网络服务器网闸六点安全策略
我们都知道内网服务器位于经路由器、防火墙、交换机之后的网络位置。我们在服务器的前端引入服务器专用型安全隔离网闸,并对网闸做相应需求的配置,如: 配置允许访问的服务端口,这样就完全阻挡了黑客利用其它不安全端口攻击或入侵。 此时网闸外侧用户如果访问此服务器,就要经过网闸的安全过滤。这些安全策略包括:
(1)网闸在使用时自身不存在IP地址,这样就完全杜绝了远程登录安全网闸的可能性,黑客等不法分子完全没有可能利用网闸做跳板攻击或控制企业网。(这点是防火墙所做不到的。)
(2)阻挡所有服务端口扫描行为。 如果企业内网或互联网用户使用软件对服务器进行端口扫描,这些动作会被网闸彻底阻挡。
(3)屏蔽掉公认的不安全协议,如ICMP等。这样企业内网或互联网用户就不能用PING的方法试探服务器的存活情况。
(5)物理地址过滤。 在企业内网,如果只是指定部分用户可以访问服务器,管理员就可以在网闸上配置允许访问用户的MAC地址和IP地址。这样其它未被配置的用户就不能访问服务器。
(6)网络地址过滤。 企业远程用户通过互联网访问服务器,管理员可以在网闸上配置远程用户的公网IP地址。这样就限制了互联网上其他非法用户对服务器的访问。
在此方案中,企业内部各部门和生产区等分支网络也处在安全网闸的外侧,内部员工的计算机访问服务器也要经过严格的审查,这样就大大消除了内网危害服务器的安全隐患。同时也杜绝了黑客利用内网计算机做跳板攻击的可能性。
