我從實際的專案角度來解答你的這個問題，分為企業級別網路安全，或者小型網路單伺服器級別2種情況來解答，你參考一下哪種適合你。

一、 企業級別網路安全保障

企業級別的安全是很嚴謹，當然硬體成本投入也很大。一般的網路結構是:

使用者 網際網路訪問請求===>企業硬體防火牆===>企業反向代理或者負載均衡裝置===>應用伺服器===>資料庫伺服器。 如下圖網路結構所示：

二、單伺服器級別安全防範

單臺伺服器環境，因為前端沒有硬體防火牆等裝置，只有靠作業系統層面的防火牆來實現對伺服器的保護。

（1） Linux 系統可以使用 iptables 防火牆來實現對系統的安全保護。建議的規則是：

1） 預設阻止任何請求

2） 只對需要的業務開放允許訪問策略，以最大化的保護伺服器安全。

比如我的Apache 伺服器對公網使用者，只開放了任何人允許ping、訪問 http 80 , https 443 ； 對內部網段 10.0.0.0/24 允許透過 ssh 連線伺服器，其它請求全部阻止。如下圖

（2） 如果是使用的是 Windows Server 2008 以及上伺服器版本，可以使用系統自帶的“高階安全 Windows Defender 防火牆”來保護伺服器的安全。

1） 預設阻止任何請求

2） 只對需要的業務開放允許訪問策略，以最大化的保護伺服器安全。

下圖即是我的伺服器，只允許任何人訪問我的 http 80 和 https 443 埠，其餘請求全部阻止。

總之，安全策略是，只開放最小化訪問請求策略，才能夠最大化保障業務系統及伺服器安全。

伺服器攻擊一般都利用了弱口令漏洞和系統漏洞等方式遠端登入你的伺服器，然後執行勒索病毒或暗藏挖礦病毒等

防範措施

a.高強度密碼：8位以上，採用大寫字母+小寫小寫+數字+符號（舉例：HanL936582@！#￥@）

b.不要使用弱口令密碼：顧名思義弱口令就是沒有嚴格和準確的定義，通常認為容易被別人猜測到或被破解工具破解的口令均為弱口令（舉例：123456；abcdefg；admin）

c.定期更換密碼：正常系統登入口令需要在3-6個月之內更換一次密碼

d.另外如果組織內有多個伺服器一定不要使用相同的密碼，這樣如果一臺伺服器淪陷其他伺服器也會中毒

e.儘量不要開啟DMZ主機或桌面對映功能，避免電腦IP爆漏在公網

軟體放放措施：

安裝360安全衛士，開啟伺服器登入保護和防黑加固，可以有效只能防護駭客攻擊

做好伺服器安全加固工作。

為系統升級安全補丁；查殺木馬病毒；

設定各種管理密碼（比如管理員賬戶密碼，以及資料庫管理密碼），並把密碼設定的複雜些；

安裝防火牆對攻擊進行防禦，比如說安全狗，它有兩款安全軟體伺服器安全狗和網站安全狗；

關閉不必要的埠和服務。