-
1 # 安界
-
2 # 大海拾貝
網路架構安全劃分網路安全域,隔離企業內部不同安全級別的主機,避免同網路環境下一臺伺服器被入侵後影響到其它主機。使用NAT提供上網服務,禁止主機直接繫結公網IP,直接繫結公網IP會導致主機完全暴露在網際網路遭受攻擊入侵。對網際網路提供服務,透過負載均衡(LB)將需要開放對外的埠(如:80,443)代理到後端的應用服務,並將對外服務放置在獨立的子網中。防火牆隔離是主要網路安全隔離手段,透過ACL設定在網路層過濾伺服器的訪問行為,限定伺服器對外/對內的的埠訪問,授權訪問地址,從而減少攻擊面,保護伺服器的安全。高危網路埠,開啟的服務埠越多越不安全。只對外開放提供服務的必要埠,禁止將RDP、SSH、Redis、MongoDB、MySQL、MSsql等高危服務直接暴露在網際網路上。賬號口令安全杜絕弱口令,弱口令是最容易出現的也是最容易被利用的漏洞。為所有服務配置強密碼,要求至少8個字元以上,包含大小寫字母、數字、特殊符號,並且要不定時更新口令。Linux系統,禁止使用root賬號直接登入,使用證書登入,設定可信登入主機的IP。Windows系統,修改 administrator 預設名稱,設定可信登入主機的IP。Web應用系統,必須使用強密碼安全策略和驗證碼,防止暴力破解和撞庫。資料庫系統(Redis、MongoDB、MySQL、MSsql Server)禁止使用弱密碼或無密碼。增強安全策略,使用多因素驗證機制(MFA)、強制密碼安全策略(如:鎖定策略),和審計功能(異常告警)。系統運維安全使用跳板機/堡壘機進行遠端維護,實施強密碼策略,合理分配許可權,對於所有操作行為嚴格記錄並審計。為作業系統雲伺服器安裝防病毒軟體,並定期更新病毒庫。定期更新補丁,修補作業系統漏洞,關注安全漏洞情報,當出現高風險漏洞時,及時更新作業系統所有補丁。Windows系統的補丁更新要一直開啟,Linux系統要設定定期任務執行yum update -y來更新系統軟體包及核心。開啟系統日誌記錄功能,集中管理日誌和審計分析。對所有業務系統進行實時監控,當發現異常時,立即介入處理。對軟體安全加固(Apache、Nginx、Tomcat、Mysql、MSsql、Redis等服務)標準化安全配置,禁止隨意修改。應用開發安全對應用服務軟體(如 Tomcat、Apache、Nginx 等軟體),建議使用官方最新版的穩定版。及時更新Web應用版本,如:Struts、ElasticSearch非最新版都爆發過遠端命令執行漏洞。WDCP、TOMCAT、Apache、Nginx、Jekins、PHPMyAdmin、WebLogic、Jboss等Web服務管理後臺不要使用預設密碼或空密碼;不使用的管理後臺建議直接關閉。使用安全掃描工具 (例如,系統漏掃工具:Nessus、Nexpose,Web 漏掃工具:Appscan、AWVS)上線前掃描應用服務,是否仍存在高風險漏洞,修復完漏洞後再發布使用。
-
3 # 網際網路對對碰
一、安裝乾淨、無病毒的純淨系統;
二、安裝好系統後第一時間安裝好防毒軟體,給電腦安裝一個防護門;防毒軟體安裝一個就好,不要安裝太多,因為防毒軟體的效用是:1+1<1;
三、關閉或者更改一些常規埠,比如說遠端桌面埠;
四、開啟系統自帶的防火牆,防止非法入侵。
-
4 # 小酷科技
如果是小型企業的話建議製作一個軟路由,一般都帶防火牆的功能,比如愛快,ROS,PA這些都可以 PA是付費的,愛快ROS都是免費的,網上都可以下載,如果預算比較充足的話可以上硬體版的防火牆,網路裝置強烈推薦華為,因為我有10年以上網咖維護經驗,DDOS攻擊,ARP攻擊這些都碰到過 ,還有小區寬頻,自建的就是伺服器目前用的是PA這款軟路由,硬路由有點貴,剩下就是配置交換機,交換機配置好VLAN,能杜絕一些網路攻擊。電腦的話如果不嫌麻煩可以用安裝360,裡邊有個區域網防火牆功能ARP繫結這個開啟,就可以防止一些ARP攻擊。如果是DDOS攻擊的話,可以限制一些連線數,來防止。或者直接上硬體版的防火牆。希望得到您的關注或點贊。
-
5 # NAN2MU
企業安全防控從多維度入手,第一網路層防控,你得具備相應的技術手段。比如有相應的安全裝置,可以是商用,也可以是開源。第二,做好終端安全及洩密防控,終端裝置應該有基本的病毒防控手段和資料防洩密手段,相應的產品很多。第三,建立企業的安全管理制度,對安全作出基線要求。第四,做好人員安全意識培養。
-
6 # 安信證書
要是想要建立有效的安全防禦體系的話,可以給網站安裝SSL證書,這是一個有效且快速的措施。
SSL證書是 數字證書 的一種,遵守 SSL協議,由受信任的數字證書頒發機構CA,在驗證伺服器身份後頒發,具有 伺服器身份驗證 和 資料傳輸加密 功能。
安裝伺服器SSL證書後,可實現資料資訊在客戶端和伺服器之間的加密傳輸,即HTTPS,可以防止資料資訊的洩露,保證了雙方傳遞資訊的安全性,而且使用者可以透過伺服器證書驗證他所訪問的網站是否是真實可靠。
回覆列表
還是B/S架構的應用,如何保證資料傳輸的安全是管理員要面對的問題,安全的關注點主要在三個方面:使用者身份驗證的安全性: 使用者身份驗證的安全主要包括使用者身份密碼的安全和驗證安全兩個環節,傳統的應用體系中,使用者驗證通常有使用者名稱/密碼驗證、USB key驗證及智慧卡驗證等方法。在EWEBS 2008 中,採用使用者帳號和Windows帳號關聯的方式,在EWEBS 2008中儲存使用者密碼,使用者訪問應用程式時不直接使用Windows 帳號密碼,而是使用EWEBS 2008中為使用者單獨建立的帳號。使用者帳號的身份驗證支援使用者名稱/密碼、USB Key驗證、智慧卡、指紋或視網膜等生物學身份驗證方法。伺服器的安全性: 在傳統的遠端接入模式中,因為使用者的應用直接在伺服器端執行,如何保證伺服器的安全性是管理員面臨的一個大問題,一般都採用Windows 組策略等手段來保護服務的安全,但是組策略配置的複雜性、效果都不盡如人意。 在EWEBS 2008中,直接內嵌了Windows Active Directory 組策略的配置設定,管理員無需熟悉組策略的具體配置,只需要進行簡單的選擇,就可以輕鬆的限制使用者對某個具體的硬碟、系統工作列或IE等伺服器端資源的訪問。資料傳輸的安全性: 在傳統的應用模式中,客戶端和伺服器端需要傳送應用程式相關的資料記錄,如資料庫的查詢結果集等,這就對資料在網路上的傳輸安全提出了較高的要求,通常採用VPN加密、SSL加密等技術來保證應用資料的安全。在EWEBS 2008中,由於所有的應用程式都在伺服器(叢集)上執行,所以客戶端和伺服器端傳送的僅僅是應用程式的輸入輸出邏輯,在沒有特別授權的情況下,資料無法離開伺服器(叢集),保證了資料的安全。EWEBS 2008中還內嵌了SSL通訊技術來保證客戶端和伺服器端網路通訊的安全。 除了上述的三個方面的安全之外,在EWEBS 2008中,管理員還可以輕鬆的對客戶端進行控制,可以根據使用者帳號、訪問時間、客戶端IP地址、客戶端MAC地址、客戶端機器特徵碼(從CPU、主機板、硬碟等硬體計算而來)等來限制客戶端對應用程式的訪問,從而做到即使使用者帳號資訊洩露,第三方也無法盜用應用程式,有效的保證了使用者關鍵應用和資料的安全。