深圳虛擬主機(jī)(http://www.5lwq4hdr.cn/host/cnqy)服務(wù)商在運(yùn)營(yíng)過(guò)程中可能會(huì)受到黑客攻擊,常見(jiàn)的攻擊方式有SYN,DDOS等。通過(guò)更換IP,查找被攻擊的站點(diǎn)可能避開(kāi)攻擊,但是中斷服務(wù)的時(shí)間比較長(zhǎng)。比較徹底的解決方法是添置硬件防火墻。不過(guò),硬件防火墻價(jià)格比較昂貴。可以考慮利用Linux虛擬主機(jī)服務(wù)器本身提供的防火墻功能來(lái)防御。
1. 抵御SYN
SYN攻擊是利用TCP/IP協(xié)議3次握手的原理,發(fā)送大量的建立連接的網(wǎng)絡(luò)包,但不實(shí)際建立連接,最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿,無(wú)法被正常用戶訪問(wèn)。
2. 抵御DDOS
DDOS,分布式拒絕訪問(wèn)攻擊,是指黑客組織來(lái)自不同來(lái)源的許多主機(jī),向常見(jiàn)的端口,如80,25等發(fā)送大量連接,但這些客戶端只建立連接,不是正常訪問(wèn)。由于一般Apache配置的接受連接數(shù)有限(通常為256),這些“假” 訪問(wèn)會(huì)把Apache占滿,正常訪問(wèn)無(wú)法進(jìn)行。Linux提供了叫ipchains的防火墻工具,可以屏蔽來(lái)自特定IP或IP地址段的對(duì)特定端口的連接。使用ipchains抵御DDOS,就是首先通過(guò)netstat命令發(fā)現(xiàn)攻擊來(lái)源地址,然后用ipchains命令阻斷攻擊。發(fā)現(xiàn)一個(gè)阻斷一個(gè)。
3. 如果使用iptables
RH 8.0以上開(kāi)始啟用iptables替代ipchains,兩者非常類似,也有差別的地方。
* 啟用iptables
為了防止深圳虛擬主機(jī)被攻擊可以采取以下十個(gè)步驟:
一 、控制虛擬機(jī)的數(shù)量
創(chuàng)建虛擬主機(jī)只要短短幾分鐘。但虛擬機(jī)數(shù)量越多,面臨的安全風(fēng)險(xiǎn)也越大。所以,最好能夠跟蹤所有的虛擬主機(jī)。
專家認(rèn)為,虛擬主機(jī)數(shù)量激增是一大問(wèn)題,會(huì)導(dǎo)致管理、維護(hù)性能及配置供應(yīng)的能力出現(xiàn)滯后。另外,如果虛擬主機(jī)的數(shù)量超出了控制范圍,就會(huì)出現(xiàn)意料不到的管理成本。
二 、運(yùn)行更多流程
虛擬化技術(shù)最吸引人的也許在于速度: 只要幾分鐘就能創(chuàng)建虛擬機(jī),可以輕松移動(dòng),只需要一天而不是幾周即可提供新的計(jì)算功能。流程至關(guān)重要。考慮虛擬化時(shí)不僅要站在技術(shù)的角度,還要站在流程的角度。
加強(qiáng)操作系統(tǒng)安全、在每一個(gè)虛擬主機(jī)上運(yùn)行反病毒軟件、確保落實(shí)補(bǔ)丁管理,這些措施使得虛擬主機(jī)具有同樣的安全流程。
三 、利用安全工具
是否需要一套全新的安全和管理工具來(lái)保護(hù)虛擬化環(huán)境?不需要。明智之舉就是,從保護(hù)物理服務(wù)器和網(wǎng)絡(luò)環(huán)境的一套現(xiàn)有安全工具入手,然后運(yùn)用到虛擬環(huán)境。但一定要了解廠商是如何跟蹤虛擬化風(fēng)險(xiǎn)、將來(lái)如何與其他產(chǎn)品進(jìn)行集成的。
四 、采用嵌入式管理程序
服務(wù)器上的深圳虛擬機(jī)管理程序?qū)映洚?dāng)虛擬機(jī)的基礎(chǔ)。VMware近期宣布推出的ESX Server 3i虛擬機(jī)管理程序的獨(dú)特之處在于不包括通用操作系統(tǒng)。出于安全上的考慮,它采用了精簡(jiǎn)設(shè)計(jì),只占用32MB空間。
專家認(rèn)為,嵌入式虛擬機(jī)管理程序是將來(lái)的一大趨勢(shì)。不但從未涉足過(guò)這個(gè)領(lǐng)域的一些公司會(huì)提供嵌入式虛擬機(jī)管理程序,大多數(shù)服務(wù)器廠商也會(huì)提供。
虛擬機(jī)管理程序市場(chǎng)的競(jìng)爭(zhēng)和創(chuàng)新對(duì)企業(yè)來(lái)說(shuō)是好事。最終可能出現(xiàn)的結(jié)果是,許多公司會(huì)競(jìng)相提供最精簡(jiǎn)、最智能的虛擬機(jī)管理程序軟件。
五、限制訪問(wèn)虛擬機(jī)權(quán)限
如果賦予了訪問(wèn)深圳虛擬主機(jī)的管理員級(jí)別權(quán)限,也就是賦予了訪問(wèn)該虛擬機(jī)上所有數(shù)據(jù)的權(quán)限。武林網(wǎng)建議,要慎重考慮員工需要哪種賬戶和訪問(wèn)權(quán)限。更復(fù)雜的問(wèn)題是,有些第三方廠商針對(duì)虛擬機(jī)的存儲(chǔ)和備份安全的建議是過(guò)時(shí)的。
六、留意存儲(chǔ)資源
有些企業(yè)在SAN上提供過(guò)多的存儲(chǔ)資源,這就可能錯(cuò)誤地讓虛擬機(jī)的共享區(qū)域成為SAN的一部分。
七、隔離網(wǎng)段
企業(yè)走上虛擬化道路,不該忽視與安全有關(guān)的網(wǎng)絡(luò)流量風(fēng)險(xiǎn)。但其中一些風(fēng)險(xiǎn)很容易被忽視,如果在進(jìn)行虛擬化規(guī)劃時(shí)沒(méi)有網(wǎng)絡(luò)和安全人員參與,更是如此。
八、注意交換機(jī)
什么時(shí)候交換機(jī)不是交換機(jī)?有些虛擬交換機(jī)的工作方式類似集線器: 每個(gè)端口鏡像到虛擬交換機(jī)上的所有其他端口。特別是如今的微軟Virtual Server帶來(lái)了這個(gè)問(wèn)題。
九、監(jiān)控“非法”虛擬機(jī)
要擔(dān)心的不僅僅是服務(wù)器。最大的威脅在客戶端上―非法虛擬機(jī)(rogue VM)。那么,什么是非法虛擬機(jī)?用戶能夠下載及使用VMware Player這樣的免費(fèi)程序,會(huì)讓桌面和筆記本電腦用戶可以運(yùn)行由VMware Workstation、Server或者ESX Server創(chuàng)建的任何虛擬機(jī)。
這會(huì)增添很多風(fēng)險(xiǎn): 運(yùn)行非法深圳虛擬機(jī)的機(jī)器可能會(huì)傳播病毒。更糟糕的是,可能還會(huì)傳播到物理網(wǎng)絡(luò)上。舉例說(shuō),有些人就很容易加載DHCP服務(wù)器以便分配虛假IP地址。這實(shí)際上就是一種拒絕服務(wù)攻擊。至少,會(huì)把IT資源浪費(fèi)在查明問(wèn)題上。甚至有可能是簡(jiǎn)單的用戶錯(cuò)誤,也會(huì)給網(wǎng)絡(luò)帶來(lái)不必要的負(fù)擔(dān)。
十、做好虛擬化安全預(yù)算
確保分配好虛擬化安全和管理方面的預(yù)算。可能不需要在安全預(yù)算中為虛擬化安全單列預(yù)算,但全部安全預(yù)算最好為它留出足夠多的資金。
另外,在估算虛擬化的投資回報(bào)時(shí)要留意安全成本。對(duì)越來(lái)越多的服務(wù)器進(jìn)行虛擬化處理,并不會(huì)使安全開(kāi)支有所降低,因?yàn)樾枰\(yùn)用現(xiàn)有的安全工具來(lái)管理每個(gè)虛擬機(jī)。如果沒(méi)有預(yù)料到這筆開(kāi)支,可能會(huì)減少投資回報(bào)。
總而言之:網(wǎng)絡(luò)服務(wù)器的維護(hù)工作看著簡(jiǎn)單,但是每一個(gè)步驟都關(guān)系著整個(gè)系統(tǒng)的安危,整個(gè)服務(wù)器的安裝、配置和維護(hù)都是一個(gè)系統(tǒng)工程,因?yàn)樗P(guān)系著各大網(wǎng)站深圳虛擬主機(jī)的安全,我們必須用心去對(duì)待它,及時(shí)的查看日志,常給系統(tǒng)打補(bǔ)丁,升級(jí)防火墻和殺毒軟件的病毒庫(kù),每個(gè)動(dòng)作都是一些基本的工作,但是我們必須重視它,因?yàn)樗苯雨P(guān)系到我們系統(tǒng)的安全和穩(wěn)定性。
