如今許多中小用戶因業(yè)務(wù)發(fā)展，不斷更新或升級網(wǎng)絡(luò)，從而造成自身用戶環(huán)境差異較大，整個網(wǎng)絡(luò)系統(tǒng)平臺參差不齊，服務(wù)器端大多采用 Linux系統(tǒng)的，而PC端使用Windows系統(tǒng)。所以在企業(yè)應(yīng)用中往往是Linux/Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。中小企業(yè)由于缺少經(jīng)驗(yàn)豐富的Linux網(wǎng)絡(luò)管理員和安全產(chǎn)品采購資金，所以對于網(wǎng)絡(luò)安全經(jīng)常缺乏缺乏全面的考慮。筆者將從服務(wù)器安全和網(wǎng)絡(luò)設(shè)備的安全等來解決企業(yè)的煩惱。

一、服務(wù)器安全：

1. 關(guān)閉無用的端口

任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實(shí)現(xiàn)的。如果我們盡可能少地開放端口，就使網(wǎng)絡(luò)攻擊變成無源之水，從而大大減少了攻擊者成功的機(jī)會。

首先檢查你的inetd.conf文件。inetd在某些端口上守侯，準(zhǔn)備為你提供必要的服務(wù)。如果某人開發(fā)出一個特殊的inetd守護(hù)程序，這里就存在一個安全隱患。你應(yīng)當(dāng)在inetd.conf文件中注釋掉那些永不會用到的服務(wù)(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。注釋除非絕對需要，你一定要注釋掉rsh、rlogin和rexec，而telnet建議你使用更為安全的ssh來代替，然后殺掉lnetd進(jìn)程。這樣inetd不再監(jiān)控你機(jī)器上的守護(hù)程序，從而杜絕有人利用它來竊取你的應(yīng)用端口。你最好是下載一個端口掃描程序掃描你的系統(tǒng)，如果發(fā)現(xiàn)有你不知道的開放端口，馬上找到正使用它的進(jìn)程，從而判斷是否關(guān)閉它們。

2. 刪除不用的軟件包

在進(jìn)行系統(tǒng)規(guī)劃時，總的原則是將不需要的服務(wù)一律去掉。默認(rèn)的Linux就是一個強(qiáng)大的系統(tǒng)，運(yùn)行了很多的服務(wù)。但有許多服務(wù)是不需要的，很容易引起安全風(fēng)險。這個文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd將要監(jiān)聽的服務(wù)，你可能只需要其中的兩個：telnet和ftp，其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、 auth 等，除非你真的想用它，否則統(tǒng)統(tǒng)關(guān)閉。

3. 不設(shè)置缺省路由

在主機(jī)中，應(yīng)該嚴(yán)格禁止設(shè)置缺省路由，即default route。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由，否則其它機(jī)器就可能通過一定方式訪問該主機(jī)

4. 口令管理

口令的長度一般不要少于8個字符，口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合，嚴(yán)格避免用英語單詞或詞組等設(shè)置口令，而且各用戶的口令應(yīng)該養(yǎng)成定期更換的習(xí)慣。另外，口令的保護(hù)還涉及到對/etc/passwd和/etc/shadow文件的保護(hù)，必須做到只有系統(tǒng)管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現(xiàn)在馬上安裝。如果你是系統(tǒng)管理員，你的系統(tǒng)中又沒有安裝口令過濾工具，請你馬上檢查所有用戶的口令是否能被窮盡搜索到，即對你的/ect/passwd文件實(shí)施窮盡搜索攻擊。

5. 分區(qū)管理

一個潛在的攻擊，它首先就會嘗試緩沖區(qū)溢出。在過去的幾年中，以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴(yán)重的是，緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個匿名的Internet用戶有機(jī)會獲得一臺主機(jī)的部分或全部的控制權(quán)!

為了防止此類攻擊，我們從安裝系統(tǒng)時就應(yīng)該注意。如果用root分區(qū)記錄數(shù)據(jù)，如log文件，就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件，從而導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨(dú)的分區(qū)，用來存放日志和郵件，以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個分區(qū)，特別是可以產(chǎn)生大量日志的程序，還建議為/home單獨(dú)分一個區(qū)，這樣他們就不能填滿/分區(qū)了，從而就避免了部分針對Linux分區(qū)溢出的惡意攻擊。

6. 防范網(wǎng)絡(luò)嗅探：

嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它工作的時候就像一部被動聲納，默默的接收看來自網(wǎng)絡(luò)的各種信息，通過對這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出網(wǎng)絡(luò)中的漏洞。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。對于一個安全性能要求很嚴(yán)格的企業(yè)，同時使用安全的拓?fù)浣Y(jié)構(gòu)、會話加密、使用靜態(tài)的ARP地址是有必要的。

7. 完整的日志管理

日志文件時刻為你記錄著你的系統(tǒng)的運(yùn)行情況。當(dāng)黑客光臨時，也不能逃脫日志的法眼。所以黑客往往在攻擊時修改日志文件，來隱藏蹤跡。因此我們要限制對/var/log文件的訪問，禁止一般權(quán)限的用戶去查看日志文件。

另外，我們還可以安裝一個icmp/tcp日志管理程序，如iplogger，來觀察那些可疑的多次的連接嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機(jī)的登錄。

完整的日志管理要包括網(wǎng)絡(luò)數(shù)據(jù)的正確性、有效性、合法性。對日志文件的分析還可以預(yù)防入侵。例如、某一個用戶幾小時內(nèi)的20次的注冊失敗記錄，很可能是入侵者正在嘗試該用戶的口令。

8. 終止正進(jìn)行的攻擊

假如你在檢查日志文件時，發(fā)現(xiàn)了一個用戶從你未知的主機(jī)登錄，而且你確定此用戶在這臺主機(jī)上沒有賬號，此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令文件或shadow文件中，此用戶的口令前加一個Ib或其他的字符)。若攻擊者已經(jīng)連接到系統(tǒng)，你應(yīng)馬上斷開主機(jī)與網(wǎng)絡(luò)的物理連接。如有可能，你還要進(jìn)一步查看此用戶的歷史記錄，查看其他用戶是否也被假冒，攻擊音是否擁有根權(quán)限。殺掉此用戶的所有進(jìn)程并把此主機(jī)的ip地址掩碼加到文件 hosts.deny中。

9. 使用安全工具軟件：

隨著Linux病毒的出現(xiàn)，現(xiàn)在已經(jīng)有一些Linux服務(wù)器防病毒軟件，安裝Linux防病毒軟件已經(jīng)是非常迫切了。Linux也已經(jīng)有一些工具可以保障服務(wù)器的安全，如iplogger。

10. 使用保留IP地址:

---- 維護(hù)網(wǎng)絡(luò)安全性最簡單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸。最基本的方法是與公共網(wǎng)絡(luò)隔離。然而，這種通過隔離達(dá)到的安全性策略在許多情況下是不能接受的。這時，使用保留IP地址是一種簡單可行的方法，它可以讓用戶訪問Internet同時保證一定的安全性。- RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡(luò)使用的IP地址范圍，這些IP地址不會在Internet上路由，因此不必注冊這些地址。通過在該范圍分配IP地址，可以有效地將網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)。這是一種拒絕外部計算機(jī)訪問而允許內(nèi)部計算機(jī)互聯(lián)的快速有效的方法。

保留IP地址范圍:

—— 10.0.0.0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

—— 192.168.0.0 - 192.168.255.255

來自保留IP地址的網(wǎng)絡(luò)交通不會經(jīng)過Internet路由器，因此被賦予保留IP地址的任何計算機(jī)不能從外部網(wǎng)絡(luò)訪問。但是，這種方法同時也不允許用戶訪問外部網(wǎng)絡(luò)。IP偽裝可以解決這一問題。

11、選擇發(fā)行版本：

對于服務(wù)器使用的Linux版本，既不使用最新的發(fā)行版本，也不選擇太老的版本。應(yīng)當(dāng)使用比較成熟的版本：前一個產(chǎn)品的最后發(fā)行版本如Mandrake 8.2 Linux等。畢竟對于服務(wù)器來說安全穩(wěn)定是第一的。

12、補(bǔ)丁問題

你應(yīng)該經(jīng)常到你所安裝的系統(tǒng)發(fā)行商的主頁上去找最新的補(bǔ)丁。

二、網(wǎng)絡(luò)設(shè)備的安全:

1. 交換機(jī)的安全

啟用VLAN技術(shù)：交換機(jī)的某個端口上定義VLAN ，所有連接到這個特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分，并且整個網(wǎng)絡(luò)可以支持多個VLAN。VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個VLAN間的傳輸和可能出現(xiàn)的問題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來并不麻煩，網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡單、有效地平衡負(fù)載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。

2.路由器的安全:

根據(jù)路由原理安全配置路由器路由器是整個網(wǎng)絡(luò)的核心和心臟, 保護(hù)路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。

1. 堵住安全漏洞

限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一。限制系統(tǒng)物理訪問的一種方法就是將控制臺和終端會話配置成在較短閑置時間后自動退出系統(tǒng)。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，用戶一定要確保路由器的安全補(bǔ)丁是最新的。

2. 避免身份危機(jī)

入侵者常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的IT員工辭職，用戶應(yīng)該立即更換口令。用戶應(yīng)該啟用路由器上的口令加密功能。

3. 禁用不必要服務(wù)

近來許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性。需要注意的是，一個需要用戶考慮的因素是定時。定時對有效操作網(wǎng)絡(luò)是必不可少的。即使用戶確保了部署期間時間同步，經(jīng)過一段時間后，時鐘仍有可能逐漸失去同步。用戶可以利用名為網(wǎng)絡(luò)時。

【編輯推薦】

1. 巧用Recent模塊加固Linux安全
2. Linux安全訪問控制模型應(yīng)用及方案設(shè)計
3. Linux安全攻略 如何才能讓內(nèi)存不再/泄漏