埠號:21
4,Telnet(遠程登錄)協議代理伺服器常用埠號:23
5,HTTP伺服器,默認埠號為80/tcp(木馬Executor開放此埠)
6,HTTPS(securely transferring web pages)伺服器,默認埠號為443/tcp 443/udp
7,Telnet(不安全的文本傳送),默認埠號為23/tcp(木馬Tiny Telnet Server所開放的埠)
8,FTP,默認的埠號為21/tcp(木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠)
9,TFTP(Trivial File Transfer Protocol),默認埠號為69/udp
10,SSH(安全登錄)、SCP(文件傳輸)、埠號重定向,默認的埠號為22/tcp
11,SMTP Simple Mail Transfer Protocol(E-mail),默認埠號為25/tcp(木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠)
12,POP3 Post Office Protocol(E-mail),默認埠號為110/tcp
13,Webshpere應用程序,默認埠號為9080
14,webshpere管理工具,默認埠號9090
15,JBOSS,默認埠號為8080
16,TOMCAT,默認埠號為8080
17,WIN2003遠程登錄,默認埠號為3389
18,Symantec AV/Filter for MSE,默認埠號為 8081
19,Oracle 資料庫,默認的埠號為1521
20,ORACLE EMCTL,默認的埠號為1158
21,Oracle XDB(XML 資料庫),默認的埠號為8080
22,Oracle XDB FTP服務,默認的埠號為2100
23,MS SQL*SERVER資料庫server,默認的埠號為1433/tcp 1433/udp
24,MS SQL*SERVER資料庫monitor,默認的埠號為1434/tcp 1434/udp
8. 打開ftp桌面快捷方式,窗口瘋閃是怎麼回事,如何解決
電腦桌面圖標一直閃可能存在以下問題:
1、圖標緩存出了問題,因為圖標 的數據是以鏈接的形式存放在緩存區域中的,如果鏈表中每個元素的開始與結束位置發生了變化,那麼就會出現這種情況。 :碰上這個故障可以通過手動重置圖標緩存來解決。首先右擊桌面空白處選擇「屬性」,切換到「外觀」選項卡,點 ,在「項目」框的下拉列表中選擇「圖標」,改變一下圖標 的大小,然後再變回原設置即可。這樣系統就會自動清空並重建緩存中的數據。
2、F5 新快捷方式 確認無木馬病 ,問題肯定出在硬體鍵盤的某一鍵上了。鍵盤是否有進水或受潮導致間接的導通。 按下F5後和你說的情況很相似。
3、系統正常 新一下,沒什麼特殊的,如果你不動,他就 新才有問題,可能是中木馬了,有人在動你的機器。建議你用360掃描下。
4、只要重裝一次顯卡驅動就可以了,如果電腦 比較久的話,建議 一下主板電容是不是穩定;
5、出現這種現象的原因很多,首先請確定 新頻率是設定在85Hz以上;另外,環境干擾、顯示器或顯卡有問題都可能導致顯示器閃爍,請 一下使用環境是否存在電磁干擾現象,如顯示器是否與音箱、 、冰箱等其它電器設備靠得太近,你可以清理一下顯示器後面的電源線或把顯示器換換方位;另外還可能與市電不穩定有關,建議將該顯示器換到別的地方試用。當然出可能是顯卡的問題,最好能換一塊顯卡試試。如果問題仍存在,則可以肯定是顯示器本身的問題,如抗干擾電路出現故障、顯示器內部電子原件虛焊等都有可能導致顯示器出現閃爍現象。如果閃爍比較嚴重,建議你盡快送修。
6、是不是不小心按到新鍵選項了。
9. 專業FTP伺服器怎樣日常維護
硬體維護
1、儲存設備的擴充
當資源不斷擴展的時候,伺服器就需要更多的內存和硬碟容量來儲存這些資源。所以,內存和硬碟的擴充是很常見的。增加內存前需要認定與伺服器原有的內存的兼容性,最好是同一品牌的規格的內存。如果是伺服器專用的ECC內存,則必須選用相同的內存,普通的SDRAM內存與ECC內存在同一台伺服器上使用很可能會引起統嚴重出錯。在增加硬碟以前,需要認定伺服器是否有空餘的硬碟支架、硬碟介面和電源介面,還有主板是否支持這種容量的硬碟。尤其需要注意,防止買來了設備卻無法使用。
2、設備的卸載和更換
卸載和更換設備時的問題不大,需要注意的是有許多品牌伺服器機箱的設計比較特殊,需要特殊的工具或機關才能打開,在卸機箱蓋的時候,需要仔細看說明書,不要強行拆卸。另外,必須在完全斷電、伺服器接地良好的情況下進行,即使是支持熱插拔的設備也是如此,以防止靜電對設備造成損壞。
3、除塵
塵土是伺服器最大的殺手,因此需要定期給伺服器除塵。對於伺服器來說,灰塵甚至是致命的。除塵方法與普通PC除塵方法相同,尤其要注意的是電源的除塵。
軟體維護
1、操作系統的維護
操作系統是伺服器運行的軟體基礎,其重要性不言自明。多數伺服器操作系統使用Windows NT或Windows 2000 Server作為操作系統,維護起來還是比較容易的。
在Windows NT或Windows 2000 Server打開事件查看器,在系統日誌、安全日誌和應用程序日誌中查看有沒有特別異常的記錄。現在網上的黑客越來越多了,因此需要到微軟的網站上下載最新的Service Pack(升級服務包)安裝上,將安全漏洞及時補上。
2、網路服務的維護
網路服務有很多,如WWW服務、DNS服務、DHCP服務、SMTP服務、FTP服務等,隨著伺服器提供的服務越來越多,系統也容易混亂,此時可能需要重新設定各個服務的參數,使之正常運行。
3、資料庫服務
資料庫經過長期的運行,需要調整資料庫性能,使之進入最優化狀態。資料庫中的數據是最重要的,這些資料庫如果丟失,損失是巨大的,因此需要定期來備份資料庫,以防萬一。
4、用戶數據
經過頻繁使用,伺服器可能存放了大量的數據。這些數據是非常寶貴的資源,所以需要加以整理,並刻成光碟永久保存起來,即使伺服器有故障,也能恢復數據。
不可能在一篇文章中談遍電腦安全問題,畢竟,市面上的已有許多這方面的書籍,不過,我倒是可以告訴你七個維護伺服器安全的技巧。
技巧一:從基本做起
從基本做起是最保險的方式。你必須將伺服器上含有機密數據的區域通通轉換成NTFS格式;同理,防毒程序也必須按時更新。建議同時在伺服器和桌面電腦上安裝防毒軟體。這些軟體還應該設定成每天自動下載最新的病毒定義文件。另外,Exchange Server(郵件伺服器)也應該安裝防毒軟體,這類軟體可掃描所有寄進來的電子郵件,尋找被病毒感染的附件,若發現病毒,郵件馬上會被隔離,減低使用者被感染的機會。
另一個保護網路的好方法是依員工上班時間來限定使用者登錄網路的許可權。例如,上白天班的員工不該有許可權在三更半夜登錄網路。
最後,存取網路上的任何數據皆須通過密碼登錄。強迫大家在設定密碼時,必須混用大小寫字母、數字和特殊字元。在Windows NT Server Resource Kit里就有這樣的工具軟體。你還應該設定定期更新密碼,且密碼長度不得少於八個字元。若你已經做了這些措施,但還是擔心密碼不安全,你可以試試從網路下載一些黑客工具,然後測試一下這些密碼到底有多安全。
技巧二:保護備份
大多數人都沒有意識到,備份本身就是一個巨大的安全漏洞,怎麼說呢?試想,大多數的備份工作多在晚上10點或11點開始,依數據多寡,備份完成後大概也是夜半時分了。現在,想像一下,現在是凌晨四點,備份工作已經結束。有心人士正好可趁此時偷走備份磁碟,並在自己家中或是你競爭對手辦公室里的伺服器上恢復。不過,你可以阻止這種事情發生。首先,你可利用密碼保護你的磁碟,若你的備份程序支持加密功能,你還可以將數據進行加密。其次,你可以將備份完成的時間定在你早上進辦公室的時間,這樣的話,即使有人半夜想溜進來偷走磁碟的話也無法了,因為磁碟正在使用中;如果竊賊強行把磁碟拿走,他一樣無法讀取那些損毀的數據。
技巧三:使用RAS的回撥功能
Windows NT最酷的功能之一就是支持伺服器遠端存取(RAS),不幸的是,RAS伺服器對黑客來說實在太方便了,他們只需要一個電話號碼、一點耐心,然後就能通過RAS進入主機。不過你可以採取一些方法來保護RAS伺服器的安全。
你所採用的技術主要端賴於遠端存取者的工作方式。如果遠端用戶經常是從家裡或是固定的地方上網,建議你使用回撥功能,它允許遠端用戶登錄後即掛斷,然後RAS伺服器會撥出預設的電話號碼接通用戶,因為此一電話號碼已經預先在程序中了,黑客也就沒有機會指定伺服器回撥的號碼了。
另一個辦法是限定遠端用戶只能存取單一伺服器。你可以將用戶經常使用到的數據復制到RAS伺服器的一個特殊共用點上,再將遠端用戶的登錄限制在一台伺服器上,而非整個網路。如此一來,即使黑客入侵主機,他們也只能在單一機器上作怪,間接達到減少破壞的程度。
最後還有一個技巧就是在RAS伺服器上使用「另類」網路協議。很都以TCP/IP協議當作RAS協議。利用TCP/IP協議本身的性質與接受程度,如此選擇相當合理,但是RAS還支持IPX/SPX和NetBEUI協議,如果你使用NetBEUI當作RAS協議,黑客若一時不察鐵定會被搞得暈頭轉向。
技巧四:考慮工作站的安全問題
在伺服器安全的文章里提及工作站安全感覺似乎不太搭邊,但是,工作站正是進入伺服器的大門,加強工作站的安全能夠提高整體網路的安全性。對於初學者,建議在所有工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統,如果你沒有Windows 2000,那至少使用Windows NT。如此你便能將工作站鎖定,若沒有許可權,一般人將很難取得網路配置信息。
另一個技巧是限制使用者只能從特定工作站登錄。還有一招是將工作站當作簡易型的終端機(mb terminal)或者說,智慧型的簡易終端機。換言之,工作站上不會存有任何數據或軟體,當你將電腦當作mb terminal使用時,伺服器必須執行Windows NT 終端服務程序,而且所有應用程序都只在伺服器上運作,工作站只能被動接收並顯示數據而已。這意味著工作站上只有安裝最少的Windows版本,和一份微軟Terminal Server Client。這種方法應該是最安全的網路設計方案。
技巧五:執行最新修補程序
微軟內部有一組人力專門檢查並修補安全漏洞,這些修補程序(補丁)有時會被收集成service pack(服務包)發布。服務包通常有兩種不同版本:一個任何人都可以使用的40位的版本,另一個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密演算法,比40位的版本要安全得多。
一個服務包有時得等上好幾個月才發行一次,但要是有嚴重點的漏洞被發現,你當然希望立即進行修補,不想苦等姍姍來遲的服務包。好在你並不需要等待,微軟會定期將重要的修補程序發布在它的FTP站上,這些最新修補程序都尚未收錄到最新一版的服務包里,我建議你經常去看看最新修補程序,記住,修補程序一定要按時間順序來使用,若使用錯亂的話,可能導致一些文件的版本錯誤,也可能造成Windows當機。
技巧六:頒布嚴格的安全政策
另一個提高安全性的方式就是制定一強有力的安全策略,確保每一個人都了解,並強制執行。若你使用Windows 2000 Server,你可以將部分許可權授權給特定代理人,而無須將全部的網管權利交出。即使你核定代理人某些許可權,你依然可縣制其許可權大小,例如無法開設新的使用者帳號,或改變許可權等。
技巧七:防火牆,檢查,再檢查
最後一個技巧是仔細檢查防火牆的設置。防火牆是網路規劃中很重要的一部份,因為它能使公司電腦不受外界惡意破壞。
首先,不要公布非必要的IP地址。你至少要有一個對外的IP地址,所有的網路通訊都必須經由此地址。如果你還有DNS注冊的Web伺服器或是電子郵件伺服器,這些IP地址也要穿過防火牆對外公布。但是,工作站和其他伺服器的IP地址則必須隱藏。
你還可以查看所有的通訊埠,確定不常用的已經全數關閉。例如,TCP/IP port 80是用於HTTP流量,因此不能堵掉這個埠,也許port 81應該永遠都用不著吧,所以就應該關掉。你可以在網路上查到每個埠的詳細用途。
伺服器安全問題是個大議題,你總不希望重要數據遭病毒/黑客損毀,或被人偷走做為不利你的用途,本文介紹了7個重要的安全檢查關卡,你不妨試試看。