准入控制盈高为您换一种思维保护好您的服务器

准入控制盈高为您换一种思维保护好您的服务器 换一种思维保护好您的服务器 随着网络信息化的发展～现在大部分企事业单位～政府机关都部署了大量的服务器～例如办公服务器～文件服务器～邮件服务器～这些服务器上面存放的数据的重要性尽人皆知～如何保护好这些服务器成为信息安全人员一份任重道远的工作。 我所接触和了解的一些传统保护服务器的方法: 传统保护服务器方法之一:普通防火墙 防火墙主要是部署在网关处～防火墙上面有个DNZ接口～DNZ接口延伸出来的网络一般就是服务器网络～防火墙会对DNZ区做一些特殊的～使外面的用户只能访问服务器指定的端口～这对服务器起到了一定的保护作用～使非服务器网络的机器无法访问一些存在安全漏洞比较多的服务和端口。 传统保护服务器方法之二:WEB防火墙 WEB防火墙目的很明确～就是保护WEB服务器～部署在WEB服务器前面～检测并阻止具有攻击行为的网页操作～例如SQL注入～CGI攻击。 传统保护服务器方法之三:DDOS防火墙 击就成了常见的攻击方式～于是就有由于服务器的资源是有限的～DDOS攻 DDOS防火墙～他能把一些非法的访问阻止在服务器之前～对服务器～尤其是服务器带宽确实起到了很好的作用。 传统保护服务器方法之四:漏洞扫描～渗入测试。 定时的找安全服务公司对服务器网络进行扫描和测试～由于专业的安全服务公司～确实能找出很多非专业人士意想不到的一些入侵后门并及时堵上。 传统服务器保护方法还有很多很多～由于我的水平有限就不一一例举了。下面我来介绍一下最近这几年发展比较迅速～实用性比较好的新的思维。 保护服务器新思维之一:准入 准入的初衷是对内网的准入～就是进入内网就必须经过准入这道门槛～准入的技术主要有802.1x,EOU,PORTAL, DHCP～策略路由等。现在准入这块的产品能够做的很多事情～可以帮您自动打补丁～可以帮您安装防病毒软件～可以帮您检测计算的安全性,例如弱口令～共享～非法进程等,～当您的安全级别不符合管理人员设置的级别的时就不能进入网络。我觉得内网准入的技术也可以应用于服务器网络的准入。因为安全的计算的才能访问服务器网络～这对病毒的传染～被第三方人员作为肉鸡的攻击工具的可能性就比较小了。 保护服务器新思维之二:审计 不管服务器如何保护～都还是存在风险的～就像在安全的银行都要安装摄像头。我们也可以在服务器的前端安装结合准入的行为审计系统～我们就能够实名制的所有对服务器进行操作的进行记录～由于一些服务器都是加 密的～可能行为不够详细～于是可以结合准入系统的客户端获取终端计算机的一些指纹信息～当流量或行为达到一定的可疑程度我们也可以把客户端的整个屏幕截取甚至录制下来发送的服务器～以供事后审计。 保护服务器新思维之三:加密 因为服务器提供的服务～访问来源之广～访问源到服务器之间的线路一般 PN也能达到这方面的功不是安全可信的线路～很容易被别人监听。现在很多V 能～不过现有的VPN一般会改变现有的网络结构或访问方式。而有一种透明加密技术就是在服务器前面部署一台加密机器～从访问源到加密机之间的数据都是加密的。而用户感觉不到任何改动。因为用户不需要改动现有的网络结构～也不需要改变访问方式。 也许我个人见识比较少～这些所谓的新思维在您思维中也许已经算老思维了。 在这里我也介绍一款我自己认为比较比较新颖的产品～盈高准入ASM～大家也可以去他们网站www.infogo.com.cn溜达溜达～底下是他们的一个保护市政府服务器网络的解决～大家可以借鉴借鉴。 部署方式: 1、 使用桥部署模式～部署在服务器网络的前端～没有改变网络任何拓扑结构 2、 使用政府的办公USB-KEY～省去麻烦的用户管理。 入网计算机检查: 1、 因为此政府网为隔离网～系统无法自动升级打补丁～ ASM可以强制给进入 市局办公所有人员的系统打上补丁。 2、 因为为隔离网～病毒库升级比较麻烦。可以强制内网所有用户安装指定的 防病毒软件～并及时更新。 3、 因为市局服务器非常重要～还要求对客户端进行弱口令检查～一些漏洞检 查～假如不合法则不能进入办公服务器网络 安全设计: 记录进入服务器网络的人员～计算机指纹～时间～流量～行为。 当行为和流量比较可疑时收集终端计算的屏幕信息。 合法安全加密访问 1、 安全域管理,内网防火墙,～不能人员可以访问不同的服务器。 2、 服务器访问透明加密～当办公人员在internet和内网访问服务器时～访问 用户到ASM的数据都是加密。ASM解密后再发送给服务器。防止内部用户和 外网用户的盗听。 办公小助手的使用: 1、 使用小助手发布政府通告 2、 使用小助手发布个人应用～发布邮件服务器～办公服务器～资料服务器应 用。他们不需要记住这些复杂的IP地址。 3、 发布政府的各种文件资料。