服務(wù)器管理手冊

上傳人:仙*** 文檔編號:30181265 上傳時間:2021-10-09 格式:DOC 頁數(shù):15 大小:507KB
收藏 版權(quán)申訴 舉報 下載
服務(wù)器管理手冊_第1頁
第1頁 / 共15頁
服務(wù)器管理手冊_第2頁
第2頁 / 共15頁
服務(wù)器管理手冊_第3頁
第3頁 / 共15頁

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《服務(wù)器管理手冊》由會員分享,可在線閱讀,更多相關(guān)《服務(wù)器管理手冊(15頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、Server服務(wù)器管理與維護(hù)    四川.西域工作室 (一)、服務(wù)器虛擬化與維護(hù)技術(shù) 現(xiàn)在談?wù)摲?wù)器虛擬化,而未來將關(guān)注桌面和應(yīng)用虛擬化。受服務(wù)器虛擬化技術(shù)在創(chuàng)建更緊湊、高度靈活和高性價比的服務(wù)器基礎(chǔ)設(shè)施的應(yīng)用激發(fā),該技術(shù)正炙手可熱。例如,F(xiàn)orrester Research的調(diào)查結(jié)果顯示,1200位全球企業(yè)回答者中的75%的人知道服務(wù)器虛擬化技術(shù),26%的人部署了這項技術(shù),另外8%的人將在明年試驗這項技術(shù)。此外,60%部署這項技術(shù)的回答者計劃擴(kuò)展這項技術(shù)應(yīng)用的事實也很能說明問題。 隨著公司開始熟悉這項技術(shù),它帶來的好處開始顯現(xiàn)。所有這些活動將導(dǎo)致最終的新一代數(shù)據(jù)中心架構(gòu)—一

2、個建立在虛擬化基礎(chǔ)設(shè)施上的架構(gòu)。但是,F(xiàn)oundation Capital風(fēng)險投資合伙人、曾經(jīng)的VMware ESX Server產(chǎn)品經(jīng)理Ashmeet Sidana說,目前只有5%左右的企業(yè)服務(wù)器實現(xiàn)了虛擬化,而達(dá)到虛擬化技術(shù)成為通用架構(gòu)和事實上的部署機(jī)制的程度仍需要多年時間。 然而,不要一葉障目。服務(wù)器虛擬化并不是市場上唯一的虛擬化選擇。他說,在今后幾年里,我們肯定會在新一代數(shù)據(jù)中心中看到一些令人驚嘆的虛擬化部署 應(yīng)用虛擬化 例如,應(yīng)該關(guān)注將在桌面虛擬化領(lǐng)域出現(xiàn)的神奇技術(shù)。Sidana說:“現(xiàn)在有很多新興廠商考慮如何將虛擬化技術(shù)應(yīng)用于滿足管理、部署、可用性、備份和修補需求?!? Si

3、dana并不承認(rèn),或者至少沒有公開承認(rèn)已經(jīng)找到了一家值得Foundation Capital投資的公司。相反,他提到很多屬于“虛擬化桌面基礎(chǔ)設(shè)施聯(lián)盟”的公司作出的虛擬化開發(fā)努力。該聯(lián)盟是4月份推出的由VMware領(lǐng)導(dǎo)的組織。目前,該組織成員包括Altiris、Appstream、Ardence、Check Point、Citrix、Fujitsu、Fujitsu-Siemens、Hitachi、HP、IBM、Leostream、NEC、Platform、Softricity、Sun和Wyse等公司。VMware表示,聯(lián)盟的目標(biāo)是使IT管理員在數(shù)據(jù)中心托管和集中管理桌面虛擬機(jī),同時從用戶所在的位

4、置為用戶提供全面的桌面體驗。 無疑,新一代數(shù)據(jù)中心其他領(lǐng)域的虛擬化同服務(wù)器虛擬化所證明的一樣大有希望。以應(yīng)用虛擬化為例。由于它使應(yīng)用程序獨立于主機(jī)操作系統(tǒng)并相互獨立,這項技術(shù)將為企業(yè)桌面環(huán)境帶來多種好處。研究公司Summit Strategies(最近被Ovum所收購)客戶解決方案實踐主管Warren Wilson說,同服務(wù)器虛擬化一樣,應(yīng)用虛擬化的一個重要好處是更低的總擁有成本。Wilson可以滔滔不絕地說出應(yīng)用虛擬化的很多其他好處,如更好的系統(tǒng)穩(wěn)定性、更少的崩潰、更長的正常運行時間。他說,所有這些好處將帶來更高的工作人員生產(chǎn)力和更少、負(fù)擔(dān)更輕的服務(wù)臺運營。 Wilson補充說,你現(xiàn)在甚

5、至就可以走上應(yīng)用虛擬化之路。來自ZeoSoft的技術(shù)將一臺手持PDA變?yōu)榭梢耘c其他PDA互動的移動服務(wù)器,以對等方式為它們提供容器化應(yīng)用程序(containerized applications)。他說:“這正是虛擬化技術(shù)向新領(lǐng)域的擴(kuò)展?!? 從何處入手: 那么,你應(yīng)當(dāng)從何處開始呢?你可以通過分析那些推銷應(yīng)用虛擬化軟件的廠商入手。這些廠商包括IBM(通過2005年收購Meiosys)、Softricity(今年年初被微軟所收購)和新興廠商Trigence。每一家廠商都有自己的特點,但共同的思路是應(yīng)用隔離,即虛擬化是使桌面基礎(chǔ)設(shè)施更加靈活的關(guān)鍵元素。 除了熟悉應(yīng)用虛擬化之外,應(yīng)當(dāng)更多地從用戶

6、界面而非應(yīng)用程序本身來了解傳統(tǒng)的桌面軟件廠商(如Altiris和Citrix)是如何對待虛擬化技術(shù)的,以及其他廠商如何在操作系統(tǒng)層上處理虛擬化技術(shù)的。提供后一類虛擬化技術(shù)的兩家廠商是Sun公司(提供Solaris Containers)和新興廠商SWsoft(提供Virtuozzo軟件)。要善于在新公司向你推銷他們的虛擬化技術(shù)時傾聽他們說些什么——你也許會在其中發(fā)現(xiàn)某些獵物。這些虛擬化技術(shù)中沒有一種必須是相互排斥的。 虛擬服務(wù)器領(lǐng)域競爭廠商 VMware: 虛擬化市場的開拓者,迄今為止仍然是該市場的領(lǐng)頭羊。從2001年開始進(jìn)入服務(wù)器虛擬化市場,主要產(chǎn)品有GSX Server和ESX S

7、erver。在2006年6月,VMware公司發(fā)布了VMware Infrastructure 3,該產(chǎn)品集成了完備的虛擬化、管理、資源優(yōu)化、操作自動化等各項服務(wù)器虛擬化功能組件。 微軟:目前產(chǎn)品為Virtual Server 2005,免費提供給用戶。計劃在2007~2008年提供一款新的hypervisor,該產(chǎn)品將能夠?qū)崿F(xiàn)在單個物理服務(wù)器上運行多個操作系統(tǒng)。在該款產(chǎn)品發(fā)布的同時,也會發(fā)布一款新的虛擬化管理工具。 Novell:作為Linux發(fā)行商之一,在其SuSE Enterprise Linux 10之中集成了Xen的開源虛擬化技術(shù)。 Parallels:桌面虛擬化廠商。該

8、公司計劃在今年的第四季度進(jìn)行其服務(wù)器虛擬化產(chǎn)品的beta測試。 Red Hat:計劃在其Red Hat Enterprise Linux 5中增加對Xen的支持。 Sun:Sun公司的Solaris 10中集成的Container允許在一個單獨的Solaris操作系統(tǒng)上運行多個獨立的應(yīng)用。并且在今年的年末,Sun會對Solaris 10進(jìn)行更新,以便提供對Xen的支持。 SWsoft:該公司的Virtuozzo軟件在操作系統(tǒng)之上進(jìn)行虛擬化,因此可以在安裝了單個操作系統(tǒng)的服務(wù)器之上運行多個獨立的應(yīng)用,有點類似于Sun的Container。 Virtual Iron:Xen是該虛擬

9、化公司的基礎(chǔ)技術(shù),它允許客戶構(gòu)建虛擬資源池,并且根據(jù)應(yīng)用需要進(jìn)行調(diào)度。 XenSource:Xen開發(fā)項目的領(lǐng)導(dǎo)廠商,提供XenEnterprise。該產(chǎn)品是Xen的企業(yè)版,提供一系列的支持服務(wù)。 (二)、服務(wù)器的維護(hù)管理 一、設(shè)置和管理賬戶 1、系統(tǒng)管理員賬戶最好少建,更改默認(rèn)的管理員帳戶名(Administrator)和描述,密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合,長度最好不少于14位。 2、新建一個名為Administrator的陷阱帳號,為其設(shè)置最小的權(quán)限,然后隨便輸入組合的最好不低于20位的密碼。 3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復(fù)雜的

10、密碼,然后禁用。 4、開始-程序-管理工具-本地安全策略,選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略,將賬戶設(shè)為“三次登陸無效”,“鎖定時間為30分鐘”,“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。 5、在安全設(shè)置-本地策略-安全選項中將“不顯示上次的用戶名”設(shè)為啟用 。 6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享) 二、網(wǎng)絡(luò)服務(wù)安全管理 1、禁止C$、D$、ADMIN$一類的缺省共享 打開注冊表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver

11、\parameters,在右邊的窗口中新建Dword值,名稱設(shè)為AutoShareServer值設(shè)為0. 注冊表不了解.不要隨便更改. 2、 解除NetBios與TCP/IP協(xié)議的綁定   右擊網(wǎng)上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS 3、關(guān)閉不需要的服務(wù),以下為建議選項 開始-所有程序-管理工具-服務(wù)    Computer Browser:維護(hù)網(wǎng)絡(luò)計算機(jī)更新,禁用    Distributed File System: 局域網(wǎng)管理共享文件,不需要禁用    Distributed linktra

12、cking client:用于局域網(wǎng)更新連接信息,不需要禁用    Error reporting service:禁止發(fā)送錯誤報告    Microsoft Serch:提供快速的單詞搜索,不需要可禁用    NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要禁用    PrintSpooler:如果沒有打印機(jī)可禁用    Remote Registry:禁止遠(yuǎn)程修改注冊表    Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助    Messenger:信使服務(wù)(w

13、indows2000)    Task Scheduler: 允許程序在指定時間運行(不用計劃任務(wù)就禁用掉)    TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務(wù)以及 NetBIOS 名稱解析的支持 注:新上架的服務(wù)器已經(jīng)做過其他安全設(shè)置只開以下端口,需要開其他端口可以在。右擊網(wǎng)上鄰居-屬性-Internet協(xié)議(TCP/IP)屬性-高級-選項-TCP/IP篩選-屬性-TCP端口-添加你想要開的端口.     默認(rèn)開啟的端口列表:    FTP:20.21    mail:25.110    Web:80    pcanywh

14、ere:5631    遠(yuǎn)程桌面:3389 (3389不要關(guān)閉,否則將無法遠(yuǎn)程連接) 三、系統(tǒng)安全管理   1.對于系統(tǒng)的NTFS磁盤權(quán)限設(shè)置,C盤只給administrators 和system權(quán)限,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置,這里給的system權(quán)限也不一定需要給,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的,需要加上這個用戶,否則造成啟動不了。   2. Windows目錄要加上給users的默認(rèn)權(quán)限,否則ASP和ASPX等應(yīng)用程序就無法運行。   3. 另外在c:/Documents and Settings/這里相當(dāng)重要,后面的目錄里的權(quán)限根本不會繼承從前的

15、設(shè)置,如果僅僅只是設(shè)置了C盤給administrators權(quán)限,而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權(quán)限,這樣入侵這可以跳轉(zhuǎn)到這個目錄,寫入腳本或只文件,再結(jié)合其他漏洞來提升權(quán)限.   4. net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe這些文件都設(shè)置只允許administrators.system訪問.guests禁止訪問 四、打開相應(yīng)的審核策略   開始-程序-管理工具-本地安全策略-安全設(shè)置-本地策略-審核策略

16、  注:windows2003已經(jīng)開啟部分.windows2000沒有開啟.可以根據(jù)實際情況來設(shè)置.   推薦的要審核的項目是:   登錄事件 成功 失敗   賬戶登錄事件 成功 失敗   系統(tǒng)事件 成功 失敗   策略更改 成功 失敗   對象訪問 失敗   目錄服務(wù)訪問 失敗   特權(quán)使用 失敗 (三)、服務(wù)器硬件故障實例 硬件故障是指服務(wù)器硬件出現(xiàn)異常而導(dǎo)致的各類錯誤。由于服務(wù)器構(gòu)成比較復(fù)雜,因此在檢查的時候必須認(rèn)真、仔細(xì)。下面以一臺LH6000為例說明。 有一臺HP LH6000,配有256M內(nèi)存,使用一個PIII XEON 700帶2M高速緩存的

17、處理器。開機(jī)后沒有任何顯示,但系統(tǒng)日志上提示了一條CPU電壓為0伏的信息,系統(tǒng)指示燈三燈不停在閃爍(指示燈三燈閃爍是服務(wù)器的另一種報警方式,我會在文后說明)。這種錯誤一般是處理器電壓調(diào)節(jié)模塊(VRM)出錯或CPU出錯或CPU與CPU板塊接觸不良,但也可能是CPU板塊出錯,這時情況就比較復(fù)雜了,必須經(jīng)過認(rèn)真慎重的思考。因為CPU板塊在整個服務(wù)器中,占有舉足輕重的地位,如果它出錯服務(wù)器是會報致命錯誤的,并且在系統(tǒng)日志中會提示致命錯誤,但報CPU電壓錯的情況也有5%左右。我們立刻把CPU調(diào)換在另一CPU插槽中,開機(jī)后依然是剛才的那種故障。所以在初步判斷中,可以排除是CPU板塊壞。 這時,取出CPU

18、仔細(xì)擦拭金手指,以及CPU板塊中與CPU接觸的地方后,開機(jī)依然無顯示。 相對處理器壞的情況來說處理器電壓模塊(VRM)出現(xiàn)故障的情況比較大。于是立即在另一臺LH 6000中取下一個處理器電壓模塊,安裝在此服務(wù)器中。開機(jī)后,服務(wù)器依然沒有任何顯示,系統(tǒng)日志上依然提示CPU電壓為0伏的信息,系統(tǒng)指示燈三燈依然不停在閃爍。這時的情況就比較明顯了。于是立即從另一臺LH6000中取下一個CPU安裝后,開機(jī)正常。 在服務(wù)器的維修中,線索都會顯得撲朔迷離,一般來說不可能一次就可以準(zhǔn)確地判斷出問題的所在。這樣就要求相關(guān)人員要有信心及耐心。出現(xiàn)錯誤一般的流程是通過系統(tǒng)日志上的信息來解決,如果沒有解決問題再找

19、出其它因素,然后再看日志信息??傊?,服務(wù)器出錯后,必須一步一步解決,沒有捷徑可言。 又如:有一臺HP LH 4開機(jī)不顯示,發(fā)現(xiàn)開機(jī)時系統(tǒng)日志沒有任何信息,且系統(tǒng)指示燈不亮。初步判斷是電源方面出現(xiàn)了錯誤。經(jīng)過仔細(xì)檢查,發(fā)現(xiàn)服務(wù)器的電源是正常的,因此最大的可能就是服務(wù)器的電源管理板出現(xiàn)故障。更換電源管理板后,開機(jī)顯示正常。但這時,新的問題來了:自檢時,用CTRL+M不能檢測到硬盤。 硬盤在別的服務(wù)器上是正常的,因此立即清除此服務(wù)器的CMOS,但依然不正常。我立刻上網(wǎng)找到此服務(wù)器的最新BIOS,升級BIOS后也不能解決問題。又檢查硬盤籠子和服務(wù)器里的數(shù)據(jù)線及電源線后依然出錯。這時,一般情況會懷疑

20、是服務(wù)器的I/O板(輸入輸出板塊)有問題。但就在這個時候,我發(fā)現(xiàn)在I/O板上有一個非HP的舊式網(wǎng)卡,立即去除此網(wǎng)卡后服務(wù)器就一切正常。 硬件故障并不單單指硬件有問題,它也指硬件之間不兼容。因為服務(wù)器的正常運作需要各部件之間的大力協(xié)調(diào)。建議大家在采購各元件時,都采用同一品牌原裝的,并且要采用能發(fā)揮服務(wù)器性能的元件(上例中的舊式網(wǎng)卡即使正常也會嚴(yán)重影響服務(wù)器性能),這樣才不會發(fā)生莫明其妙的故障。 我曾遇到過一種情況:用戶需要把他的HP LH6000升級到雙網(wǎng)卡,我建議他購買原裝網(wǎng)卡,但當(dāng)他看到HP LH6000的網(wǎng)卡是采用的INTEL 82559芯片后,斷然決定不使用原裝網(wǎng)卡而采用另一品牌也采

21、用INTEL 82559的網(wǎng)卡。過了幾天,他打電話給我說,他的新網(wǎng)卡不能使用網(wǎng)絡(luò)冗余及數(shù)據(jù)校驗,并懷疑服務(wù)器有問題。我?guī)Я艘粋€HP網(wǎng)卡到用戶那里,仔細(xì)檢查了服務(wù)器的環(huán)境完全正常后,把HP網(wǎng)卡安裝到機(jī)器上后一切正常。這個例子更加說明了,要發(fā)揮服務(wù)器的最大性能及功能,必須使用原品牌原裝的配件。非原品牌非原裝的配件,不能支持服務(wù)器的某些功能,嚴(yán)重的會影響到服務(wù)器的正常使用。 一般來說中、高端的服務(wù)器報警系統(tǒng)都比較完善,除了系統(tǒng)日志外,還有指示燈。以HP LH6000來說,指示燈的綠色燈常亮表示服務(wù)器正常;綠燈亮而黃色閃爍表示服務(wù)器有故障,但不是致命的;如果三燈閃爍(綠、黃、紅三燈)就表示服務(wù)器有致

22、命故障,服務(wù)器停止運行。相比較而言,指示燈只能提示比較籠統(tǒng)的故障,而系統(tǒng)日志就比較完全。在維修中,必須仔細(xì)察看這兩種報警系統(tǒng)的信息。有一點必須注意的是系統(tǒng)日志是一個存儲器,容量有限(LH 6000能存200條信息)。當(dāng)容量不夠時必須清空,否則服務(wù)器將報警,一般是服務(wù)器指示燈報非致命錯誤,但卻不能再存任何信息。 要避免硬件故障發(fā)生頻率,服務(wù)器管理人員必須注意服務(wù)器的使用環(huán)境完全正常。比較重要的服務(wù)器必須在恒溫、恒濕的環(huán)境;電壓也要符合,不僅要采用UPS,還必須接地線,必須是左零線、右火線,零地電壓在1~3伏。在開、關(guān)服務(wù)器上必須符合正常的流程。工作人員必須嚴(yán)格執(zhí)行操作流程。 一般情況來說,服

23、務(wù)器管理人員對于硬件故障只要有豐富的經(jīng)驗都能很快找出故障所在,如果不能解決就必須迅速與服務(wù)器的售后服務(wù)中心聯(lián)系。 (四)服務(wù)器維護(hù)與內(nèi)網(wǎng)安全策略 幾乎所有企業(yè)對于網(wǎng)絡(luò)安全的重視程度一下子提高了,紛紛采購防火墻等設(shè)備希望堵住來自Internet的不安全因素。然而,Intranet內(nèi)部的攻擊和入侵卻依然猖狂。事實證明,公司內(nèi)部的不安全因素遠(yuǎn)比外部的危害更恐怖。 大多企業(yè)重視提高企業(yè)網(wǎng)的邊界安全,暫且不提它們在這方面的投資多少,但是大多數(shù)企業(yè)網(wǎng)絡(luò)的核心內(nèi)網(wǎng)還是非常脆弱的。企業(yè)也對內(nèi)部網(wǎng)絡(luò)實施了相應(yīng)保護(hù)措施,如:安裝動輒數(shù)萬甚至數(shù)十萬的網(wǎng)絡(luò)防火墻、入侵檢測軟件等,并希望以此實現(xiàn)內(nèi)網(wǎng)與Intern

24、et的安全隔離,然而,情況并非如此!企業(yè)中經(jīng)常會有人私自以Modem撥號方式、手機(jī)或無線網(wǎng)卡等方式上網(wǎng),而這些機(jī)器通常又置于企業(yè)內(nèi)網(wǎng)中,這種情況的存在給企業(yè)網(wǎng)絡(luò)帶來了巨大的潛在威脅,從某種意義來講,企業(yè)耗費巨資配備的防火墻已失去意義。這種接入方式的存在,極有可能使得黑客繞過防火墻而在企業(yè)毫不知情的情況下侵入內(nèi)部網(wǎng)絡(luò),從而造成敏感數(shù)據(jù)泄密、傳播病毒等嚴(yán)重后果。實踐證明,很多成功防范企業(yè)網(wǎng)邊界安全的技術(shù)對保護(hù)企業(yè)內(nèi)網(wǎng)卻沒有效用。于是網(wǎng)絡(luò)維護(hù)者開始大規(guī)模致力于增強內(nèi)網(wǎng)的防衛(wèi)能力。 下面給出了應(yīng)對企業(yè)內(nèi)網(wǎng)安全挑戰(zhàn)的10種策略。這10種策略即是內(nèi)網(wǎng)的防御策略,同時也是一個提高大型企業(yè)網(wǎng)絡(luò)安全的策略。

25、 1、 注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同 內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊,主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server,然后以此為基地,對Internet上其他主機(jī)發(fā)起惡性攻擊。因此,應(yīng)在邊界展開黑客防護(hù)措施,同時建立并加強內(nèi)網(wǎng)防范策略。 2、 限制VPN的訪問 虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化

26、的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級別,即只需賦予他們所需要的訪問權(quán)限級別即可,如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。 3、 為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù) 合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術(shù)來完固防火墻,保護(hù)MS-SQL,但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng),這就是因為企業(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此,既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動,那么就應(yīng)該為每一個合作企業(yè)創(chuàng)建

27、一個DMZ,并將他們所需要訪問的資源放置在相應(yīng)的DMZ中,不允許他們對內(nèi)網(wǎng)其他資源的訪問。 4、 自動跟蹤的安全策略 智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡(luò)安全實踐的關(guān)鍵。它帶來了商業(yè)活動中一大改革,極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更,因此,安全策略也必須與相適應(yīng)。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡(luò)利用情況并記錄與該計算機(jī)對話的文件服務(wù)器??傊龅酱_保每天的所有的活動都遵循安全策略。 5、 關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器 大型企業(yè)網(wǎng)可能同時支持四到五個服務(wù)器傳送e-mail,有的企業(yè)網(wǎng)還會出現(xiàn)幾十個其他服

28、務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點。因此要逐個中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務(wù)器在運行但是又不具有文件服務(wù)器作用的,關(guān)掉該文件的共享協(xié)議 6、 首先保護(hù)重要資源 若一個內(nèi)網(wǎng)上連了千萬臺(例如30000臺)機(jī)子,那么要期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣,首先要對服務(wù)器做效益分析評估,然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補和強化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實時跟蹤客戶的服務(wù)器)并對他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企

29、業(yè)最重要的資產(chǎn),并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。 7、 建立可靠的無線訪問 審查網(wǎng)絡(luò),為實現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點,確保無線網(wǎng)絡(luò)訪問的強制性和可利用性,并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外,并允許用戶通過VPN技術(shù)進(jìn)行訪問。 8、 建立安全過客訪問 對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略,使得員工給客戶一些非法的訪問權(quán)限,導(dǎo)致了內(nèi)網(wǎng)實時跟蹤的困難。因此,須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。 9、 創(chuàng)建虛擬邊界防護(hù) 主機(jī)是被攻擊的主要對象。與其努力使所有主機(jī)不遭攻擊(這是不可能的),還不如

30、在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個問題。這樣,如果一個市場用戶的客戶機(jī)被侵入了,攻擊者也不會由此而進(jìn)入到公司的R&D。因此要實現(xiàn)公司R&D與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù),現(xiàn)在也應(yīng)該意識到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。 10、 可靠的安全決策 網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對網(wǎng)絡(luò)安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等,但是他們作為公司的合作者,也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓

31、這些用戶也容易使用,這樣才能引導(dǎo)他們自動的響應(yīng)網(wǎng)絡(luò)安全策略。 另外,在技術(shù)上,采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。 (五)IIS6服務(wù)器中的故障分析 在用IIS6架網(wǎng)站的時候遇到不少問題,而這些問題有些在過去的IIS5里面就遇到過,有些是新出來的,俺忙活了一下午,做了很多次試驗,結(jié)合以前的排錯經(jīng)驗,做出了這個總結(jié): 問題1:未啟用父路徑 癥狀舉例: Server.MapPath() 錯誤 ASP 0175 : 80004005 不允許的 Path 字符 /0709/dqyllhsub/news/

32、OpenDatabase.asp,行 4 在 MapPath 的 Path 參數(shù)中不允許字符。 原因分析: 許多Web頁面里要用到諸如../格式的語句(即回到上一層的頁面,也就是父路徑),而IIS6.0出于安全考慮,這一選項默認(rèn)是關(guān)閉的。 解決方法: 在IIS中 屬性->主目錄->配置->選項中。把”啟用父路徑“前面打上勾。確認(rèn)刷新。 問題2:ASP的Web擴(kuò)展配置不當(dāng)(同樣適用于ASP.NET、CGI) 癥狀舉例: HTTP 錯誤 404 - 文件或目錄未找到。 原因分析: 在IIS6.0中新增了web程序擴(kuò)展這一選項,你可以在其中對ASP、ASP.NET、CGI、I

33、DC等程序進(jìn)行允許或禁止,默認(rèn)情況下ASP等程序是禁止的。 解決方法: 在IIS中的Web服務(wù)擴(kuò)展中選中Active Server Pages,點擊“允許”。 問題3:身份認(rèn)證配置不當(dāng) 癥狀舉例: HTTP 錯誤 401.2 - 未經(jīng)授權(quán):訪問由于服務(wù)器配置被拒絕。 原因分析:IIS 支持以下幾種 Web 身份驗證方法: 匿名身份驗證:IIS 創(chuàng)建 IUSR_計算機(jī)名稱 帳戶(其中 計算機(jī)名稱 是正在運行 IIS 的服務(wù)器的名稱),用來在匿名用戶請求 Web 內(nèi)容時對他們進(jìn)行身份驗證。此帳戶授予用戶本地登錄權(quán)限。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。

34、基本身份驗證 :使用基本身份驗證可限制對 NTFS 格式 Web 服務(wù)器上的文件的訪問。使用基本身份驗證,用戶必須輸入憑據(jù),而且訪問是基于用戶 ID 的。用戶 ID 和密碼都以明文形式在網(wǎng)絡(luò)間進(jìn)行發(fā)送。 Windows 集成身份驗證:Windows 集成身份驗證比基本身份驗證安全,而且在用戶具有 Windows 域帳戶的內(nèi)部網(wǎng)環(huán)境中能很好地發(fā)揮作用。在集成的 Windows 身份驗證中,瀏覽器嘗試使用當(dāng)前用戶在域登錄過程中使用的憑據(jù),如果嘗試失敗,就會提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗證,則用戶的密碼將不傳送到服務(wù)器。如果該用戶作為域用戶登錄到本地計算機(jī),則

35、他在訪問此域中的網(wǎng)絡(luò)計算機(jī)時不必再次進(jìn)行身份驗證。 摘要身份驗證 :摘要身份驗證克服了基本身份驗證的許多缺點。在使用摘要身份驗證時,密碼不是以明文形式發(fā)送的。另外,你可以通過代理服務(wù)器使用摘要身份驗證。摘要身份驗證使用一種挑戰(zhàn)/響應(yīng)機(jī)制(集成 Windows 身份驗證使用的機(jī)制),其中的密碼是以加密形式發(fā)送的。 .NET Passport 身份驗證 :Microsoft .NET Passport 是一項用戶身份驗證服務(wù),它允許單一簽入安全性,可使用戶在訪問啟用了 .NET Passport 的 Web 站點和服務(wù)時更加安全。啟用了 .NET Passport 的站點會依靠 .NET Pa

36、ssport 中央服務(wù)器來對用戶進(jìn)行身份驗證。但是,該中心服務(wù)器不會授權(quán)或拒絕特定用戶訪問各個啟用了 .NET Passport 的站點。 解決方法: 根據(jù)需要配置不同的身份認(rèn)證(一般為匿名身份認(rèn)證,這是大多數(shù)站點使用的認(rèn)證方法)。認(rèn)證選項在IIS的屬性->安全性->身份驗證和訪問控制下配置。 問題4:IP限制配置不當(dāng) 癥狀舉例: HTTP 錯誤 403.6 - 禁止訪問:客戶端的 IP 地址被拒絕。 原因分析: IIS提供了IP限制的機(jī)制,你可以通過配置來限制某些IP不能訪問站點,或者限制僅僅只有某些IP可以訪問站點,而如果客戶端在被你阻止的IP范圍內(nèi),或者不在你允許的范圍內(nèi),

37、則會出現(xiàn)錯誤提示。 解決方法: 進(jìn)入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問,需要選擇授權(quán)訪問,點添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。 問題5:IUSR賬號被禁用 癥狀舉例: HTTP 錯誤 401.1 - 未經(jīng)授權(quán):訪問由于憑據(jù)無效被拒絕。 原因分析: 由于用戶匿名訪問使用的賬號是IUSR_機(jī)器名,因此如果此賬號被禁用,將造成用戶無法訪問。 解決辦法: 控制面板->管理工具->計算機(jī)管理->本地用戶和組,將IUSR_機(jī)器名賬號啟用。 問題6:NTFS權(quán)限設(shè)置不當(dāng) 癥狀舉例: HTTP 錯誤 401.3 - 未

38、經(jīng)授權(quán):訪問由于 ACL 對所請求資源的設(shè)置被拒絕。 原因分析: Web客戶端的用戶隸屬于user組,因此,如果該文件的NTFS權(quán)限不足(例如沒有讀權(quán)限),則會導(dǎo)致頁面無法訪問。 解決辦法: 進(jìn)入該文件夾的安全選項卡,配置user的權(quán)限,至少要給讀權(quán)限。關(guān)于NTFS權(quán)限設(shè)置這里不再饋述。 問題7:IWAM賬號不同步 癥狀舉例: HTTP 500 - 內(nèi)部服務(wù)器錯誤 原因分析: IWAM賬號是安裝IIS時系統(tǒng)自動建立的一個內(nèi)置賬號。IWAM賬號建立后被Active Directory、IIS metabase數(shù)據(jù)庫和COM+應(yīng)用程序三方共同使用,賬號密碼被三方分別保存,并由操作

39、系統(tǒng)負(fù)責(zé)這三方保存的IWAM密碼的同步工作。系統(tǒng)對IWAM賬號的密碼同步工作有時會失效,導(dǎo)致IWAM賬號所用密碼不統(tǒng)一。 解決辦法: 如果存在AD,選擇開始->程序->管理工具->Active Directory用戶和計算機(jī)。為IWAM賬號設(shè)置密碼。 運行c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass +密碼 同步IIS metabase數(shù)據(jù)庫密碼 運行cscript c:\inetpub\adminscripts\synciwam.vbs -v 同步IWAM賬號在COM+應(yīng)用程序中的密碼 問題8:MIME設(shè)置問題導(dǎo)致某些類

40、型文件無法下載(以ISO為例) 癥狀舉例: HTTP 錯誤 404 - 文件或目錄未找到。 原因分析: IIS6.0取消了對某些MIME類型的支持,例如ISO,致使客戶端下載出錯。 解決方法: 在IIS中 屬性->HTTP頭->MIME類型->新建。在隨后的對話框中,擴(kuò)展名填入.ISO,MIME類型是application。 另外,防火墻阻止,ODBC配置錯誤,Web服務(wù)器性能限制,線程限制等因素也是造成IIS服務(wù)器無法訪問的可能原因,這里就不再一一饋述了。希望此帖能解決大家的大部分問題 Windows Server 2000~ 2003 DNS服務(wù)器區(qū)域類型 Windows

41、 2000的DNS服務(wù)器中有兩種類型的搜索區(qū)域:“正向搜索區(qū)域”和“反向搜索區(qū)域”。其中“正向搜索區(qū)域”用來處理正向解析,即把主機(jī)名解析為IP地址;而“反向搜索區(qū)域”用來處理反向解析,即把IP地址解析為主機(jī)名。無論是“正向搜索區(qū)域”還是“反向搜索區(qū)域”都有三種區(qū)域類型,分別為:“標(biāo)準(zhǔn)主要區(qū)域”、“標(biāo)準(zhǔn)輔助區(qū)域”和“Active Directory集成的區(qū)域”。下面就來討論一下這幾種區(qū)域類型的區(qū)別。 在創(chuàng)建DNS區(qū)域時可以先創(chuàng)建一個“標(biāo)準(zhǔn)主要區(qū)域”,“標(biāo)準(zhǔn)主要區(qū)域”中的區(qū)域記錄是自主生成的,是可讀可寫的,也就是說該DNS服務(wù)器既可以接受新用戶的注冊,也可以給用戶提供名稱解析服務(wù)?!皹?biāo)準(zhǔn)主要區(qū)域

42、”是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)主要區(qū)域”的DNS服務(wù)器稱為該區(qū)域的“主DNS服務(wù)器”。 如果一個DNS區(qū)域的客戶端計算機(jī)非常多,為了優(yōu)化對用戶DNS名稱解析的服務(wù),可以在另外一臺DNS服務(wù)器上為該區(qū)域創(chuàng)建一個“標(biāo)準(zhǔn)輔助區(qū)域”?!皹?biāo)準(zhǔn)輔助區(qū)域”中的區(qū)域記錄是從“標(biāo)準(zhǔn)主要區(qū)域”復(fù)制而來的,是只讀的,也就是說該DNS服務(wù)器不能接受新用戶的注冊請求,只能為已經(jīng)注冊的用戶提供名稱解析服務(wù)。“標(biāo)準(zhǔn)輔助區(qū)域”也是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)輔助區(qū)域”的DNS服務(wù)器稱為該區(qū)域的“輔助DNS服務(wù)器”。 由于“輔助DNS服務(wù)器”的區(qū)域記錄是從“主DNS

43、服務(wù)器”復(fù)制而來,所以“主DNS服務(wù)器”又稱為“輔助DNS服務(wù)器”的“Master服務(wù)器”。但并不是說只有“主DNS服務(wù)器”才能充當(dāng)“Master服務(wù)器”。如果一臺“輔助DNS服務(wù)器”的區(qū)域記錄是從另外一臺“輔助DNS服務(wù)器”復(fù)制而來的,那么第一臺“輔助DNS服務(wù)器”稱為該區(qū)域的“一級輔助”,而這臺DNS服務(wù)器稱為該區(qū)域的“二級輔助”,則“一級輔助”就稱為“二級輔助”的“Master服務(wù)器”。 在“標(biāo)準(zhǔn)主要區(qū)域”的區(qū)域?qū)傩灾锌梢栽O(shè)置“是否允許動態(tài)更新”?!霸试S動態(tài)更新”的含義是:當(dāng)該區(qū)域的客戶端計算機(jī)的IP地址或主機(jī)名發(fā)生變化時,這種改變可以動態(tài)的在DNS區(qū)域記錄中進(jìn)行更改,而無需管理員手工

44、更改。 “Active Directory集成的區(qū)域”只存在于域控制器(DC)上,而且該類型的區(qū)域不是以文件的形式存在的,而是存在于活動目錄中的?!癆ctive Directory集成的區(qū)域”不會發(fā)生區(qū)域復(fù)制,而是隨著活動目錄的復(fù)制而復(fù)制的,因此這種區(qū)域類型避免了DNS服務(wù)器單點失敗的現(xiàn)象。在“Active Directory集成的區(qū)域”的區(qū)域?qū)傩灾谐丝梢栽O(shè)置“是否允許動態(tài)更新”外,還可以設(shè)置“僅安全更新”。 “僅安全更新”的含義是在動態(tài)更新的基礎(chǔ)上保證安全。那么設(shè)置為“僅安全更新”的DNS區(qū)域是如何實現(xiàn)安全性的呢?我們經(jīng)常講的一句話就是“域是安全的最小邊界”,“僅安全更新”的區(qū)域?qū)⒅唤邮芤呀?jīng)加入到該域的計算機(jī)賬號的主機(jī)名和IP地址的變化,而當(dāng)那些不屬于該域的計算機(jī)賬號的主機(jī)名和IP地址發(fā)生變化時是不會在區(qū)域記錄中動態(tài)改變的,但是這些計算機(jī)仍然可以利用該DNS服務(wù)器進(jìn)行名稱解析服務(wù)。 DNS的區(qū)域類型是可以改變的,可以把一個“標(biāo)準(zhǔn)主要區(qū)域”類型更改為“標(biāo)準(zhǔn)輔助區(qū)域”,或者為了加強安全性把它更改為“Active Directory集成的區(qū)域”。不過一般來說,對于活動目錄的DNS區(qū)域類型最好采用“Active Directory集成的區(qū)域”,而且設(shè)置區(qū)域?qū)傩詾椤皟H安全更新”,不要把它更改為“標(biāo)準(zhǔn)主要區(qū)域”類型。

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

相關(guān)資源

更多
正為您匹配相似的精品文檔

相關(guān)搜索

關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!