三、系统端口安全配置
下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果
你对端口方面已经有较深了解可以略过这一步。
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直
接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属
性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
下面先介绍一下端口的基础知识。在网络技术中,端口(Port)大致有两种意思:一是物理意义
上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如
RJ-45 端口、SC 端口等等。二是逻辑意义上的端口,一般是指 TCP/IP 协议中的端口,端口号
的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。
(一)按端口号分布划分:
(1)知名端口(Well-Known Ports)
知名端口即众所周知的端口号,范围从 0 到 1023,这些端口号一般固定分配给一些服务。
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配
给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口(Dynamic Ports)
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多
服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些
端口号中分配一个供该程序使用。比如 1024 端口就是分配给第一个向系统发出申请的程序。在
关闭程序进程后,就会释放所占用的端口号。
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。
(二)按协议类型划分:
可以分为 TCP、UDP、IP 和 ICMP(Internet 控制消息协议)等端口。下面主要介绍 TCP 和
UDP端口。
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠
的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25 端口,
以及HTTP服务的80端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保
障。常见的有 DNS 服务的 53 端口,SNMP(简单网络管理协议)服务的 161 端口,QQ 使用
的8000和4000端口等等。
介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置。
在一般的 WEB+Email 服务器上,推荐同时使用 PcanyWhere 和终端服务进行远程控制管
理,基于安全考虑把终端服务3389端口修改成6868端口,方法如下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\Wds\Repwd\Tds\Tcp, 找到 PortNumber 项,双击选择十进制,输入你要改成的端
口即可,这里我们输入6868。再找到键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win
Stations,在右侧窗口找到PortNumber并按上面的方法输入6868,设置成新的端口就可以了。
这样,在用MSTSC访问远程桌面时,IP或网址后加上:6868即端口号就可以了。如图(1):
接着根据要开放的服务,去设置TCP/IP筛选。要查看端口使用状况,可以使用Netstat在
命令行状态下查看,依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在
命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的 TCP 和
UDP连接的端口号及状态。
我们根据服务器上端口的使用情况在TCP/IP 筛选设置我们需要开放的端口,右击网上邻居
属性-->右击本地连接属性-->(双击TCP/IP) -->高级-->选项-->属性启用TCP/IP筛选,
在TCP端口筛选只允许21,25,110,
80,1433,3000,5631,6868,8735,
10001,10002,10003,10004,10005
等相关必须使用的端口(请根据你的实际情况
进行设定);TCP/IP 端口里面的都是几个常
有的知名端口,10001-10005 是设置
Serv-U的PASV模式使用的端口,3000是
MDaemon默认的WEB登陆端口,6868
是自定义修改的MSTSC远程桌面端口,当然也可以使用别的。IP协议和UDP端口根据您的需
要做出相应配置,本人未仔细研究过,请根据你的实际应用进行筛选。
接着,我们要在本地连接属性里面,卸载所有的其他协议,只留下Internet协议(TCP/IP),
把默认的共享和打印机卸载掉。
图(6): 删除共享和打印机共享
然后,再双击Internet协议(TCP/IP)进入高级选项窗口,选择WINS选项卡,选中禁止
TCP/IP上的NetBIOS项,可有效防止他人从网络NetBIOS协议获取计算机相关信息。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪服务器安全设置_系统端口安全配置
三、系统端口安全配置 下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果 你对端口方面已经有较深了解可以略过这一步。 端口是计算机和外部.........
▪本人见过最好的服务器安全设置文章
如果你是新手,建议你一步一步的来,不要紧WEB+FTP+Email服务器 安全配置手册 第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第.........
▪URLScan工具配置方法第1/2页
如何配置 URLScan 工具 察看本文应用于的产品 文章编号 : 326444 最后修改 : 2007年3月14日 修订 : 5.3 我们强烈建议所有运行 Microsoft Windows Server 2003 的用户将 Microsoft Internet 信息.........
[1]服务器安全设置_系统端口安全配置
来源: 互联网 发布时间: 2013-12-24
[2]本人见过最好的服务器安全设置文章
来源: 互联网 发布时间: 2013-12-24
如果你是新手,建议你一步一步的来,不要紧
WEB+FTP+Email服务器 安全配置手册
第一章:硬件环境
第二章:软件环境
第三章:系统端口安全配置
第四章:系统帐户及安全策略配置
第五章:IIS和 WEB 站点文件夹权限配置
第六章:FTP 服务器安全权限配置
第七章:Email 服务器安全权限配置
第八章:远程管理软件配置
第九章:其它安全配置建议
第十章:篇后语
一、硬件环境
服务器采用 1U 规格的机架式托管主机,大概配置为 Nocona2.8G/1G DDR2/160G*2SATA
硬盘/双网卡/光驱软驱/3*USB2.0。
二、软件环境
操作系统:Windows Server 2003 Enterprise Edition sp1
WEB系统:Win操作系统自带IIS6,支持.NET
邮件系统:MDaemon 8.02英文版
FTP服务器系统:Serv-U 6.0.2汉化版
防火墙: BlackICE Server Protection,中文名:黑冰
杀毒软件:NOD32 2.5
远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC
数据库:MSSQL2000企业版
相关支持组件:JMail 4.4专业版,带POP3 接口;ASPJPEG图片组件
相关软件:X-SCAN安全检测
[相关说明]
*考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。
*硬盘分区均为 NTFS 分区;NTFS 比 FAT 分区多了安全控制功能,可以对不同的文件夹设置不
同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线
更新病毒库,接着在线Update操作系统安全补丁。
*安装完系统更新后,运行 X-SCAN 进行安全扫描,扫描完后查看安全报告,根据安全报告做出
相应的安全策略调整即可。
*出于安全考虑把MSTSC远程桌面的默认端口进行更改。
下一篇我们将进行端口的设置
WEB+FTP+Email服务器 安全配置手册
第一章:硬件环境
第二章:软件环境
第三章:系统端口安全配置
第四章:系统帐户及安全策略配置
第五章:IIS和 WEB 站点文件夹权限配置
第六章:FTP 服务器安全权限配置
第七章:Email 服务器安全权限配置
第八章:远程管理软件配置
第九章:其它安全配置建议
第十章:篇后语
一、硬件环境
服务器采用 1U 规格的机架式托管主机,大概配置为 Nocona2.8G/1G DDR2/160G*2SATA
硬盘/双网卡/光驱软驱/3*USB2.0。
二、软件环境
操作系统:Windows Server 2003 Enterprise Edition sp1
WEB系统:Win操作系统自带IIS6,支持.NET
邮件系统:MDaemon 8.02英文版
FTP服务器系统:Serv-U 6.0.2汉化版
防火墙: BlackICE Server Protection,中文名:黑冰
杀毒软件:NOD32 2.5
远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC
数据库:MSSQL2000企业版
相关支持组件:JMail 4.4专业版,带POP3 接口;ASPJPEG图片组件
相关软件:X-SCAN安全检测
[相关说明]
*考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。
*硬盘分区均为 NTFS 分区;NTFS 比 FAT 分区多了安全控制功能,可以对不同的文件夹设置不
同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线
更新病毒库,接着在线Update操作系统安全补丁。
*安装完系统更新后,运行 X-SCAN 进行安全扫描,扫描完后查看安全报告,根据安全报告做出
相应的安全策略调整即可。
*出于安全考虑把MSTSC远程桌面的默认端口进行更改。
下一篇我们将进行端口的设置
[3]URLScan工具配置方法第1/2页
来源: 互联网 发布时间: 2013-12-24
如何配置 URLScan 工具
察看本文应用于的产品
文章编号 : 326444
最后修改 : 2007年3月14日
修订 : 5.3
我们强烈建议所有运行 Microsoft Windows Server 2003 的用户将 Microsoft Internet 信息服务 (IIS) 升级到 6.0 版,因为 IIS 6.0 显著增强了 Web 基础结构的安全性。有关与 IIS 安全性相关的主题的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
本页
概要
本文分步说明如何配置 URLScan 工具以防止 Web 服务器受到攻击和利用。
回到顶端
安装 URLScan
要安装 URLScan,请访问下面的 Microsoft Developer Network (MSDN) 网站:
http://msdn2.microsoft.com/en-us/library/aa302368.aspx (http://msdn2.microsoft.com/en-us/library/aa302368.aspx)
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307608 (http://support.microsoft.com/kb/307608/) 对 IIS 使用 URLScan
回到顶端
修改 URLScan.ini 文件
URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。
注意:要使更改生效,必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。
URLScan.ini 文件包含以下几节: ? [Options]:此节描述常规 URLScan 选项。
? [AllowVerbs] 和 [DenyVerbs]:此节定义 URLScan 允许的谓词(又称作 HTTP 方法)。
? [DenyHeaders]:此节列出 HTTP 请求中不允许的 HTTP 标头。如果 HTTP 请求中包含此节中列出的 HTTP 标头之一,URLScan 将拒绝该请求。
? [AllowExtensions] 和 [DenyExtensions]:此节定义 URLScan 允许的文件扩展名。
? [DenyURLSequences]:此节列出 HTTP 请求中不允许的字符串。URLScan 拒绝那些包含此节中出现的字符串的 HTTP 请求。
本文将更详细地介绍每一节。
[Options] 节
在 [Options] 节中,可以配置许多 URLScan 选项。此节中的每一行都具有以下格式:
OptionName=OptionValue
可用选项及其默认值如下所示: ? UseAllowVerbs=1
默认情况下,此选项设置为 1。如果将此选项设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的 HTTP 请求。URLScan 禁止任何不使用这些谓词的请求。如果将此选项设置为 0,则 URLScan 忽略 [AllowVerbs] 节,相反仅禁止那些使用 [DenyVerbs] 节中列出的谓词的请求。
? UseAllowExtensions=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 禁止对 [DenyExtensions] 节中列出的文件扩展名的请求,但允许对任何其他文件扩展名的请求。如果将此选项设置为 1,则 URLScan 仅允许对带 [AllowExtensions] 节中列出的扩展名的文件的请求,而禁止对任何其他文件的请求。
? NormalizeUrlBeforeScan=1
IIS 收到用 URL 编码的请求。这表示某些字符可能被替换为百分号 (%) 后跟特定的数字。例如,%20 对应于一个空格,因此,对 http://myserver/My%20Dir/My%20File.htm 的请求与对 http://myserver/My Dir/My File.htm 的请求是相同的。标准化就是对 URL 编码请求进行解码的过程。默认情况下,此选项设置为 1。如果将 NormalizeUrlBeforeScan 选项设置为 1,则 URLScan 分析已解码的请求。如果将此选项设置为 0,则 URLScan 分析未解码的请求。将此选项设置为 0 会影响 URLScan 禁止某种攻击的能力。
? VerifyNormalization=1
由于百分号 (%) 本身可以是 URL 编码的,所以攻击者可以向服务器提交一个精心制作的、基本上是双重编码的请求。如果发生这种情况,IIS 可能会接受本应视作无效而拒绝的请求。默认情况下,此选项设置为 1。如果将 VerifyNormalization 选项设置为 1,则 URLScan 将对 URL 执行两次标准化。如果第一次标准化后的 URL 与第二次标准化后的 URL 不同,URLScan 将拒绝该请求。这样就可以防止那些依赖双重编码请求的攻击。
? AllowHighBitCharacters=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
? AllowDotInPath=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝所有包含多个句点 (.) 的请求。这样可以防止通过将安全的文件扩展名放入 URL 的路径信息或查询字符串部分,以达到伪装请求中的危险文件扩展名的企图。例如,如果将此选项设置为 1,则 URLScan 可能允许对 http://servername/BadFile.exe/SafeFile.htm 的请求,因为它认为这是对 HTML 页的请求,但实际上这是一个对可执行 (.exe) 文件的请求,而该文件的名称在 PATH_INFO 区域中显示为 HTML 页的名称。如果将此选项设置为 0,URLScan 可能还会拒绝对包含句点的目录的请求。
? RemoveServerHeader=0
默认情况下,Web 服务器返回一个标头,其中指出了 Web 服务器在所有响应中运行的 Web 服务器软件。这会增加服务器遭受攻击的可能性,因为攻击者可以确定服务器正在运行 IIS,于是便攻击已知的 IIS 问题,而不是试图使用为其他 Web 服务器设计的攻击手段来攻击 IIS 服务器。默认情况下,此选项设置为 0。如果将 RemoveServerHeader 选项设置为 1,可以防止您的服务器发送将其标识为 IIS 服务器的标头。如果将 RemoveServerHeader 设置为 0,则仍发送此标头。
? AlternateServerName=(默认情况下不指定)
如果将 RemoveServerHeader 设置为 0,可以在 AlternateServerName 选项中指定一个字符串以指定将在服务器标头中传回的内容。如果将 RemoveServerHeader 设置为 1,则此选项将被忽略。
? EnableLogging=1
默认情况下,URLScan 在 %WINDIR%\System32\Inetsrv\URLScan 中保留所有被禁止的请求的完整日志。如果不希望保留此日志,可将 EnableLogging 设置为 0。
? PerProcessLogging=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,URLScan 将为承载 URLScan.dll 的每个进程创建一个单独的日志。如果将此选项设置为 0,所有进程将记录到同一个文件中。
? PerDayLogging=1
默认情况下,此选项设置为 1。如果将该值设置为 1,则 URLScan 每天创建一个新的日志文件。每个日志文件的名称都是 Urlscan.MMDDYY.log,其中 MMDDYY 是日志文件的日期。如果将该值设置为 0,则所有日志记录都保存在同一个文件中,与日期无关。
? AllowLateScanning=0
察看本文应用于的产品
文章编号 : 326444
最后修改 : 2007年3月14日
修订 : 5.3
我们强烈建议所有运行 Microsoft Windows Server 2003 的用户将 Microsoft Internet 信息服务 (IIS) 升级到 6.0 版,因为 IIS 6.0 显著增强了 Web 基础结构的安全性。有关与 IIS 安全性相关的主题的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
本页
概要
本文分步说明如何配置 URLScan 工具以防止 Web 服务器受到攻击和利用。
回到顶端
安装 URLScan
要安装 URLScan,请访问下面的 Microsoft Developer Network (MSDN) 网站:
http://msdn2.microsoft.com/en-us/library/aa302368.aspx (http://msdn2.microsoft.com/en-us/library/aa302368.aspx)
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307608 (http://support.microsoft.com/kb/307608/) 对 IIS 使用 URLScan
回到顶端
修改 URLScan.ini 文件
URLScan 的所有配置都是通过 URLScan.ini 文件执行的,此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夹中。要配置 URLScan,请在文本编辑器(如记事本)中打开此文件,进行相应的更改,然后保存此文件。
注意:要使更改生效,必须重新启动 Internet 信息服务 (IIS)。一种快速的实现方法是在命令提示符处运行 IISRESET。
URLScan.ini 文件包含以下几节: ? [Options]:此节描述常规 URLScan 选项。
? [AllowVerbs] 和 [DenyVerbs]:此节定义 URLScan 允许的谓词(又称作 HTTP 方法)。
? [DenyHeaders]:此节列出 HTTP 请求中不允许的 HTTP 标头。如果 HTTP 请求中包含此节中列出的 HTTP 标头之一,URLScan 将拒绝该请求。
? [AllowExtensions] 和 [DenyExtensions]:此节定义 URLScan 允许的文件扩展名。
? [DenyURLSequences]:此节列出 HTTP 请求中不允许的字符串。URLScan 拒绝那些包含此节中出现的字符串的 HTTP 请求。
本文将更详细地介绍每一节。
[Options] 节
在 [Options] 节中,可以配置许多 URLScan 选项。此节中的每一行都具有以下格式:
OptionName=OptionValue
可用选项及其默认值如下所示: ? UseAllowVerbs=1
默认情况下,此选项设置为 1。如果将此选项设置为 1,则 URLScan 仅允许那些使用 [AllowVerbs] 节中列出的谓词的 HTTP 请求。URLScan 禁止任何不使用这些谓词的请求。如果将此选项设置为 0,则 URLScan 忽略 [AllowVerbs] 节,相反仅禁止那些使用 [DenyVerbs] 节中列出的谓词的请求。
? UseAllowExtensions=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 禁止对 [DenyExtensions] 节中列出的文件扩展名的请求,但允许对任何其他文件扩展名的请求。如果将此选项设置为 1,则 URLScan 仅允许对带 [AllowExtensions] 节中列出的扩展名的文件的请求,而禁止对任何其他文件的请求。
? NormalizeUrlBeforeScan=1
IIS 收到用 URL 编码的请求。这表示某些字符可能被替换为百分号 (%) 后跟特定的数字。例如,%20 对应于一个空格,因此,对 http://myserver/My%20Dir/My%20File.htm 的请求与对 http://myserver/My Dir/My File.htm 的请求是相同的。标准化就是对 URL 编码请求进行解码的过程。默认情况下,此选项设置为 1。如果将 NormalizeUrlBeforeScan 选项设置为 1,则 URLScan 分析已解码的请求。如果将此选项设置为 0,则 URLScan 分析未解码的请求。将此选项设置为 0 会影响 URLScan 禁止某种攻击的能力。
? VerifyNormalization=1
由于百分号 (%) 本身可以是 URL 编码的,所以攻击者可以向服务器提交一个精心制作的、基本上是双重编码的请求。如果发生这种情况,IIS 可能会接受本应视作无效而拒绝的请求。默认情况下,此选项设置为 1。如果将 VerifyNormalization 选项设置为 1,则 URLScan 将对 URL 执行两次标准化。如果第一次标准化后的 URL 与第二次标准化后的 URL 不同,URLScan 将拒绝该请求。这样就可以防止那些依赖双重编码请求的攻击。
? AllowHighBitCharacters=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝任何包含非 ASCII 字符的请求。这样可以防止某些类型的攻击,但同时可能也会禁止对某些合法文件的请求,如带有非英文名的文件。
? AllowDotInPath=0
默认情况下,此选项设置为 0。如果将此选项设置为 0,则 URLScan 拒绝所有包含多个句点 (.) 的请求。这样可以防止通过将安全的文件扩展名放入 URL 的路径信息或查询字符串部分,以达到伪装请求中的危险文件扩展名的企图。例如,如果将此选项设置为 1,则 URLScan 可能允许对 http://servername/BadFile.exe/SafeFile.htm 的请求,因为它认为这是对 HTML 页的请求,但实际上这是一个对可执行 (.exe) 文件的请求,而该文件的名称在 PATH_INFO 区域中显示为 HTML 页的名称。如果将此选项设置为 0,URLScan 可能还会拒绝对包含句点的目录的请求。
? RemoveServerHeader=0
默认情况下,Web 服务器返回一个标头,其中指出了 Web 服务器在所有响应中运行的 Web 服务器软件。这会增加服务器遭受攻击的可能性,因为攻击者可以确定服务器正在运行 IIS,于是便攻击已知的 IIS 问题,而不是试图使用为其他 Web 服务器设计的攻击手段来攻击 IIS 服务器。默认情况下,此选项设置为 0。如果将 RemoveServerHeader 选项设置为 1,可以防止您的服务器发送将其标识为 IIS 服务器的标头。如果将 RemoveServerHeader 设置为 0,则仍发送此标头。
? AlternateServerName=(默认情况下不指定)
如果将 RemoveServerHeader 设置为 0,可以在 AlternateServerName 选项中指定一个字符串以指定将在服务器标头中传回的内容。如果将 RemoveServerHeader 设置为 1,则此选项将被忽略。
? EnableLogging=1
默认情况下,URLScan 在 %WINDIR%\System32\Inetsrv\URLScan 中保留所有被禁止的请求的完整日志。如果不希望保留此日志,可将 EnableLogging 设置为 0。
? PerProcessLogging=0
默认情况下,此选项设置为 0。如果将此选项设置为 1,URLScan 将为承载 URLScan.dll 的每个进程创建一个单独的日志。如果将此选项设置为 0,所有进程将记录到同一个文件中。
? PerDayLogging=1
默认情况下,此选项设置为 1。如果将该值设置为 1,则 URLScan 每天创建一个新的日志文件。每个日志文件的名称都是 Urlscan.MMDDYY.log,其中 MMDDYY 是日志文件的日期。如果将该值设置为 0,则所有日志记录都保存在同一个文件中,与日期无关。
? AllowLateScanning=0
最新技术文章: