到底该怎样做，才能使服务器更安全？本篇谈一谈服务器安全防护的思维和举措！

“盗用账号、缓冲区溢出以及执行任意命令”是服务器在系统层面比较常见的安全漏洞。“黑客攻击、蠕虫病毒以及木马程序”是服务器在网络层面比较常见的安全漏洞。“口令攻击、拒绝服务（DoS）攻击、分布式拒绝服务（DDoS）攻击以及IP欺骗”是黑客攻击比较常用的手段。

随着网络技术的不断发展，服务器面临着越来越多的安全威胁。因此，如何加强服务器的安全防护，是一项迫切需要解决的问题。那么到底该怎么做，才能使服务器更安全呢？今天，我们来谈一谈服务器安全防护的思维和举措。

服务器的安全防护，可以从以下五大方面入手：

一、 安全设置

1、 加强服务器的安全设置

以Linux为操作平台的服务器的安全设置策略，能够有效降低服务器的安全隐患，以确保服务器的安全性。安全设置主要包括：登录用户名与密码的安全设置、系统口令的安全设置、BIOS的安全设置、使用SSL通信协议、命令存储的修改设置、隐藏系统信息、启用日志记录功能以及设置服务器有关目录的权限等。

2、加强内网和外网的安全防范

服务器需要对外提供服务，它既有域名,又有公网IP，显然存在着一些安全隐患。因此，可以给服务器分配私有的IP地址，并且运用防火墙来做NAT（网络地址转换），可将其进行隐藏。

有些攻击来源于内网，如果把内网计算机和服务器放置在相同的局域网之内，则在一定程度上会增加很多安全隐患，所以必须把它划分为不同的虚拟局域网。运用防火墙的“网络地址转换”来提供相互间的访问，这样就能极大提高服务器的安全性和可靠性。

把服务器连接至防火墙的DMZ（隔离区）端口，将不适宜对外公布的重要信息的服务器，放在内部网络，进而在提供对外服务的同时，可以最大限度地保护好内部网络。

3、网络管理员，要不断加强网络日常安全的维护与管理

要对“管理员用户名与密码”定期修改；要对服务器系统的新增用户情况进行定时核对，并且需要认真仔细了解网络用户的各种功能；要及时更新服务器系统的杀毒软件以及病毒数据库，必要时，可针对比较特殊的病毒，安装专门的杀毒程序，同时要定期查杀服务器的系统病毒，定期查看CPU的正常工作使用状态、后台工作进程以及应用程序等。如若发现异常情况，需要及时给予妥当处理。因为很多“病毒与木马程序”，都是运用系统漏洞来进行攻击的，所以需要不断自动更新服务器系统，以及定期扫描服务器系统的漏洞。

很多服务器已经成为了“病毒、木马程序”感染的重灾区。不但企业的门户网站被篡改、资料被窃取，而且本身还成为了“病毒与木马程序”的传播者。有些服务器管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作“肉鸡”，来传播“病毒、恶意插件、木马程序”等等。这很大一部分原因是，网络管理员在网站安全的防护上太被动。他们只是被动的防御，而没有进行主动防御和检测。为了彻底提高服务器的安全等级，网站安全需要主动出击。

亿速云为用户提供的“裸金属服务器、云服务器、高防服务器”，具有“木马病毒检测、暴力破解防护、系统漏洞扫描”等基础防护功能。超大防护带宽和超强清洗能力，专门应对各类网站攻击行为，保障用户网站业务服务的正常稳定运行。

二、 漏洞测试

现在很多企业网站做的越来越复杂、功能越来越强大。不过这些都不是凭空而来的，而是通过代码堆积起来的。如果这些代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上对外服务使用的话，这些为实现特定功能的代码，就有可能成为攻击者的目标。

例如：在网页中可以嵌入“SQL代码”，而攻击者就可以利用这些“SQL代码”发动攻击，以此进行“获取管理员用户名和密码”等破坏性的操作。有时候访问某些网站，还需要有某些特定的控件，用户在安装这些控件时，其实就有可能是在安装一个木马（可能访问者与被访问者都没有意识到）。

为此在为网站某个特定功能编写代码时，就要主动出击，从代码的设计到编写、再到测试，都需要意识到是否存在着安全漏洞。在日常工作中，在这方面需要对于员工提出较高的要求，各个程序员，必须要对自己所开发的功能负责，已知的“病毒和木马”不能够在其所开发的插件中有机可乘。通过这种层层把关，就可以提高代码编写的安全性。

三、全天候的安全监控

“冰冻三尺，非一日之寒”，这就好像“人免疫力下降，导致身体生病”一样，都有一个过程。“病毒、木马”等在攻击服务器时，也需要一个过程。或者说，在攻击取得成功之前，它们会有一些试探性的动作。比如，对于一个采取了一定安全措施的服务器，从攻击开始到取得效果，至少要有半天的时间。网站管理员，要对服务器进行全天候的监控，在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种“主动出击”的防御方式，可以极大地提高了服务器的安全性。

专门设有一个小组，来全天候的监控服务器的访问，平均每分钟都可以监测到一些试探性的攻击行为。其中99% 以上的攻击行为，由于服务器已经采取了对应的安全措施，结果都无功而返。不过，每天仍然还是会遇到一些攻击行为，这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。如果在服务器上原先没有采取对应的安全措施，或者没有及时的发现这种行为，那么这些攻击就很有可能最终达到他们的非法目的。相反，如果及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，在服务器上关上这扇大门，补上这个漏洞。

在这里也建议，企业用户在选择“服务器提供商”的时候，除了考虑性能、硬件配置等因素之外，还要评估“服务提供商”能否提供全天候的安全监控机制。想要提高网站的安全性，在网站安全上就必须要主动出击，及时发现攻击者的攻击行为，在他们采取进一步攻击措施之前，就将攻击行为消除在萌芽状态。

亿速云裸金属服务器、云服务器、高防服务器的管理控制后台，为用户提供了可视化的图表和实时数据，可实时监控网络流量与服务器运行状态，帮助用户随时掌握业务运行动态，遇到突发状况，可部署应急防御。亿速云的数据中心机房，运营维护人员7*24小时全天候轮流值守，当用户租用的服务器发生故障时，可以及时响应，并第一时间进行抢修，最大程度地减少因故障而造成的用户损失。

四、设置蜜罐

其实在跟“病毒、木马”打交道时，本身就是一场无硝烟的战争。为此，对于服务器采取一些伪装，能够将攻击者引向错误的方向。等到攻击者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早地采取相应的措施。

这种主动出击，为攻击方设置“诱饵”的方式，叫做“蜜罐技术”。 “蜜罐技术”，本质上是一种防御方对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对防御方实施攻击，从而防御方可以对攻击行为进行捕获与分析，了解攻击方所使用的工具与方法，推测出攻击的意图和动机，由此能够让防御方清晰地了解到，他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

简单的来说，就是设置两个服务器。其中一个是真正的服务器，另外一个则是“蜜罐”。需要做的是，如何将真正的服务器伪装起来，而将“蜜罐”推向公众。让攻击者认为“蜜罐”服务器，才是真正的服务器。

要做到这一点的话，需要从如下几个方面出发：

1、有真有假，难以区分。如果想要瞒过攻击者的眼睛，那么“蜜罐”服务器就不能够做得太假。在做“蜜罐”服务器的时候，80%以上的内容，都是跟真的服务器相同的，只有一些比较机密的信息，没有放置在“蜜罐”服务器上。而且“蜜罐”服务器，所采取的安全措施，跟真的服务器是完全相同的。这不但可以提高“蜜罐”服务器的真实性，而且也可以用来评估真实服务器的安全性，可谓是一举两得。

2、需要有意无意的，将攻击者引向“蜜罐”服务器。攻击者在判断一个服务器是否值得攻击时，会事先进行评估。比如：评估这个网站的流量是否足够高。如果网站的流量不高，那么即使被攻破了，那也没有多大的实用价值。攻击者如果没有利益可图的话，不会花这么大的精力在这个网站服务器上面。

想要将攻击者引向这个“蜜罐”服务器，那么就需要提高这个“蜜罐”服务器的访问量。其实要做到这一点也非常容易。现在有很多用来交换流量的团队，只要花一点比较小的投资就可以做到这一点。

3、可以故意开一些空子，让攻击者来钻。作为服务器的管理者，不仅需要关心自己的服务器是否安全，还需要知道自己的服务器有没有被人家盯上，或者说，有没有被攻击的价值。此时，管理者就需要知道，自己的服务器一天被攻击了多少次。如果攻击的频率比较高，管理者既应该高兴，又应该忧虑。高兴的是，自己的服务器还是蛮有价值的，被这么多人惦记着。忧虑的是，自己的服务器成为了众多攻击者的目标。此时，应该抽取更多的精力，来关注服务器的安全性。

五、攻防测试。

俗话说，靠人不如靠自己。在服务器的“攻防战”上，这一原则也同样适用。如果，企业对于网站服务的安全要求比较高，网站服务器上搭载有“电子商务交易平台”，此时最好设置一个专门的团队。让他们充当“攻击者”的角色，对服务器进行模拟攻击。

这个专门的团队，主要执行以下几个任务：

1、测试Web管理团队，对攻击行为的反应速度

比如，可以采用一些现在比较流行的攻击手段，对自己的网站服务器发动攻击。当然这个时间是随机的，预先Web管理团队并不知情。需要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为，这也是考验Web管理团队全天候跟踪的能力。一般来说，这个时间越短越好，应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击行为。毕竟有没有发现攻击行为，与最终攻击行为有没有取得成功，是两个不同的概念。

2、要测试服务器的漏洞是否有补上

毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。这个专业团队要做的就是，这些已发现的漏洞，是否都已经打上了安全补丁或者采取了对应的安全措施。有时候，整个团队都没有发现的漏洞，可以说是无能为力的，但是对于一些已经发现的、存在的安全漏洞不能够视若无睹。否则，那太便宜这些攻击者了。

亿速云高防服务器、高防裸金属服务器，专业抗DDoS攻击，具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点。采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户的网站正常稳定运行”的目的。

亿速云在部署高防服务器、高防裸金属服务器的数据中心高防机房，接入了T级（1000 G）超大防护带宽，单机防御峰值最高可达数百G，并附有CC攻击的防御能力，可防御超大规模的DDoS攻击和高密度的CC攻击。