apache服务器安全问题

关于内外网合并后的安全问题及其解决方案

1，服务器常规操作规范

2，应用系统开发规范，因为应用系统不按一定的规范来做，有些安全原则无法实施

3，服务器系统，数据库，目录等等的基准安全设置，即有一个参考基准线，方便对照设置

4，数据备份，两重含义了，一是系统备份，方便万一服务器挂了能快速恢复，二是数据备份，方便万一出现数据损害或者被黑客删了可把损失减少到最少，目前我采用了ghost + cwRsync来实现，不过仍觉得不够“快”

5，服务器状态监控，虽然有不少开源的监控软件，不过都太重型了，还没找到符合自己要求的轻量级的解决方案

一、内、外网隔离的主要问题分析：

1、硬件方面：

a)部分电脑同时使用内外和外网，经常拔插网络接口，容易发生接触不良，从而导致无法连接网络。

b)频繁的拔插网络模块，大大降低了模块的使用寿命。

2、软件方面：

由于部分电脑既访问内网又访问外网，内网的安全得不到保障，主要体现为：

a)数据安全受到威胁：计算机在访问外网时容易被病毒、木马感染，而后又将病毒、木马带入内网，

从而威胁内网服务器、计算机的数据安全（数据被破坏、文件被删除等等）。

b)容易发生泄密事件：当计算机访问外网时，本机的资料（特别是保密资料）容易被木马病毒、黑

客盗取。

c)访问外网的其他问题：计算机操作系统的默认设置、维护问题（用户权限太高、没有及时安装操

作系统补丁）、防病毒软件的问题（病毒库没有及时更新、软件过期等）以及其他软件问题（例如Realplayer漏洞、Flash漏洞等等），导致访问外网时比较容易受到攻击。

3、解决方法：

i.及时配备足够的计算机设备，实行严格的内、外网隔离制度。

ii.内网禁用USB、IEEE1394、eSATA等接口，杜绝U盘、移动硬盘的随意使用。

4、缺点：

i.需要手动更新内网的杀毒软件、操作系统补丁操作繁杂、灵活性差、可靠性底。

ii.必须配备足够数量的计算机服务器网站安全，以满足日常工作中访问内网和外网。

iii.实行内、外网隔离后必须使用不同的计算机来访问内网和外网，可靠性高但灵活性差，适合对保密工作有特殊要求的单位使用。

二、内外网合并将面临的主要问题分析：

1、硬件方面：

b)无

2、软件方面：

与内外网隔离的所面临的软件方面问题类似（略）

3、解决方案：

c)建立基于Windows Server 2003的域，用Active Directory（活动目录）来进行集中式的用户身份

验证。

i.域－活动目录的模式限制了用户的权限（普通用户权限），杜绝了因用户权限过高（管理员权

限）而带来的病毒、木马、恶意程序的感染。

ii.域－活动目录模式大大方便了网络资源的共享（如：打印机、文件共享等），用户可以添加网络中的共享打印机，并直接在本机打印（不用再拿U盘复制到连接打印机的电脑进行打印）。

iii.“单点登录”模式（用户账号可在域中的任意一台计算机登录）方便、灵活、快捷，提高了工作效率。

d)构建内部的软件补丁服务器（WSUS3.0）

WSUS能够自动与Microsoft的服务器同步，将需要的补丁下载到本地网络，然后通过活动目录的组策略将补丁发布到域中的每一台计算机。及时为操作系统更新补丁（修复系统漏洞），减少了病毒、木马、恶意软件的感染机会。

e)建立集中式的防病毒环境（Symantec AntiVirus Enterprise Edition v10.2），抵御病毒攻击。

集中式的网络杀毒环境能最大限度防止病毒入侵，具体表现为：

i.集中更新、升级杀毒软件，杜绝了杀毒软件在单机环境下不能更新、不及时更新的问题。

ii.杜绝了单机版本杀毒软件同时大量更新、升级所引发的网络带宽严重占用的问题。

iii.集中式设置维护方便快捷、可靠，大大减轻了日常维护工作量。

f)建立内部的文档服务器（FTP Server），统一存储/备份文档，提高安全性。

FTP服务器方便资料的统一存放、备份，具体为：

i.各科室的资料可以统一存放在FTP服务器上，服务器数据采用磁盘整列、兼有UPS设备的保

护，数据可靠性高。

ii.FTP服务器结合Windows 的NTFS 文件系统的权限对数据文件进行详细而可靠的管理，保证数据的安全性。

iii.集中式的数据存放，可设置数据的自动备份，减轻了工作量，降低了日常维护成本。

g)配置用户漫游功能，让用户在任意一台域中的电脑登录都能使用自己的资料和设置（可选）。

i.用户的“我的文档”、“桌面”、“收藏夹”等关键资料、设置信息都被重定向到服务器上，可

靠性高。

ii.用户在任意一台计算机上登录都能看到自己的“桌面”、“我的文档”、“收藏夹”等内容，就好像在使用自己的电脑一样，方便、快捷、灵活。

iii.用户资料在服务器上的访问受到NTFS权限和共享权限的双重限制，安全性高。

h)构建企业级的专业软件防火墙（ISA Server 2006），抵御来自互联网的恶意攻击（可选）。

ISA Server系列软件防火墙是Microsoft公司推出的面向企业的产品，功能强大、性能出色。

i.与活动目录配合、可以作为VPN接入服务器。（可选）

ii.可以把内部的服务器（例如：信息管理系统服务器、FTP文档服务器等）发布到互联网，实现互联网对内网资源的使用。（可选）

iii.可以灵活、有效地设置上网权限（按IP地址控制、主机名控制、域用户名控制等等），限制用户上网。（可选）

iv.可以记录详细的上网信息，方便统计和网络监控。（可选）

v.可靠性高，可长时间不重启（几个月到一年）、能有效抵御来自网络的各种恶意攻击和威胁。

i)构建VPN服务器（需ISA Server 2006防火墙配合）（可选），加密来自公网数据通讯，提高安全

性。

i.出差在外地、或者在家中就可以方便地通过互联网访问内部网络。

ii.VPN的访问是加密的，安全性高、性能好。

三、内外网合并项目的硬件需求清单：

1、活动目录服务器硬件要求：

虚拟服务器：

当前的MIS（信息管理系统）服务器安装虚拟软件来模拟

增加1G DDRII 667服务器内存

2、FTP文档服务器硬件要求（含防病毒服务器、WSUS服务器、用户漫游存储）：

如下两套可选配置（任选一套＋配件）：

HP ProLiant DL180 G5 （456832-AA5）: ￥29880

英特尔? 至强? E5430 四核处理器2.66GHz

标配2GB (2 x 1GB) 内存

6 个DIMM 插槽

标配2GB (2 x 1GB) 内存

智能阵列E200/128MB 控制器

8 个3.5 英寸热插拔SAS/SATA 硬盘托架

2U 机架

1 张NC105i PCI-E 千兆网卡（嵌入式）（局域网唤醒和PXE 功能）

HP ProLiant DL185 G5(461335-AA1) ￥23307

AMD Opteron?（皓龙?）四核处理器2356 2.30GHz

4GB (2 x 2GB) 标配内存

HP 智能阵列E200 控制器

标配可扩展至8 块硬盘热插拨SAS/SATA 3.5 英寸硬盘。通过工厂集成配置可实现12 块或

14 块扩展能力。

2U 机架

NC326i PCIe 双端口千兆服务器适配器

配件：

HP 500GB 7.2K rpm 热插拔SATA 中线1 年保修硬盘驱动器458928-B21 4块

3、ISA Server 2006软件防火墙硬件要求（含VPN接入服务器、服务器发布、上网权限控制

等）：

两套可选配置（任选一套＋配件）：

HP ProLiant DL160 G5（445204-AA1）￥25101

英特尔? 至强? X5472 四核处理器3GHz

标配2GB (2 x 1GB) 内存

HP SC40Ge SAS HBA 控制器（RAID）

标配配置不包括硬盘驱动器

HP ProLiant DL165 G5（445162-AA1）￥19520

AMD Opteron?（皓龙?）2356 四核处理器2.30GHz

4GB (2 x 2GB) 标配内存

带RAID 的惠普(HP) 内置8 端口SAS HBA

标配配置不包括硬盘驱动器

可选DVD-ROM、DVD/CD RW 光驱

配件：

HP 300GB 15K rpm 热插拔SAS 3.5 单端口硬盘驱动器431944-B21 1块

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!