安全策略

　配置了访问列表后,就要启用访问控制列表,我们可以在接口配置模式下使用access-group或ip access-class命令来指定访问列表应用于某个接口.使用关键字in(out)来定义该接口是出站数据包还是入站数据包.

有时成败的机会就是你使远程用户连接到你的网络。电子通勤有一些已被证明的生产力和环境的好处，但是它也并不是没有缺点――大部分是信息安全风险形式的缺点。如果你的远程用户的计算机带有病毒或者他们通过不安全的无线网络传送危险的电子邮件和及时消息，会发生什么?当没有完全保护的系统能够直接连接到你的网络会怎么样呢--因此提供直接来自外部网站的链接给每一个想要进入或恶意进入的人。

在目前的Internet时代，主页已成为树立公司形象和展示自我天地的一个重要手段，配置一台强大且安全的Web Server就显得尤其重要。在众多的Web Server产品中，Apache是应用最为广泛的一个产品， 同时也是一个设计上非常安全的程序。但是，同其它应用程序一样，Apache也存在安全缺陷。本文将详细介绍如何正确配置和维护Apache WEB Server的安全性问题等。

随着网络技术的发展，以及网络应用的普遍化，网络安全已经成为急待解决的一个重要问题，如何走好网络安全之路，第一步就是对操作系统多下点功夫。

　SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换，如果不加密的话，所有的网络传输都是明文的，包括密码、数据库内容等等，这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西，包括数据库帐号和密码。所以，在条件容许情况下，最好使用SSL来加密协议，当然，你需要一个证书来支持。

安全配置向导功能(Security Configuration Wizard , SCW)， Windows Server 2003 Service Pack 1 和Windows Server 2003 R2的一部分，是自动配置文件服务器安全策略的一种简便方法。安全配置向导功能有效支持审核模式。首先它先检测机器，报告机器的角色。接下来，你可以使用动态配置模式，只需要告诉向导你要为服务器配置什么角色。 安全配置向导就会自动对服务器进行设定，按照需要对服务器和端口进行开关控制。

自启动配置前先提示一点，用于PHP的数据库需要用一个新建的账号，其上有数据库权限设置，比如FILE、GRANT、ACTER、SHOW DATABASE、RELOAD、SHUTDOWN、PROCESS、SUPER等。

由于此处MySQL只服务于本地脚本，所以不需要远程连接。尽管MySQL内建的安全机制很严格，但监听一个TCP端口仍然是危险的行为，因为如果MySQL程序本身有问题，那么未授权的访问完全可以绕过MySQL的内建安全机制。关闭网络监听的方法很简单，在/chroot/mysql/etc/my.cnf文件中的[mysqld]部分，去掉#skip-networking前面的“#”即可。

编辑chroot下的passwd文件和group文件

Chroot是Unix/类Unix的一种手段，它的建立会将其与主系统几乎完全隔离。也就是说，一旦遭到什么问题，也不会危及到正在运行的主系统。这是一个非常有效的办法，特别是在配置网络服务程序的时候。

MySQL已经成为当前网络中使用最多的数据库之一，特别是在Web应用上，它占据了中小型应用的绝对优势。这一切都源于它的小巧易用、安全有效、开放式许可和多平台，更主要的是它与三大Web语言之一——PHP的完美结合。

MySQL已经成为当前网络中使用最多的数据库之一，特别是在Web应用上，它占据了中小型应用的绝对优势。这一切都源于它的小巧易用、安全有效、开放式许可和多平台，更主要的是它与三大Web语言之一——PHP的完美结合。

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。

配置syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。

　Windows Server 2003 SP1中的安全配置向导包括Scwcmd.exe命令行工具。这个多功能工具可以执行很多任务。你可以使用脚本或者批处理文件分配这些任务。这里，我将简单介绍一下如何用SCWCMD命令完成常见任务。

　防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。

除非你与世隔绝，不然你一定知道Internet Explorer 6可能最出名的就是它存在大量漏洞。事实上，整个反间谍软件(Anti-Spyware)行业能够盈利，都是通过生产清除大量由IE6引起的病毒的产品。

在各种操作系统中，Linux已经流行。因此，越来越多的主流数据库厂商将它们的产品移植到Linux操作系统平台，例如Sybase、Oracle和IBM等。此外，可以使用的自由软件越来越多。自由软件库中已经包括了Sybase ASE for Linux、Oracle for Linux、Informix for Linux等数据库软件以及其他各种软件。

Ptak,Noel and Associates的首席分析师Richard L. Ptak表示：“虚拟系统实际上是一套全新的操作系统，可以实现底层硬件和环境的紧密交互，可能带来的管理换乱问题不容忽视。”

注入漏洞、上传漏洞、弱口令漏洞等问题随处可见。跨站攻击，远程控制等等是再老套不过了的话题。有些虚拟主机管理员不知是为了方便还是不熟悉配置，干脆就将所有的网站都放在同一个目录中，然后将上级目录设置为站点根目录。有些呢，则将所有的站点的目录都设置为可执行、可写入、可修改。有些则为了方便，在服务器上挂起了QQ，也装上了BT。更有甚者，竟然把Internet来宾帐号加入到Administrators组中!汗……!普通的用户将自己的密码设置为生日之类的6位纯数字，这种情况还可以原谅，毕竟他们大部分都不是专门搞网络研究的，中国国民的安全意识提高还需要一段时间嘛，但如果是网络管理员也这样，那就怎么也有点让人想不通了。网络安全问题日益突出，最近不又有人声称“万网：我进来玩过两次了!”一句话，目前很大部分的网站安全状况让人担忧!