2003服务器安全配置教程
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WEB+FTP+Email服务器安全配置手册
作者:阿里西西
2006-8-11
目录第一章:硬件环境
第二章:软件环境
第三章:系统端口安全配置
第四章:系统帐户及安全策略配置
第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置
第七章:Email服务器安全权限配置
第八章:远程管理软件配置
第九章:其它安全配置建议
第十章:篇后语
一、硬件环境
服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。
二、软件环境
操作系统:Windows Server 2003 Enterprise Edition sp1
WEB系统:Win操作系统自带IIS6,支持.NET
邮件系统:MDaemon 8.02英文版
FTP服务器系统:Serv-U 6.0.2汉化版
防火墙: BlackICE Server Protection,中文名:黑冰
杀毒软件:NOD32 2.5
远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC
数据库:MSSQL2000企业版
相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件
相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus
[相关说明]
*考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。
*硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。
*安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。
*出于安全考虑把MSTSC远程桌面的默认端口进行更改。
三、系统端口安全配置
下面先是介绍关于端口的一些基础知识,主要是便于我们下一步的安全配置打下基础,如果你对端口方面已经有较深了解可以略过这一步。
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
下面先介绍一下端口的基础知识。在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。(一)按端口号分布划分:
(1)知名端口(Well-Known Ports)
知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口(Dynamic Ports)
动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是
8011、Netspy 3.0是7306、YAI病毒是1024等等。
(二)按协议类型划分:
可以分为TCP、UDP、IP和ICMP(Internet控制消息协议)等端口。下面主要介绍TCP和UDP端口。
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。常见的包括FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口,以及HTTP服务的80端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。常见的有DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
介绍完了有关端口的基础知识,下面我们就开始进行服务器的端口安全配置。
在一般的WEB+Email服务器上,推荐同时使用PcanyWhere和终端服务进行远程控制管理,基于安全考虑把终端服务3389端口修改成6868端口,方法如下:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\Wds\Repwd\Tds\Tcp, 找到PortNumber项,双击选择十进制,输入你要改成的端口即可,这里我们输入6868。再找到键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Win Stations,在右侧窗口找到PortNumber并按上面的方法输入6868,设置成新的端口就可以了。这样,在用MSTSC访问远程桌面时,IP或网址后加上:6868即端口号就可以了。如图(1):