安全策略

对于企业防火墙而言，设备管理方面通常可以通过远程Web管理界面的访问以及Internet外网口被Ping来实现，但这种方式是不太安全的，因为有可能防火墙的内置Web服务器会成为攻击的对象。所以建议远程网管应该通过IPsec VPN的方式来实现对内端口网管地址的管理．

现在升级就非常简单了。只需要将新版本的 PHP 二进制压缩包下载下来，将原来的 C:\php 目录删除，将新版本解压缩到 C:\php 目录中，然后重新启动一下 IIS 就可以了。不需要修改任何配置，也不需要往 System32 目录中复制任何文件。是不是很方便啊？

在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

配置日志轮训工具，定期下载备份日志，是个非常好的习惯，这样不但能减少日志的消耗的磁盘空间，提高系统效率，更能及时发现问题，linux下有些很好的系统日志分析器，能直接提取日志中的特殊项目，省去了阅读日志的烦恼

这些来说应该是服务器安全防范方面的一个例子而已,真正要做到服务器的安全运行,需要你花大量的时间去摸索.因为这些来说,足以应付一些无聊的.....当然了,你如果需要WEB服务器,我还是建议你去使用AP了.他的源代码开发,免费,安全性稳定性都比IIS强得多了.

配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生，千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中，此文件夹的安全性用恰当的访问权限来保障。

现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限，在WINDOWS下分别目录设置权限。可是比较复杂，效果也并不明显。

　代理型防火墙可以对进出的包进行内容过滤，设置对HTTP REQUEST内的request string或者form内容进行过滤，将SELECT、DROP、DELETE、INSERT等都过滤掉，因为这些关键词在客户提交的表单或者内容中是不可能出现的。过滤了以后可以说从根本杜绝了SQL 注入。

类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂qq，这种做法是极度错误的。

smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具，它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候，smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。

路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储；路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言；路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。

还需要在apache服务器主机上建立目录/var/log/httpd/download/，否则会出错。另外，也可以设置防火墙主机上的/home/httpd/html/index.html的属性为750来阻止访问，这是防外部用户能访问到防火墙上的Apache服务器的http://www.XXXX.com中。

　设置防火墙上的DNS，让download.your.com和www.your.com都指向防火墙的外部网地址xxx.xxx.xxx.xxx。用http://www.your.com访问主页，用http://download.your.com/pub/访问公共文件的下载区。

所有的软件安装，基本上可以套用这个思路。但也有例外的，那就是系统补丁的安装。 由于系统补丁有可能要替换正在被执行或访问的文件，所以用copy命令是不行的。 幸好，Windows补丁包支持命令行安装。

类似telnet服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题.

除了集成的多种功能可以减少管理支出和成本的优势外，塞门铁克还充分考虑小型企业的成长性和灵活性，所有300系列都内置了赛门铁克的LiveUpdate技术，这一技术能够自动保持设备固件的更新。除此之外，300系列还有不以牺牲性能为代价。简单易用的管理与支持。可靠的灵活连接方式等优点。

稳定是VPN联机必需要有的基础。但是，稳定并不是会从天上掉下来，网管必须在整体配置、细节功能、备份措施等方面都要有对应的准备，才能达到稳定的目的。

通过分析上面的几个漏洞大家也可以看到Linux并不是完美的，还有很多的地方需要完善。有些漏洞极大地影响了Linux的推广和使用，例如上面那个Linux hash表冲突的漏洞，因为一些IDS厂商和防火墙厂商就是基于Linux内核来开发自己的产品，如果还是使用的Linux本身的hash算法就会受到这种漏洞的影响，极易被攻击者进行DoS攻击。因为防火墙、IDS本身就是安全产品，如果它们被攻击就会使用户产生极大的损失，所以我们需要对这些漏洞进行跟踪分析，并通过了解它们的特性以避免在系统中再次产生这些类型的漏洞，通过对这些类型的漏洞进行预测挖掘，使我们能积极地防御黑客的攻击破坏。

只有针对UNIX网络系统存在的漏洞采取相应的安全保护措施，才能遏制金融计算机犯罪率。但在客观上要完全消除UNIX网络系统的安全隐患非常困难，一是因为UNIX系统本身是一种非常复杂的系统，二是因为UNIX系统数年来在各领域的广泛使用，使得它成为被研究得最透彻的系统之一。通常入侵者发动的攻击形式是极其复杂的，保护UNIX系统安全的关键是针对入侵者可能发动的攻击制定出一系列切实可行的安全防范策略，使各种攻击在多样化的安全防范措施面前不能轻易得逞。在对IP级安全实施加固之后(如设立安全IP包、过滤防火墙等)，还必须对传输层和应用层的安全进行加固，同时要在金融系统内部建立一整套网络系统安全管理规章和防范措施，经常进行监督检查，使安全管理规章和防范措施落到实处。要使每一位员工都有防范金融计算机犯罪的概念，了解其作案的手法及产生的危害，提高全员主动防范意识，这样才能真正有效地预防金融计算机案件的发生。