安全策略

跟所有的复杂系统一样，SUN有它的漏洞，其中的一些从性质上来说是相当严重的。SUN公司有向 　　它的客户甚至是没有技术支持的客户提供补丁的优良传统。这些补丁或者以集合包或者以单个补 　　丁的形式存在的。不幸的是，要完全修补你的系统，既需要大的补丁集合包，又需要单个的补丁。

这是很有必要而且也最容易忽视的地方了，我们建议对一些重要的系统文件应该严格设置它的访问权限，默认安装的情况下很多文件都是everyone可以访问的，虽然没有权限修改但也是非常危险的了。尤其是像cmd.exe这样的文件更是应该如此的。

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

　Microsoft 通过其安全通告服务发布安全通告。当这些通告建议安装安全修补程序时，应该立即下载修补程序，并在成员服务器上安装。

保护路由器并不是这样简单的事情,在很多实际应用中,还需要很多辅助配置.为了保护路由器,各种各样的安全产品都相继出现,比如给路由器添加硬件防火墙,配置AAA服务认证,设置IDS入侵检测等等吧.为了维护路由器的安全稳定工作,我要告诉大家最重要的还是配置最小化IOS,没有服务的设备,肯定没有人能够入侵,最小化的服务就是我们最大化的安全 .

网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这里有个误区，我们只能说一台主机在一定的情况下一定的时间内是安全的，随着网络结构的变化、新的漏洞的发现、管理员和用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

网镖高级功能可以非常方便地实现封闭和开放端口的功能单击莫面右下角"金山网镖"的图标，在弹出的菜单中选择"配置"选项，然后选择"高级页"。选中使用IP包过滤技术，添加TCP、UDP的135、139、445端口，最新捕获的"新流言"病毒还要关闭4444端口……请注意在做这一切前请先升级你的反病毒软件和防火墙。

通过上面的安全配置，你的动态网站一样可以正常使用，但是黑客却没法下载你的数据库了，如果黑客知道了你的数据库位置，那么黑客用那些下载工具下载你的数据库文件netpk.mdb时，黑客下载下来的只会是http://netpk.com的首页文件，不能下载数据库文件，因为数据库已经被设置了重定向，所有指向这个数据库的文件地址的连接都会被重定向连接到http://netpk.com的首页文件里。

这个数值决定了LILO等待多长时间（以10秒为单位）接受用户输入，然后才启动默认的选项。如果不是多系统启动，其值应设为0。

单击属性，选择常规页的TCP/IP,再单击属性，　单击高级，进入下一页，再选择TCP/IP筛选。然后单击属性，在TCP和UDP端口设置中选择只允许，添加相应的端口，如80用于IE浏览，其它的端口根据应用程序的设定相应修改。最后确定就OK了。

禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。

入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少还有一个账户是可以跑密码的，这就是系统内建的administrator，怎么办？我改改改，在计算机管理->用户账号中右击administrator然后改名，改成什么随便你，只要能记得就行了。

很显然，非法用户若能以软盘及光盘启动计算机，那他就可以随意在DOS状态下对系统进行攻击，因此我们必须关闭软盘及光盘的启动功能。为此，我们必须重新启动计算机，并在系统自检时进入系统的CMOS设置功能，然后将系统的启动选项设置为“C only”（即仅允许从C盘启动），并同时为COMS设置必要的密码。

这样，MySQL数据库root用户的口令也被改成test了。其中最后一句命令flush privileges的意思是强制刷新内存授权表，否则用的还是缓冲中的口令，这时非法用户还可以用root用户及空口令登陆，直到重启MySQL服务器。

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，让他黑屏就可以了。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。

为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。

配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生，千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中，此文件夹的安全性用恰当的访问权限来保障。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。

PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布，所以，入侵者已经有可能通过这种方法，控制住一个现成的TCP连接，然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点，入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的，因为每次初始化连接时，大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号，这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。

众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。