当前位置：首页 > 范文大全 > 实用文>服务器安全第一步：防扫描

服务器安全第一步：防扫描

2023-10-20 08:03:14 收藏本文下载本文

“草山残梦”通过精心收集，向本站投稿了4篇服务器安全第一步：防扫描，下面是小编帮大家整理后的服务器安全第一步：防扫描，希望对大家带来帮助，欢迎大家分享。

服务器安全第一步：防扫描

篇1：服务器安全第一步：防扫描

入侵者对服务器的攻击几乎都是从扫描开始的，首先判断服务器是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击，因此，防扫描对于服务器来说是非常重要的，是防网络入侵第一步。

一、扫描工具和防范原理

1、扫描工具

攻击者采用的扫描手段是很多的，可以使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。其中SuperScan的扫描速度非常快，而NMAP的扫描非常的专业，不但误报很少，而且还可以扫描到很多的信息，包括系统漏洞、共享密码、开启服务等等。

2、防范原理

要针对这些扫描进行防范，首先要禁止ICMP的回应，当对方进行扫描的时候，由于无法得到ICMP的回应，扫描器会误认为主机不存在，从而达到保护自己的目的。另外，利用蜜罐技术进行扫描欺骗也是不错的方法。

二、防范措施

1、关闭端口

关闭闲置和有潜在危险的端口。这个方法比较被动，它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就而言，所有的端口都可能成为攻击的目标。可以说，计算机的所有对外通讯的端口都存在潜在的危险，而一些系统必要的通讯端口，如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。

在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”(黑名单)和“只开放允许端口的方式”(白名单)进行设置。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。

进入“控制面板”→“管理工具”→“服务”项内，关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等)，它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。(图1)

2、屏蔽端口

检查各端口，有端口扫描的症状时，立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

防火墙的工作原理是:首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开;端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包，

现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

三、防范工具

1、系统防火墙

现在很多的防火墙都有禁止ICMP的设置，而Windows XP SP2自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的Internet连接方式(宽带连接)，点击旁边的“设置”按钮打开“高级设置”窗口，点击“ICMP”选项卡，确认没有勾选“允许传入的回显请求”，最后点击“确定”即可。(图2)

另外，通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵，从软件的日志中，我们还可以查看到数据包的来源和入侵方式等。

2、第三方防火墙

在企业局域网中部署第三方的防火墙，这些防火墙都自带了一些默认的“规则”，可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则，这样可以比较有效地阻止攻击者的恶意扫描。

比如以天网防火墙为例：首先运行天网防火墙，点击操作界面中的“IP规则管理”按钮，弹出“自定义IP规则”窗口，去掉“允许局域网的机器用ping命令探测”选项，最后点击“保存规则”按钮进行保存即可。例如创建一条防止Ineternet中的主机ping的规则，可以点击“增加规则”按钮，输入如图的相关参数就创建成功，然后勾选并保存该规则就可以防止网络中的主机恶意扫描局域网了。(图3)

3、蜜罐技术

蜜罐工具很多，其原理大同小异，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上钩。在看来被扫描的主机似乎打开了相应的端口，但是却无法实施工具，从而保护了真正的服务器，这也可以说是比较另类的防扫描手法。

例如，Defnet HoneyPot ，它是一个著名的“蜜罐”虚拟系统，通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样，但它是为恶意攻击者布置的陷阱。只不过，这个陷阱欺骗恶意攻击者，能够记录他都执行了那些命令，进行了哪些操作，使用了哪些恶意攻击工具。通过陷阱的记录，可以了解攻击者的习惯，掌握足够的攻击证据，甚至反击攻击者。利用该工具部署一个蜜罐系统非常简单，打开软件，输入相应的参数即可。然后它会随机启动，如果有恶意的扫描它都会记录下来如图。(图4)

总结：现在的工具非常普及其操作也越来越傻瓜化，入侵门槛比较低。一个具有初、中级电脑水平的攻击者利用扫描器随意扫描，就能够完成一次入侵。服务器做好防扫描措施，就能够在很大程度上杜绝来自这些一般入侵者的骚扰，而这也是网络入侵的大多数。试想，服务器如果就被这样攻击，那就太窝囊了。

篇2：防护服务器安全七个技巧

你的服务器上是否存有一些不能随意公开的重要数据呢？当然有吧？而最近，偏偏服务器遭受的风险又特别大，越来越多的病毒、心怀不轨的，以及那些商业间谍都将服务器当作目标，很显然，服务器的安全问题一刻都忽视不得。

七个防护服务器安全的技巧。

技巧一：从基本做起

从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式；同理，防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外，Exchange Server（邮件服务器）也应该安装防毒软件，这类软件可扫描所有寄进来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件马上会被隔离，减低使用者被感染的机会。

另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如，上白天班的员工不该有权限在三更半夜登录网络，

最后，存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时，必须混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。你还应该设定定期更新密码，且密码长度不得少于八个字符。若你已经做了这些措施，但还是担心密码不安全，你可以试试从网络下载一些工具，然后测试一下这些密码到底有多安全。

技巧二：保护备份

大多数人都没有意识到，备份本身就是一个巨大的安全漏洞，怎么说呢？试想，大多数的备份工作多在晚上10点或11点开始，依数据多寡，备份完成后大概也是夜半时分了。现在，想像一下，现在是凌晨四点，备份工作已经结束。有心人士正好可趁此时偷走备份磁盘，并在自己家中或是你竞争对手办公室里的服务器上恢复。不过，你可以阻止这种事情发生。首先，你可利用密码保护你的磁盘，若你的备份程序支持加密功能，你还可以将数据进行加密。其次，你可以将备份完成的时间定在你早上进办公室的时间，这样的话，即使有人半夜想溜进来偷走磁盘的话也无法了，因为磁盘正在使用中；如果窃贼强行把磁盘拿走，他一样无法读取那些损毁的数据。

篇3：Windows 服务器的安全防护林

中小学校的校园网普遍应用Windows 2000作为服务器的操作系统，但有些学校刚开始运行就遭到网络的攻击，造成网络崩溃，那么，安全问题怎么解决？其实不需要任何的软硬件的介入，仅靠系统本身我们就能构建一个安全防护林。

设置禁用，构建第一道防线

在安装完Windows 2000后，首先要装上最新的系统补丁。但即使装上了，在因特网上的任何一台机器上只要输入“＼＼你的IP地址＼c”，然后输入用户名Guest，密码空，就能进入你的C盘，你还是完全暴露了。解决的方法是禁用Guest账号，为Administrator设置一个安全的密码，将各驱动器的共享设为不共享。同时你还要关闭不需要的服务。你可以在管理工具的服务中将它们设置为禁用，但要提醒的是一定要慎重，有的服务是不能禁用的。一般可以禁用的服务有Telnet、Task Scheduler(允许程序在指定时间运行)、Remote Registry Service(允许远程注册表操作)等。这是你构建的服务器的第一道防线。

设置IIS，构建第二道防线

作为校园网的服务器，很多学校将该服务器同时作为网站服务器，而IIS的漏洞也是一个棘手的问题。实际上，你可以通过简单的设置，完全可以将网站的漏洞补上。你可以将IIS默认的服务都停止(FTP服务你是不需要的，要的话笔者推荐用Serv-U；“管理Web站点”和“默认Web站点”都会给你带来麻烦；SMTP一般也不用)，然后再新建一个Web站点。

设置好常规内容后，在“属性→主目录”的配置中对应用程序映射进行设置，删除不需要的映射(如图2)，这些映射是IIS受到攻击的直接原因。如果你需要CGI和PHP的话，可参阅一些资料进行设置。

这样，配合常规设置，你的IIS就可以安全运行了，你的服务器就有了第二道防线。

运用扫描程序，堵住安全漏洞

要做到全面解决安全问题，你需要扫描程序的帮助。笔者推荐使用X-Scan，它可以帮助你检测服务器的安全问题。

扫描完成后，你要看一下，是否存在口令漏洞，若有，则马上要修改口令设置；再看一下是否存在IIS漏洞，若有，请检查IIS的设置。其他漏洞一般很少存在，我要提醒大家的是注意开放的端口，你可以将扫描到的端口记录下来，以方便进行下一步设置。

封锁端口，全面构建防线

大多通过端口进行入侵，所以你的服务器只能开放你需要的端口，那么你需要哪些端口呢？以下是常用端口，你可根据需要取舍：

80为Web网站服务；21为FTP服务；25为E-mail SMTP服务；110为Email POP3服务，

其他还有SQL Server的端口1433等，你可到网上查找相关资料。那些不用的端口一定要关闭！关闭这些端口，我们可以通过Windows 2000的安全策略进行。

借助它的安全策略，完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入，右击“IP安全策略”，选择“创建IP安全策略”，点[下一步]。输入安全策略的名称，点[下一步]，一直到完成，你就创建了一个安全策略：

接着你要做的是右击“IP安全策略”，进入管理IP筛选器和筛选器操作，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP和139端口为例说明。

关闭了ICMP，软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。回到关闭ICMP属性窗口，即关闭了ICMP。

下面我们再设置关闭139，同样在管理IP筛选器列表中点“添加”，名称设置为“关闭139”，点右边的“添加”，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择从任意端口到此端口，在此端口中输入139，点下一步。即完成关闭139端口，其他的端口也同样设置。

特别指出的是关闭UDP4000可以禁止校园网中的机器使用QQ。

然后进入设置管理筛选器操作，点“添加”，点下一步，在名称中输入“拒绝”，点下一步。选择“阻止”，点[下一步]。

然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点下一步。在选择网络类型中选择“所有网络连接”，点下一步。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点下一步。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，你可以将“关闭139”等其他筛选器加入进来。

最后要做的是指派该策略，只有指派后，它才起作用。方法是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，你可根据自己的情况，设置相应的策略。

设置完成后，你可再用X-Scan进行检查，发现问题再补上。

通过以上的设置，你的Windows 2000服务器可以说是非常安全了。希望你早日筑起服务器的安全防护林。