服務(wù)器管理手冊

《服務(wù)器管理手冊》由會(huì)員分享，可在線閱讀，更多相關(guān)《服務(wù)器管理手冊（15頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Server服務(wù)器管理與維護(hù) 　　 四川.西域工作室 （一）、服務(wù)器虛擬化與維護(hù)技術(shù) 現(xiàn)在談?wù)摲?wù)器虛擬化，而未來將關(guān)注桌面和應(yīng)用虛擬化。受服務(wù)器虛擬化技術(shù)在創(chuàng)建更緊湊、高度靈活和高性價(jià)比的服務(wù)器基礎(chǔ)設(shè)施的應(yīng)用激發(fā)，該技術(shù)正炙手可熱。例如，F(xiàn)orrester Research的調(diào)查結(jié)果顯示，1200位全球企業(yè)回答者中的75%的人知道服務(wù)器虛擬化技術(shù)，26%的人部署了這項(xiàng)技術(shù)，另外8%的人將在明年試驗(yàn)這項(xiàng)技術(shù)。此外，60%部署這項(xiàng)技術(shù)的回答者計(jì)劃擴(kuò)展這項(xiàng)技術(shù)應(yīng)用的事實(shí)也很能說明問題。 隨著公司開始熟悉這項(xiàng)技術(shù)，它帶來的好處開始顯現(xiàn)。所有這些活動(dòng)將導(dǎo)致最終的新一代數(shù)據(jù)中心架構(gòu)—一

2、個(gè)建立在虛擬化基礎(chǔ)設(shè)施上的架構(gòu)。但是，F(xiàn)oundation Capital風(fēng)險(xiǎn)投資合伙人、曾經(jīng)的VMware ESX Server產(chǎn)品經(jīng)理Ashmeet Sidana說，目前只有5%左右的企業(yè)服務(wù)器實(shí)現(xiàn)了虛擬化，而達(dá)到虛擬化技術(shù)成為通用架構(gòu)和事實(shí)上的部署機(jī)制的程度仍需要多年時(shí)間。 然而，不要一葉障目。服務(wù)器虛擬化并不是市場上唯一的虛擬化選擇。他說，在今后幾年里，我們肯定會(huì)在新一代數(shù)據(jù)中心中看到一些令人驚嘆的虛擬化部署 應(yīng)用虛擬化 例如，應(yīng)該關(guān)注將在桌面虛擬化領(lǐng)域出現(xiàn)的神奇技術(shù)。Sidana說：“現(xiàn)在有很多新興廠商考慮如何將虛擬化技術(shù)應(yīng)用于滿足管理、部署、可用性、備份和修補(bǔ)需求?！? Si

3、dana并不承認(rèn)，或者至少?zèng)]有公開承認(rèn)已經(jīng)找到了一家值得Foundation Capital投資的公司。相反，他提到很多屬于“虛擬化桌面基礎(chǔ)設(shè)施聯(lián)盟”的公司作出的虛擬化開發(fā)努力。該聯(lián)盟是4月份推出的由VMware領(lǐng)導(dǎo)的組織。目前，該組織成員包括Altiris、Appstream、Ardence、Check Point、Citrix、Fujitsu、Fujitsu-Siemens、Hitachi、HP、IBM、Leostream、NEC、Platform、Softricity、Sun和Wyse等公司。VMware表示，聯(lián)盟的目標(biāo)是使IT管理員在數(shù)據(jù)中心托管和集中管理桌面虛擬機(jī)，同時(shí)從用戶所在的位

4、置為用戶提供全面的桌面體驗(yàn)。 無疑，新一代數(shù)據(jù)中心其他領(lǐng)域的虛擬化同服務(wù)器虛擬化所證明的一樣大有希望。以應(yīng)用虛擬化為例。由于它使應(yīng)用程序獨(dú)立于主機(jī)操作系統(tǒng)并相互獨(dú)立，這項(xiàng)技術(shù)將為企業(yè)桌面環(huán)境帶來多種好處。研究公司Summit Strategies（最近被Ovum所收購）客戶解決方案實(shí)踐主管Warren Wilson說，同服務(wù)器虛擬化一樣，應(yīng)用虛擬化的一個(gè)重要好處是更低的總擁有成本。Wilson可以滔滔不絕地說出應(yīng)用虛擬化的很多其他好處，如更好的系統(tǒng)穩(wěn)定性、更少的崩潰、更長的正常運(yùn)行時(shí)間。他說，所有這些好處將帶來更高的工作人員生產(chǎn)力和更少、負(fù)擔(dān)更輕的服務(wù)臺(tái)運(yùn)營。 Wilson補(bǔ)充說，你現(xiàn)在甚

5、至就可以走上應(yīng)用虛擬化之路。來自ZeoSoft的技術(shù)將一臺(tái)手持PDA變?yōu)榭梢耘c其他PDA互動(dòng)的移動(dòng)服務(wù)器，以對(duì)等方式為它們提供容器化應(yīng)用程序（containerized applications）。他說：“這正是虛擬化技術(shù)向新領(lǐng)域的擴(kuò)展?！? 從何處入手： 那么，你應(yīng)當(dāng)從何處開始呢？你可以通過分析那些推銷應(yīng)用虛擬化軟件的廠商入手。這些廠商包括IBM（通過2005年收購Meiosys）、Softricity（今年年初被微軟所收購）和新興廠商Trigence。每一家廠商都有自己的特點(diǎn)，但共同的思路是應(yīng)用隔離，即虛擬化是使桌面基礎(chǔ)設(shè)施更加靈活的關(guān)鍵元素。 除了熟悉應(yīng)用虛擬化之外，應(yīng)當(dāng)更多地從用戶

6、界面而非應(yīng)用程序本身來了解傳統(tǒng)的桌面軟件廠商（如Altiris和Citrix）是如何對(duì)待虛擬化技術(shù)的，以及其他廠商如何在操作系統(tǒng)層上處理虛擬化技術(shù)的。提供后一類虛擬化技術(shù)的兩家廠商是Sun公司（提供Solaris Containers）和新興廠商SWsoft（提供Virtuozzo軟件）。要善于在新公司向你推銷他們的虛擬化技術(shù)時(shí)傾聽他們說些什么——你也許會(huì)在其中發(fā)現(xiàn)某些獵物。這些虛擬化技術(shù)中沒有一種必須是相互排斥的。 虛擬服務(wù)器領(lǐng)域競爭廠商 VMware: 虛擬化市場的開拓者，迄今為止仍然是該市場的領(lǐng)頭羊。從2001年開始進(jìn)入服務(wù)器虛擬化市場，主要產(chǎn)品有GSX Server和ESX S

7、erver。在2006年6月，VMware公司發(fā)布了VMware Infrastructure 3，該產(chǎn)品集成了完備的虛擬化、管理、資源優(yōu)化、操作自動(dòng)化等各項(xiàng)服務(wù)器虛擬化功能組件。 微軟：目前產(chǎn)品為Virtual Server 2005，免費(fèi)提供給用戶。計(jì)劃在2007~2008年提供一款新的hypervisor，該產(chǎn)品將能夠?qū)崿F(xiàn)在單個(gè)物理服務(wù)器上運(yùn)行多個(gè)操作系統(tǒng)。在該款產(chǎn)品發(fā)布的同時(shí)，也會(huì)發(fā)布一款新的虛擬化管理工具。 Novell：作為Linux發(fā)行商之一，在其SuSE Enterprise Linux 10之中集成了Xen的開源虛擬化技術(shù)。 Parallels：桌面虛擬化廠商。該

8、公司計(jì)劃在今年的第四季度進(jìn)行其服務(wù)器虛擬化產(chǎn)品的beta測試。 Red Hat：計(jì)劃在其Red Hat Enterprise Linux 5中增加對(duì)Xen的支持。 Sun：Sun公司的Solaris 10中集成的Container允許在一個(gè)單獨(dú)的Solaris操作系統(tǒng)上運(yùn)行多個(gè)獨(dú)立的應(yīng)用。并且在今年的年末，Sun會(huì)對(duì)Solaris 10進(jìn)行更新，以便提供對(duì)Xen的支持。 SWsoft：該公司的Virtuozzo軟件在操作系統(tǒng)之上進(jìn)行虛擬化，因此可以在安裝了單個(gè)操作系統(tǒng)的服務(wù)器之上運(yùn)行多個(gè)獨(dú)立的應(yīng)用，有點(diǎn)類似于Sun的Container。 Virtual Iron：Xen是該虛擬

9、化公司的基礎(chǔ)技術(shù)，它允許客戶構(gòu)建虛擬資源池，并且根據(jù)應(yīng)用需要進(jìn)行調(diào)度。 XenSource：Xen開發(fā)項(xiàng)目的領(lǐng)導(dǎo)廠商，提供XenEnterprise。該產(chǎn)品是Xen的企業(yè)版，提供一系列的支持服務(wù)。 （二）、服務(wù)器的維護(hù)管理 一、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建，更改默認(rèn)的管理員帳戶名（Administrator）和描述，密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合，長度最好不少于14位。 2、新建一個(gè)名為Administrator的陷阱帳號(hào)，為其設(shè)置最小的權(quán)限，然后隨便輸入組合的最好不低于20位的密碼。 3、將Guest賬戶禁用并更改名稱和描述，然后輸入一個(gè)復(fù)雜的

10、密碼，然后禁用。 4、開始-程序-管理工具-本地安全策略，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶設(shè)為“三次登陸無效”，“鎖定時(shí)間為30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。 5、在安全設(shè)置-本地策略-安全選項(xiàng)中將“不顯示上次的用戶名”設(shè)為啟用 。 6. 本地策略-安全選項(xiàng)-對(duì)匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號(hào)和共享) 二、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADMIN$一類的缺省共享 打開注冊表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver

11、\parameters，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer值設(shè)為0. 注冊表不了解.不要隨便更改. 2、 解除NetBios與TCP/IP協(xié)議的綁定 　　右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級(jí)-Wins-禁用TCP/IP上的NETBIOS 3、關(guān)閉不需要的服務(wù)，以下為建議選項(xiàng) 開始-所有程序-管理工具-服務(wù) 　　 Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用 　　 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 　　 Distributed linktra

12、cking client：用于局域網(wǎng)更新連接信息，不需要禁用 　　 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 　　 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 　　 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要禁用 　　 PrintSpooler：如果沒有打印機(jī)可禁用 　　 Remote Registry：禁止遠(yuǎn)程修改注冊表 　　 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 　　 Messenger:信使服務(wù)(w

13、indows2000) 　　 Task Scheduler: 允許程序在指定時(shí)間運(yùn)行(不用計(jì)劃任務(wù)就禁用掉) 　　 TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務(wù)以及 NetBIOS 名稱解析的支持 注：新上架的服務(wù)器已經(jīng)做過其他安全設(shè)置只開以下端口，需要開其他端口可以在。右擊網(wǎng)上鄰居-屬性-Internet協(xié)議（TCP/IP）屬性-高級(jí)-選項(xiàng)-TCP/IP篩選－屬性-TCP端口－添加你想要開的端口. 　 　 默認(rèn)開啟的端口列表： 　 　FTP:20.21 　　 mail:25.110 　　 Web:80 　　 pcanywh

14、ere:5631 　　 遠(yuǎn)程桌面：3389 (3389不要關(guān)閉，否則將無法遠(yuǎn)程連接) 三、系統(tǒng)安全管理 　　1.對(duì)于系統(tǒng)的NTFS磁盤權(quán)限設(shè)置,C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置，這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶，否則造成啟動(dòng)不了。 　　2. Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行。 　　3. 另外在c:/Documents and Settings/這里相當(dāng)重要，后面的目錄里的權(quán)限根本不會(huì)繼承從前的

15、設(shè)置，如果僅僅只是設(shè)置了C盤給administrators權(quán)限，而在All Users/Application Data目錄下會(huì) 出現(xiàn)everyone用戶有完全控制權(quán)限，這樣入侵這可以跳轉(zhuǎn)到這個(gè)目錄，寫入腳本或只文件，再結(jié)合其他漏洞來提升權(quán)限. 　　4. net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe這些文件都設(shè)置只允許administrators.system訪問.guests禁止訪問 四、打開相應(yīng)的審核策略 　　開始-程序-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略

16、　　注:windows2003已經(jīng)開啟部分.windows2000沒有開啟.可以根據(jù)實(shí)際情況來設(shè)置. 　　推薦的要審核的項(xiàng)目是： 　　登錄事件 成功 失敗 　　賬戶登錄事件 成功 失敗 　　系統(tǒng)事件 成功 失敗 　　策略更改 成功 失敗 　　對(duì)象訪問 失敗 　　目錄服務(wù)訪問 失敗 　　特權(quán)使用 失敗 （三）、服務(wù)器硬件故障實(shí)例 硬件故障是指服務(wù)器硬件出現(xiàn)異常而導(dǎo)致的各類錯(cuò)誤。由于服務(wù)器構(gòu)成比較復(fù)雜，因此在檢查的時(shí)候必須認(rèn)真、仔細(xì)。下面以一臺(tái)LH6000為例說明。 有一臺(tái)HP LH6000，配有256M內(nèi)存，使用一個(gè)PIII XEON 700帶2M高速緩存的

17、處理器。開機(jī)后沒有任何顯示，但系統(tǒng)日志上提示了一條CPU電壓為0伏的信息，系統(tǒng)指示燈三燈不停在閃爍（指示燈三燈閃爍是服務(wù)器的另一種報(bào)警方式，我會(huì)在文后說明）。這種錯(cuò)誤一般是處理器電壓調(diào)節(jié)模塊（VRM）出錯(cuò)或CPU出錯(cuò)或CPU與CPU板塊接觸不良，但也可能是CPU板塊出錯(cuò)，這時(shí)情況就比較復(fù)雜了，必須經(jīng)過認(rèn)真慎重的思考。因?yàn)镃PU板塊在整個(gè)服務(wù)器中，占有舉足輕重的地位，如果它出錯(cuò)服務(wù)器是會(huì)報(bào)致命錯(cuò)誤的，并且在系統(tǒng)日志中會(huì)提示致命錯(cuò)誤，但報(bào)CPU電壓錯(cuò)的情況也有5%左右。我們立刻把CPU調(diào)換在另一CPU插槽中，開機(jī)后依然是剛才的那種故障。所以在初步判斷中，可以排除是CPU板塊壞。 這時(shí)，取出CPU

18、仔細(xì)擦拭金手指，以及CPU板塊中與CPU接觸的地方后，開機(jī)依然無顯示。 相對(duì)處理器壞的情況來說處理器電壓模塊（VRM）出現(xiàn)故障的情況比較大。于是立即在另一臺(tái)LH 6000中取下一個(gè)處理器電壓模塊，安裝在此服務(wù)器中。開機(jī)后，服務(wù)器依然沒有任何顯示，系統(tǒng)日志上依然提示CPU電壓為0伏的信息，系統(tǒng)指示燈三燈依然不停在閃爍。這時(shí)的情況就比較明顯了。于是立即從另一臺(tái)LH6000中取下一個(gè)CPU安裝后，開機(jī)正常。 在服務(wù)器的維修中，線索都會(huì)顯得撲朔迷離，一般來說不可能一次就可以準(zhǔn)確地判斷出問題的所在。這樣就要求相關(guān)人員要有信心及耐心。出現(xiàn)錯(cuò)誤一般的流程是通過系統(tǒng)日志上的信息來解決，如果沒有解決問題再找

19、出其它因素，然后再看日志信息?？傊?，服務(wù)器出錯(cuò)后，必須一步一步解決，沒有捷徑可言。 又如：有一臺(tái)HP LH 4開機(jī)不顯示，發(fā)現(xiàn)開機(jī)時(shí)系統(tǒng)日志沒有任何信息，且系統(tǒng)指示燈不亮。初步判斷是電源方面出現(xiàn)了錯(cuò)誤。經(jīng)過仔細(xì)檢查，發(fā)現(xiàn)服務(wù)器的電源是正常的，因此最大的可能就是服務(wù)器的電源管理板出現(xiàn)故障。更換電源管理板后，開機(jī)顯示正常。但這時(shí)，新的問題來了：自檢時(shí)，用CTRL+M不能檢測到硬盤。 硬盤在別的服務(wù)器上是正常的，因此立即清除此服務(wù)器的CMOS，但依然不正常。我立刻上網(wǎng)找到此服務(wù)器的最新BIOS，升級(jí)BIOS后也不能解決問題。又檢查硬盤籠子和服務(wù)器里的數(shù)據(jù)線及電源線后依然出錯(cuò)。這時(shí)，一般情況會(huì)懷疑

20、是服務(wù)器的I/O板（輸入輸出板塊）有問題。但就在這個(gè)時(shí)候，我發(fā)現(xiàn)在I/O板上有一個(gè)非HP的舊式網(wǎng)卡，立即去除此網(wǎng)卡后服務(wù)器就一切正常。 硬件故障并不單單指硬件有問題，它也指硬件之間不兼容。因?yàn)榉?wù)器的正常運(yùn)作需要各部件之間的大力協(xié)調(diào)。建議大家在采購各元件時(shí)，都采用同一品牌原裝的，并且要采用能發(fā)揮服務(wù)器性能的元件（上例中的舊式網(wǎng)卡即使正常也會(huì)嚴(yán)重影響服務(wù)器性能），這樣才不會(huì)發(fā)生莫明其妙的故障。 我曾遇到過一種情況：用戶需要把他的HP LH6000升級(jí)到雙網(wǎng)卡，我建議他購買原裝網(wǎng)卡，但當(dāng)他看到HP LH6000的網(wǎng)卡是采用的INTEL 82559芯片后，斷然決定不使用原裝網(wǎng)卡而采用另一品牌也采

21、用INTEL 82559的網(wǎng)卡。過了幾天，他打電話給我說，他的新網(wǎng)卡不能使用網(wǎng)絡(luò)冗余及數(shù)據(jù)校驗(yàn)，并懷疑服務(wù)器有問題。我?guī)Я艘粋€(gè)HP網(wǎng)卡到用戶那里，仔細(xì)檢查了服務(wù)器的環(huán)境完全正常后，把HP網(wǎng)卡安裝到機(jī)器上后一切正常。這個(gè)例子更加說明了，要發(fā)揮服務(wù)器的最大性能及功能，必須使用原品牌原裝的配件。非原品牌非原裝的配件，不能支持服務(wù)器的某些功能，嚴(yán)重的會(huì)影響到服務(wù)器的正常使用。 一般來說中、高端的服務(wù)器報(bào)警系統(tǒng)都比較完善，除了系統(tǒng)日志外，還有指示燈。以HP LH6000來說，指示燈的綠色燈常亮表示服務(wù)器正常；綠燈亮而黃色閃爍表示服務(wù)器有故障，但不是致命的；如果三燈閃爍（綠、黃、紅三燈）就表示服務(wù)器有致

22、命故障，服務(wù)器停止運(yùn)行。相比較而言，指示燈只能提示比較籠統(tǒng)的故障，而系統(tǒng)日志就比較完全。在維修中，必須仔細(xì)察看這兩種報(bào)警系統(tǒng)的信息。有一點(diǎn)必須注意的是系統(tǒng)日志是一個(gè)存儲(chǔ)器，容量有限（LH 6000能存200條信息）。當(dāng)容量不夠時(shí)必須清空，否則服務(wù)器將報(bào)警，一般是服務(wù)器指示燈報(bào)非致命錯(cuò)誤，但卻不能再存任何信息。 要避免硬件故障發(fā)生頻率，服務(wù)器管理人員必須注意服務(wù)器的使用環(huán)境完全正常。比較重要的服務(wù)器必須在恒溫、恒濕的環(huán)境；電壓也要符合，不僅要采用UPS，還必須接地線，必須是左零線、右火線，零地電壓在1~3伏。在開、關(guān)服務(wù)器上必須符合正常的流程。工作人員必須嚴(yán)格執(zhí)行操作流程。 一般情況來說，服

23、務(wù)器管理人員對(duì)于硬件故障只要有豐富的經(jīng)驗(yàn)都能很快找出故障所在，如果不能解決就必須迅速與服務(wù)器的售后服務(wù)中心聯(lián)系。 （四）服務(wù)器維護(hù)與內(nèi)網(wǎng)安全策略 幾乎所有企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視程度一下子提高了，紛紛采購防火墻等設(shè)備希望堵住來自Internet的不安全因素。然而，Intranet內(nèi)部的攻擊和入侵卻依然猖狂。事實(shí)證明，公司內(nèi)部的不安全因素遠(yuǎn)比外部的危害更恐怖。 大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全，暫且不提它們在這方面的投資多少，但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心內(nèi)網(wǎng)還是非常脆弱的。企業(yè)也對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)施了相應(yīng)保護(hù)措施，如：安裝動(dòng)輒數(shù)萬甚至數(shù)十萬的網(wǎng)絡(luò)防火墻、入侵檢測軟件等，并希望以此實(shí)現(xiàn)內(nèi)網(wǎng)與Intern

24、et的安全隔離，然而，情況并非如此！企業(yè)中經(jīng)常會(huì)有人私自以Modem撥號(hào)方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng)，而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中，這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅，從某種意義來講，企業(yè)耗費(fèi)巨資配備的防火墻已失去意義。這種接入方式的存在，極有可能使得黑客繞過防火墻而在企業(yè)毫不知情的情況下侵入內(nèi)部網(wǎng)絡(luò)，從而造成敏感數(shù)據(jù)泄密、傳播病毒等嚴(yán)重后果。實(shí)踐證明，很多成功防范企業(yè)網(wǎng)邊界安全的技術(shù)對(duì)保護(hù)企業(yè)內(nèi)網(wǎng)卻沒有效用。于是網(wǎng)絡(luò)維護(hù)者開始大規(guī)模致力于增強(qiáng)內(nèi)網(wǎng)的防衛(wèi)能力。 下面給出了應(yīng)對(duì)企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的10種策略。這10種策略即是內(nèi)網(wǎng)的防御策略，同時(shí)也是一個(gè)提高大型企業(yè)網(wǎng)絡(luò)安全的策略。

25、 1、 注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同 內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范（如邊界防火墻系統(tǒng)等）減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會(huì)先控制局域網(wǎng)絡(luò)內(nèi)部的一臺(tái)Server，然后以此為基地，對(duì)Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時(shí)建立并加強(qiáng)內(nèi)網(wǎng)防范策略。 2、 限制VPN的訪問 虛擬專用網(wǎng)（VPN）用戶的訪問對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。因?yàn)樗鼈儗⑷趸?/p>

26、的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問權(quán)限級(jí)別即可，如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。 3、 為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù) 合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實(shí)際技術(shù)來完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)，那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建

27、一個(gè)DMZ，并將他們所需要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問。 4、 自動(dòng)跟蹤的安全策略 智能的自動(dòng)執(zhí)行實(shí)時(shí)跟蹤的安全策略是有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全實(shí)踐的關(guān)鍵。它帶來了商業(yè)活動(dòng)中一大改革，極大的超過了手動(dòng)安全策略的功效。商業(yè)活動(dòng)的現(xiàn)狀需要企業(yè)利用一種自動(dòng)檢測方法來探測商業(yè)活動(dòng)中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實(shí)時(shí)跟蹤企業(yè)員工的雇傭和解雇、實(shí)時(shí)跟蹤網(wǎng)絡(luò)利用情況并記錄與該計(jì)算機(jī)對(duì)話的文件服務(wù)器?？傊?，要做到確保每天的所有的活動(dòng)都遵循安全策略。 5、 關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器 大型企業(yè)網(wǎng)可能同時(shí)支持四到五個(gè)服務(wù)器傳送e－mail，有的企業(yè)網(wǎng)還會(huì)出現(xiàn)幾十個(gè)其他服

28、務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個(gè)程序（或程序中的邏輯單元）作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議 6、 首先保護(hù)重要資源 若一個(gè)內(nèi)網(wǎng)上連了千萬臺(tái)（例如30000臺(tái)）機(jī)子，那么要期望保持每一臺(tái)主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實(shí)的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對(duì)服務(wù)器做效益分析評(píng)估，然后對(duì)內(nèi)網(wǎng)的每一臺(tái)網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器（例如實(shí)時(shí)跟蹤客戶的服務(wù)器）并對(duì)他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企

29、業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。 7、 建立可靠的無線訪問 審查網(wǎng)絡(luò)，為實(shí)現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點(diǎn)，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點(diǎn)置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。 8、 建立安全過客訪問 對(duì)于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實(shí)時(shí)跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。 9、 創(chuàng)建虛擬邊界防護(hù) 主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊（這是不可能的），還不如

30、在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個(gè)問題。這樣，如果一個(gè)市場用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的R&D。因此要實(shí)現(xiàn)公司R&D與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。 10、 可靠的安全決策 網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對(duì)網(wǎng)絡(luò)安全知識(shí)非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓

31、這些用戶也容易使用，這樣才能引導(dǎo)他們自動(dòng)的響應(yīng)網(wǎng)絡(luò)安全策略。 另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。 （五）IIS6服務(wù)器中的故障分析 在用IIS6架網(wǎng)站的時(shí)候遇到不少問題，而這些問題有些在過去的IIS5里面就遇到過，有些是新出來的，俺忙活了一下午，做了很多次試驗(yàn)，結(jié)合以前的排錯(cuò)經(jīng)驗(yàn)，做出了這個(gè)總結(jié)： 問題1：未啟用父路徑 癥狀舉例： Server.MapPath() 錯(cuò)誤 ASP 0175 : 80004005 不允許的 Path 字符 /0709/dqyllhsub/news/

32、OpenDatabase.asp，行 4 在 MapPath 的 Path 參數(shù)中不允許字符。 原因分析： 許多Web頁面里要用到諸如../格式的語句（即回到上一層的頁面，也就是父路徑），而IIS6.0出于安全考慮，這一選項(xiàng)默認(rèn)是關(guān)閉的。 解決方法： 在IIS中 屬性->主目錄->配置->選項(xiàng)中。把”啟用父路徑“前面打上勾。確認(rèn)刷新。 問題2：ASP的Web擴(kuò)展配置不當(dāng)（同樣適用于ASP.NET、CGI） 癥狀舉例： HTTP 錯(cuò)誤 404 - 文件或目錄未找到。 原因分析： 在IIS6.0中新增了web程序擴(kuò)展這一選項(xiàng)，你可以在其中對(duì)ASP、ASP.NET、CGI、I

33、DC等程序進(jìn)行允許或禁止，默認(rèn)情況下ASP等程序是禁止的。 解決方法： 在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages，點(diǎn)擊“允許”。 問題3：身份認(rèn)證配置不當(dāng) 癥狀舉例： HTTP 錯(cuò)誤 401.2 - 未經(jīng)授權(quán)：訪問由于服務(wù)器配置被拒絕。 原因分析：IIS 支持以下幾種 Web 身份驗(yàn)證方法： 匿名身份驗(yàn)證：IIS 創(chuàng)建 IUSR_計(jì)算機(jī)名稱 帳戶（其中 計(jì)算機(jī)名稱 是正在運(yùn)行 IIS 的服務(wù)器的名稱），用來在匿名用戶請(qǐng)求 Web 內(nèi)容時(shí)對(duì)他們進(jìn)行身份驗(yàn)證。此帳戶授予用戶本地登錄權(quán)限。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。

34、基本身份驗(yàn)證 ：使用基本身份驗(yàn)證可限制對(duì) NTFS 格式 Web 服務(wù)器上的文件的訪問。使用基本身份驗(yàn)證，用戶必須輸入憑據(jù)，而且訪問是基于用戶 ID 的。用戶 ID 和密碼都以明文形式在網(wǎng)絡(luò)間進(jìn)行發(fā)送。 Windows 集成身份驗(yàn)證：Windows 集成身份驗(yàn)證比基本身份驗(yàn)證安全，而且在用戶具有 Windows 域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成的 Windows 身份驗(yàn)證中，瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù)，如果嘗試失敗，就會(huì)提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗(yàn)證，則用戶的密碼將不傳送到服務(wù)器。如果該用戶作為域用戶登錄到本地計(jì)算機(jī)，則

35、他在訪問此域中的網(wǎng)絡(luò)計(jì)算機(jī)時(shí)不必再次進(jìn)行身份驗(yàn)證。 摘要身份驗(yàn)證 ：摘要身份驗(yàn)證克服了基本身份驗(yàn)證的許多缺點(diǎn)。在使用摘要身份驗(yàn)證時(shí)，密碼不是以明文形式發(fā)送的。另外，你可以通過代理服務(wù)器使用摘要身份驗(yàn)證。摘要身份驗(yàn)證使用一種挑戰(zhàn)/響應(yīng)機(jī)制（集成 Windows 身份驗(yàn)證使用的機(jī)制），其中的密碼是以加密形式發(fā)送的。 .NET Passport 身份驗(yàn)證 ：Microsoft .NET Passport 是一項(xiàng)用戶身份驗(yàn)證服務(wù)，它允許單一簽入安全性，可使用戶在訪問啟用了 .NET Passport 的 Web 站點(diǎn)和服務(wù)時(shí)更加安全。啟用了 .NET Passport 的站點(diǎn)會(huì)依靠 .NET Pa

36、ssport 中央服務(wù)器來對(duì)用戶進(jìn)行身份驗(yàn)證。但是，該中心服務(wù)器不會(huì)授權(quán)或拒絕特定用戶訪問各個(gè)啟用了 .NET Passport 的站點(diǎn)。 解決方法： 根據(jù)需要配置不同的身份認(rèn)證（一般為匿名身份認(rèn)證，這是大多數(shù)站點(diǎn)使用的認(rèn)證方法）。認(rèn)證選項(xiàng)在IIS的屬性->安全性->身份驗(yàn)證和訪問控制下配置。 問題4：IP限制配置不當(dāng) 癥狀舉例： HTTP 錯(cuò)誤 403.6 - 禁止訪問：客戶端的 IP 地址被拒絕。 原因分析： IIS提供了IP限制的機(jī)制，你可以通過配置來限制某些IP不能訪問站點(diǎn)，或者限制僅僅只有某些IP可以訪問站點(diǎn)，而如果客戶端在被你阻止的IP范圍內(nèi)，或者不在你允許的范圍內(nèi)，

37、則會(huì)出現(xiàn)錯(cuò)誤提示。 解決方法： 進(jìn)入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問，需要選擇授權(quán)訪問，點(diǎn)添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。 問題5：IUSR賬號(hào)被禁用 癥狀舉例： HTTP 錯(cuò)誤 401.1 - 未經(jīng)授權(quán)：訪問由于憑據(jù)無效被拒絕。 原因分析： 由于用戶匿名訪問使用的賬號(hào)是IUSR_機(jī)器名，因此如果此賬號(hào)被禁用，將造成用戶無法訪問。 解決辦法： 控制面板->管理工具->計(jì)算機(jī)管理->本地用戶和組，將IUSR_機(jī)器名賬號(hào)啟用。 問題6：NTFS權(quán)限設(shè)置不當(dāng) 癥狀舉例： HTTP 錯(cuò)誤 401.3 - 未

38、經(jīng)授權(quán)：訪問由于 ACL 對(duì)所請(qǐng)求資源的設(shè)置被拒絕。 原因分析： Web客戶端的用戶隸屬于user組，因此，如果該文件的NTFS權(quán)限不足（例如沒有讀權(quán)限），則會(huì)導(dǎo)致頁面無法訪問。 解決辦法： 進(jìn)入該文件夾的安全選項(xiàng)卡，配置user的權(quán)限，至少要給讀權(quán)限。關(guān)于NTFS權(quán)限設(shè)置這里不再饋述。 問題7：IWAM賬號(hào)不同步 癥狀舉例： HTTP 500 - 內(nèi)部服務(wù)器錯(cuò)誤 原因分析： IWAM賬號(hào)是安裝IIS時(shí)系統(tǒng)自動(dòng)建立的一個(gè)內(nèi)置賬號(hào)。IWAM賬號(hào)建立后被Active Directory、IIS metabase數(shù)據(jù)庫和COM+應(yīng)用程序三方共同使用，賬號(hào)密碼被三方分別保存，并由操作

39、系統(tǒng)負(fù)責(zé)這三方保存的IWAM密碼的同步工作。系統(tǒng)對(duì)IWAM賬號(hào)的密碼同步工作有時(shí)會(huì)失效，導(dǎo)致IWAM賬號(hào)所用密碼不統(tǒng)一。 解決辦法： 如果存在AD，選擇開始->程序->管理工具->Active Directory用戶和計(jì)算機(jī)。為IWAM賬號(hào)設(shè)置密碼。 運(yùn)行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密碼 同步IIS metabase數(shù)據(jù)庫密碼 運(yùn)行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM賬號(hào)在COM+應(yīng)用程序中的密碼 問題8：MIME設(shè)置問題導(dǎo)致某些類

40、型文件無法下載（以ISO為例） 癥狀舉例： HTTP 錯(cuò)誤 404 - 文件或目錄未找到。 原因分析： IIS6.0取消了對(duì)某些MIME類型的支持，例如ISO，致使客戶端下載出錯(cuò)。 解決方法： 在IIS中 屬性->HTTP頭->MIME類型->新建。在隨后的對(duì)話框中，擴(kuò)展名填入.ISO，MIME類型是application。 另外，防火墻阻止，ODBC配置錯(cuò)誤，Web服務(wù)器性能限制，線程限制等因素也是造成IIS服務(wù)器無法訪問的可能原因，這里就不再一一饋述了。希望此帖能解決大家的大部分問題 Windows Server 2000~ 2003 DNS服務(wù)器區(qū)域類型 Windows

41、 2000的DNS服務(wù)器中有兩種類型的搜索區(qū)域：“正向搜索區(qū)域”和“反向搜索區(qū)域”。其中“正向搜索區(qū)域”用來處理正向解析，即把主機(jī)名解析為IP地址；而“反向搜索區(qū)域”用來處理反向解析，即把IP地址解析為主機(jī)名。無論是“正向搜索區(qū)域”還是“反向搜索區(qū)域”都有三種區(qū)域類型，分別為：“標(biāo)準(zhǔn)主要區(qū)域”、“標(biāo)準(zhǔn)輔助區(qū)域”和“Active Directory集成的區(qū)域”。下面就來討論一下這幾種區(qū)域類型的區(qū)別。 在創(chuàng)建DNS區(qū)域時(shí)可以先創(chuàng)建一個(gè)“標(biāo)準(zhǔn)主要區(qū)域”，“標(biāo)準(zhǔn)主要區(qū)域”中的區(qū)域記錄是自主生成的，是可讀可寫的，也就是說該DNS服務(wù)器既可以接受新用戶的注冊，也可以給用戶提供名稱解析服務(wù)?！皹?biāo)準(zhǔn)主要區(qū)域

42、”是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)主要區(qū)域”的DNS服務(wù)器稱為該區(qū)域的“主DNS服務(wù)器”。 如果一個(gè)DNS區(qū)域的客戶端計(jì)算機(jī)非常多，為了優(yōu)化對(duì)用戶DNS名稱解析的服務(wù)，可以在另外一臺(tái)DNS服務(wù)器上為該區(qū)域創(chuàng)建一個(gè)“標(biāo)準(zhǔn)輔助區(qū)域”。“標(biāo)準(zhǔn)輔助區(qū)域”中的區(qū)域記錄是從“標(biāo)準(zhǔn)主要區(qū)域”復(fù)制而來的，是只讀的，也就是說該DNS服務(wù)器不能接受新用戶的注冊請(qǐng)求，只能為已經(jīng)注冊的用戶提供名稱解析服務(wù)?！皹?biāo)準(zhǔn)輔助區(qū)域”也是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)輔助區(qū)域”的DNS服務(wù)器稱為該區(qū)域的“輔助DNS服務(wù)器”。 由于“輔助DNS服務(wù)器”的區(qū)域記錄是從“主DNS

43、服務(wù)器”復(fù)制而來，所以“主DNS服務(wù)器”又稱為“輔助DNS服務(wù)器”的“Master服務(wù)器”。但并不是說只有“主DNS服務(wù)器”才能充當(dāng)“Master服務(wù)器”。如果一臺(tái)“輔助DNS服務(wù)器”的區(qū)域記錄是從另外一臺(tái)“輔助DNS服務(wù)器”復(fù)制而來的，那么第一臺(tái)“輔助DNS服務(wù)器”稱為該區(qū)域的“一級(jí)輔助”，而這臺(tái)DNS服務(wù)器稱為該區(qū)域的“二級(jí)輔助”，則“一級(jí)輔助”就稱為“二級(jí)輔助”的“Master服務(wù)器”。 在“標(biāo)準(zhǔn)主要區(qū)域”的區(qū)域?qū)傩灾锌梢栽O(shè)置“是否允許動(dòng)態(tài)更新”?！霸试S動(dòng)態(tài)更新”的含義是：當(dāng)該區(qū)域的客戶端計(jì)算機(jī)的IP地址或主機(jī)名發(fā)生變化時(shí)，這種改變可以動(dòng)態(tài)的在DNS區(qū)域記錄中進(jìn)行更改，而無需管理員手工

44、更改。 “Active Directory集成的區(qū)域”只存在于域控制器（DC）上，而且該類型的區(qū)域不是以文件的形式存在的，而是存在于活動(dòng)目錄中的。“Active Directory集成的區(qū)域”不會(huì)發(fā)生區(qū)域復(fù)制，而是隨著活動(dòng)目錄的復(fù)制而復(fù)制的，因此這種區(qū)域類型避免了DNS服務(wù)器單點(diǎn)失敗的現(xiàn)象。在“Active Directory集成的區(qū)域”的區(qū)域?qū)傩灾谐丝梢栽O(shè)置“是否允許動(dòng)態(tài)更新”外，還可以設(shè)置“僅安全更新”。 “僅安全更新”的含義是在動(dòng)態(tài)更新的基礎(chǔ)上保證安全。那么設(shè)置為“僅安全更新”的DNS區(qū)域是如何實(shí)現(xiàn)安全性的呢？我們經(jīng)常講的一句話就是“域是安全的最小邊界”，“僅安全更新”的區(qū)域?qū)⒅唤邮芤呀?jīng)加入到該域的計(jì)算機(jī)賬號(hào)的主機(jī)名和IP地址的變化，而當(dāng)那些不屬于該域的計(jì)算機(jī)賬號(hào)的主機(jī)名和IP地址發(fā)生變化時(shí)是不會(huì)在區(qū)域記錄中動(dòng)態(tài)改變的，但是這些計(jì)算機(jī)仍然可以利用該DNS服務(wù)器進(jìn)行名稱解析服務(wù)。 DNS的區(qū)域類型是可以改變的，可以把一個(gè)“標(biāo)準(zhǔn)主要區(qū)域”類型更改為“標(biāo)準(zhǔn)輔助區(qū)域”，或者為了加強(qiáng)安全性把它更改為“Active Directory集成的區(qū)域”。不過一般來說，對(duì)于活動(dòng)目錄的DNS區(qū)域類型最好采用“Active Directory集成的區(qū)域”，而且設(shè)置區(qū)域?qū)傩詾椤皟H安全更新”，不要把它更改為“標(biāo)準(zhǔn)主要區(qū)域”類型。