當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

FTP服務(wù)器安全防范及數(shù)據(jù)備份

http://m.yibo1263.com　2008-4-20 12:58:39 　來源:金山軟件　編輯:張佳奇

二、防范拒絕服務(wù)攻擊

　　1.加固操作系統(tǒng)

　　加固操作系統(tǒng)，即對(duì)操作系統(tǒng)參數(shù)進(jìn)行配置以加強(qiáng)系統(tǒng)的穩(wěn)固性，重新編譯或設(shè)置 BSD系統(tǒng)等操作系統(tǒng)內(nèi)核中的某些參數(shù)，提高系統(tǒng)的抗攻擊能力。例如，DoS攻擊的典型種類–SYN Flood，利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請(qǐng)求，以造成網(wǎng)絡(luò)無法連接用戶服務(wù)或使操作系統(tǒng)癱瘓。該攻擊過程涉及到系統(tǒng)的一些參數(shù)：可等待的數(shù)據(jù)包的鏈接數(shù)和超時(shí)等待數(shù)據(jù)包的時(shí)間長(zhǎng)度。用戶可以將數(shù)據(jù)包的鏈接數(shù)從缺省值128或512修改為2048或更大，加長(zhǎng)每次處理數(shù)據(jù)包隊(duì)列的長(zhǎng)度，以緩解和消化更多數(shù)據(jù)包的攻擊;此外，用戶還可將超時(shí)時(shí)間設(shè)置得較短，以保證正常數(shù)據(jù)包的連接，屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

　　2.增設(shè)防火墻

　　我們可以在公司網(wǎng)絡(luò)服務(wù)器和外部網(wǎng)絡(luò)之間的增設(shè)一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入，那就是增設(shè)一個(gè)防火墻。防火墻利用一組形成防火墻“墻磚”的軟件或硬件將外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)隔開，它可以保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的非授權(quán)訪問，因此利用防火墻來阻止DoS攻擊能有效地保護(hù)內(nèi)部的服務(wù)器。我們可以把FTP服務(wù)器放在防火墻的DMZ區(qū)，讓其既可以接受來自Internet的訪問，又可以受到防火墻的安全保護(hù)。針對(duì)SYN Flood，防火墻通常有三種防護(hù)方式：SYN網(wǎng)關(guān)、被動(dòng)式SYN網(wǎng)關(guān)和SYN中繼。

　�。�1）SYN網(wǎng)關(guān)

　　防火墻收到客戶端的SYN包時(shí)，直接轉(zhuǎn)發(fā)給服務(wù)器;防火墻收到服務(wù)器的SYN/ACK包后，一方面將SYN/ACK包轉(zhuǎn)發(fā)給客戶端，另一方面以客戶端的名義給服務(wù)器回送一個(gè)ACK包，完成TCP的三次握手，讓服務(wù)器端由半連接狀態(tài)進(jìn)入連接狀態(tài)。當(dāng)客戶端真正的ACK包到達(dá)時(shí)，有數(shù)據(jù)則轉(zhuǎn)發(fā)給服務(wù)器，否則丟棄該包。由于服務(wù)器能承受連接狀態(tài)要比半連接狀態(tài)高得多，所以這種方法能有效地減輕對(duì)服務(wù)器的攻擊。

　�。�2）被動(dòng)式SYN網(wǎng)關(guān)

　　設(shè)置防火墻的SYN請(qǐng)求超時(shí)參數(shù)，讓它遠(yuǎn)小于服務(wù)器的超時(shí)期限。防火墻負(fù)責(zé)轉(zhuǎn)發(fā)客戶端發(fā)往服務(wù)器的SYN包，服務(wù)器發(fā)往客戶端的SYN/ACK包、以及客戶端發(fā)往服務(wù)器的ACK包。這樣，如果客戶端在防火墻計(jì)時(shí)器到期時(shí)還沒發(fā)送ACK包，防火墻則往服務(wù)器發(fā)送RST包，以使服務(wù)器從隊(duì)列中刪去該半連接。由于防火墻的超時(shí)參數(shù)遠(yuǎn)小于服務(wù)器的超時(shí)期限，因此這樣能有效防止SYN Flood攻擊。

　�。�3）SYN中繼

　　防火墻在收到客戶端的SYN包后，并不向服務(wù)器轉(zhuǎn)發(fā)而是記錄該狀態(tài)信息然后主動(dòng)給客戶端回送SYN/ACK包，如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務(wù)器發(fā)送SYN包并完成三次握手。這樣由防火墻做為代理來實(shí)現(xiàn)客戶端和服務(wù)器端的連接，可以完全過濾不可用連接發(fā)往服務(wù)器。

　　各企業(yè)在選擇防火墻時(shí)，除了根據(jù)以上幾種保護(hù)方式進(jìn)行選擇以外，還需要根據(jù)企業(yè)本身的業(yè)務(wù)量來決定選擇的防火墻的性能。性能越好，當(dāng)然價(jià)格也就越高，而且防火墻的性能和資源的占用是相關(guān)的，性能越高，占用資源也就越多，占用帶寬比例也就越高。另外一般企業(yè)如果不想在安全產(chǎn)品上投入過多，則會(huì)要求防火墻同時(shí)具有入侵檢測(cè)、VPN等功能，甚至防病毒功能。現(xiàn)在國內(nèi)外防火墻種類繁多，各企業(yè)可以根據(jù)自己?jiǎn)挝坏男枨螅x擇一款性價(jià)比高的產(chǎn)品。

　　還需要網(wǎng)絡(luò)管理員注意的是，防火墻設(shè)立后并非一勞永逸了，防火墻的默認(rèn)設(shè)置適合于大多數(shù)企業(yè)的要求，但可能并不安全，因?yàn)楦鱾€(gè)企業(yè)的提供的服務(wù)不一樣，所以管理員需要根據(jù)自己企業(yè)提供的服務(wù)可能遭受的攻擊來設(shè)置其安全策略，另外新的漏洞攻擊在不斷出現(xiàn)，還需要管理員隨時(shí)更新防火墻的漏洞代碼，以阻止可能出現(xiàn)的新的漏洞攻擊。

　　3.增設(shè)專用的防范拒絕服務(wù)攻擊產(chǎn)品──黑洞

　　盡管防火墻可以阻擋很多種類的攻擊，但是對(duì)于DoS類的攻擊，卻只能阻擋有限的幾種。所以近幾年來，一種綜合多種算法、集多種網(wǎng)絡(luò)設(shè)備功能（如路由和防火墻技術(shù)）的防范大流量DoS攻擊或多類型DoS攻擊的新技術(shù)產(chǎn)品──中聯(lián)綠盟生產(chǎn)的“黑洞”，逐漸應(yīng)用于各大型門戶網(wǎng)站，國外雖然也有類似產(chǎn)品，但并未引入國內(nèi)。

本新聞共4頁,當(dāng)前在第2頁 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Linux改善FTP服務(wù)器的安全性

·全面提高FTP服務(wù)器的安全性能

·避免攻擊保證上傳FTP服務(wù)器的安全

·三招提高FTP服務(wù)器安全性

·匿名FTP服務(wù)器的建立與應(yīng)用

·詳細(xì)講解架設(shè)FTP服務(wù)器的兩種方法

·FTP服務(wù)器關(guān)于權(quán)限的問題

·三個(gè)步驟打造安全穩(wěn)定的FTP服務(wù)器

·用Linux系統(tǒng)構(gòu)建高效FTP服務(wù)器

·FTP服務(wù)器架設(shè)的三方面安全因素

·Windows下FTP服務(wù)器的安全管理

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费