目前网络中各式各样的非法攻击，让人防不胜防。单位内部网络常常会涉及到单位的许多隐私信息，甚至会涉及到重大的商业秘密，防范黑客进行恶意攻击，保护重要数据的安全显得更加重要、更加迫切。为了远离恶意攻击，我们必须有效提升网络安全的保障能力。而局域网服务器是局域网的核心，避免黑客直接入侵服务器则是防护的重点。笔者结合当前的情况对局域网服务器的安全保障进行了探索。

    一、防范黑客入侵和恶意攻击

    几乎所有的入侵都是从扫描开始的，攻击者首先判断目标主机是否存在，进而探测其开放的端口和存在的漏洞，然后根据扫描结果采取相应的攻击手段实施攻击。因此，局域网服务器防扫描是安全防护的第一步。防扫描做得好，就会让恶意攻击失去了目标。

    1.防范措施

    （1）关闭端口

    关闭闲置和有潜在危险的端口。这个方法比较被动，它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。可以说，计算机的所有对外通讯的端口都存在潜在的危险，而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）、QQ（4000端口）等不能被关闭。在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”（黑名单）和“只开放允许端口的方式”（白名单）进行设置。计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了。

    进入“控制面板”→“管理工具”→“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS服务、IISAdmin服务等等），它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。

    （2）屏蔽端口

    检查各端口，有端口扫描的症状时，应立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的网络防火墙。

    防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口。防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

    现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

    2.防范工具

    （1）系统防火墙

    现在很多的防火墙都有禁止ICMP的设置， 而WindowsXPSP2自带的防火墙也包括该功能。启用这项功能的设置非常简单：执行“控制面板”→“Windows防火墙”，点击“高级”选项卡，选择系统中已经建立的Internet连接方式（宽带连接），点击旁边的“设置”按钮打开“高级设置”窗口，点击“ICMP”选项卡，确认没有勾选“允许传入的回显请求”，最后点击“确定”即可。

    另外，通过其他专业的防火墙软件不但可以拦截来自局域网的各种扫描入侵，从软件的日志中，我们还可以查看到数据包的来源和入侵方式等。

[page]    （2）第三方防火墙

    在企业局域网中部署第三方的防火墙，这些防火墙都自带了一些默认的“规则”，可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则，这样可以比较有效地阻止攻击者的恶意扫描。

    （3）蜜罐技术

    蜜罐工具很多，其原理大同小异，它会虚拟一台有“缺陷”的服务器，等着恶意攻击者上钩。在黑客看来被扫描的主机似乎打开了相应的端口，但是却无法实施工具，从而保护了真正的服务器，这也可以说是比较另类的防扫描手法。

    现在的黑客工具非常普及其操作也越来越傻瓜化，入侵门槛比较低。一个具有初、中级电脑水平的攻击者利用扫描器随意扫描，就能够完成一次入侵。做好防扫描措施，就能够在很大程度上杜绝来自这些一般入侵者的骚扰。

    二、提高安全防护，拒绝病毒的攻击

    现在的病毒疯狂肆虐，它主要是通过网络传输通道进行非法传播、扩散的，传染的对象就是网络中的一些重要可执行文件，这些病毒通常破坏力大，传染性强，它们常常会利用网络中各个系统的漏洞实施非法攻击，来窃取网络中重要系统的控制权。所以，单位局域网的安全防护系统很重要的任务就是拒绝网络病毒对局域网服务器以及网内各终端设备的攻击。

    1.使用防病毒网关

    防病毒网关是一个基于安全操作系统平台的在网关处具有防病毒功能的硬件设备，该设备可以对进出内网的数据信息进行分析过滤，阻止病毒代码从该设备穿过渗透到单位内部网络，同时能够有效预防蠕虫病毒攻击，以及垃圾邮件对单位内网正常办公的干扰。在单位内部网络中，防病毒网关是一个很重要的安全防线，能够抑制来自外网的病毒入侵内网。例如，笔者单位采用了天融信网络卫士防病毒网关，该设备采用流扫描技术来获得很高的性能，同时大大减少网络延迟和超时。流扫描技术在收到文件的一部分时就开始扫描，大大减少总的处理时间。在传统的使用随机存取算法的防病毒系统中，只有当整个文件都被收到的时候才开始扫描，总的扫描时间比较长，性能较低。防病毒网关实现了真正的即插即用，不需要改动现有网络的任何设置。在单位内网部署好防病毒网关后，只需要连接上网线，开启电源，并进行合适的配置，就可以对进出内网的数据信息进行病毒扫描测试，而且这是单位内网与外网直接联系的唯一桥梁，能够在很大程度上抑制外网病毒的疯狂入侵。

    2.部署补丁服务器

    预防网络病毒，最主要的就是预防蠕虫病毒，而蠕虫病毒很多时候都是利用内网系统中的漏洞进行传播、扩散的，为此我们需要在内网中对各个应用系统的漏洞补丁程序进行强化管理，确保各种漏洞能够被及时堵住。有鉴于此，我们有必要在内网中安装部署补丁分发服务器，让单位内网中的应用系统直接连到服务器上下载补丁，使得更新补丁时间大大缩短，提高了安全性。另外对于没有连到外网的应用系统只要在内网中可以访问这台补丁服务器，也能随时安装最新的补丁，这样就可以有效地防止漏洞型病毒在内网的疯狂传播。

    3.部署防病毒服务器

    除了要做好上面的安全防范措施外，我们还需要在内网中安装部署防病毒服务器，来强制内网中的所有客户端系统自动在线更新病毒库，同时我们也要定期通过外网对防病毒服务器进行更新病毒库，至少要保证每周一次，通过不断升级病毒库，保证防病毒程序可以及时发现内网中的新型病毒。有了防病毒系统的保障，那么整个内网的病毒入侵就能得到有效监控、管理，同时对出现在内网中的网络病毒能够及时测试、查杀。

    4.定期备份，并做好保护措施

    为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。备份盘将是恢复资料的唯一途径。应当把备份放在安全的地方，不要放在同一台服务器上。若你的备份程序支持加密功能，你还可以将数据进行加密，利用密码保护磁盘。

    总之，局域网服务器安全保障是个大议题，网络管理人员应不断更新知识、积累经验、针对局域网服务器网络中的漏洞和弱点做好安全管理与防范措施。防扫描、防病毒虽然是局域网安全安防的重点，但不是全部。另外，安全防护不仅仅是技术，还是意识。只有大家都提高自身的安全意识，然后利用相应的技术才能最大程度地保证局域网服务器安全，进而保障整个局域网的安全。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。