很多網管都碰到過這樣一些難堪的事，因爲服務器的安全漏洞問題，導致其中數據的丟失、權限被非法取得、或者被那些剛剛懂得一點點網絡安全知識的菜鳥們指出服務器有這樣那樣的缺點，被搞得很沒面子。其實我也遇到過這樣的問題。後來，隨着工作中的研究和探討，逐漸發現這些安全隱患的存在原因以及解決辦法。在這裏拿出來跟大家探討一二。

　　網絡服務器主要是指那些存放網站數據的WEB服務器、DATA服務器、DNS服務器和MAIL服務器而言。WEB服務器的問題已經說過不少了，在這裏就主要談談DATA服務器、DNS服務器和MAIL服務器的問題。

　　一、DATA服務器

　　先來看看DATA服務器。它主要是存放數據庫的服務器(廢話)。以SQL數據庫爲例，從安全角度考慮，SQL服務器與BACKOFFICE組件中的所有程序一樣，都是以Windows NT Server爲基礎，利用了Windows NT Server自身擁有的安全性能。而且，當你將SQL服務器與Internet相連時，爲保證你數據的安全性和完整性，有些事情你需要特別考慮。

　　1.支持SQL服務器的Internet Database Connector(簡稱IDC)的安全性

　　在通常情況下，數據庫的開發者在使用IDC來處理SQL服務器數據時，就應該考慮對你的數據庫實施必要的保護措施。有哪些是必須要做到的呢！根據我的一些經驗，以下幾點是需要考慮的：1)使用NTFS分區。

　　2)給予用戶執行日常任務所必需的最低等級的訪問許可權。

　　3)強制執行口令和登錄策略。

　　4) TCP/IP過濾。

　　5)防火牆及代理服務器。

　　通過以上幾步措施，你的SQL服務器已經具備初級的安全防範的功能。但是這些是遠遠不夠的，因爲高級的網絡入侵者往往能夠繞過這些防禦。那麼我們就需要進一步提高服務器的安全性能。用戶必須得到訪問.IDC和.HTX文件的許可權才能處理數據，如果你賦予匿名訪問權，那麼IUSR_計算機爲匿名訪問設定的賬戶必須擁有訪問這些文件的許可權。這裏必須提出的是，Windows NT用戶名必須嚴格符合SQL服務器綜合性安全命名原則。下劃線、美元符號和英鎊符號都不允許使用(這意味着不能使用缺省的賬戶IUSR_計算機名進行SQL服務器訪問)。另外IDC文件對於SQL數據庫有效用戶口令的保護等措施也是很必要的。

　　2. IIS本身的安全性問題

　　這個話題相信很多朋友看了都會感到很熟悉。在這裏，我只想討論一下IIS的SQL Web Assistant的問題。通過使用SQL Web Assistant也可以多少地保證你的Microsoft Exchange服務器、Internet信息服務器和SQL的安全。一般來講，只要您正確使用配置好SQL Web Assistant，都能夠比較理想地達到SQL數據庫的安全保障。二、DNS服務器

　　DNS服務器是Internet上其它服務的基礎，它處理DNS客戶機的請求：將名字與IP地址進行互換，並提供特定主機的其它已公佈信息(如MX記錄等)。一般而言，網管們碰到的大多會有以下幾種情況。

　　1.名字欺騙。當主機B訪問主機A(同時也作爲DNS服務器)如執行rlogin時，A接收到這個連接並獲得發起本次連接主機B的IP地址。爲驗證本次連接的合法性，主機A就向本地DNS服務器逆向查詢對應於這個IP地址的主機名字。當返回查詢結果——主機名B爲本機所信任的主機時，就允許來自B的遠程命令rlogin。下面我們再來看看主機D是如何利用驗證漏洞來欺騙主機A的。當主機D也執行rlogin時，主機A同樣要驗證本次連接的合法性。如果A不能根據D的IP在本地DNS服務器中查詢到對應的主機名時，就會向其它DNS服務器發出請求，最後終會找到DNS服務器C。如果入侵者修改DNS服務器C中對應於自己IP地址的主機名爲主機B時，主機A就會獲得對應於D的IP地址的主機名是B的逆向查詢結果，因此主機A認可本次連接。於是欺騙A成功。

　　2.信息隱藏。當某個企業由於保密等原因的需要，給某些特定主機以特定的內部主機名，而這些主機密碼又被入侵者獲取時，存放保密數據的服務器主機就會完全暴露。

　　解決以上兩個問題的辦法主要有兩種：

　　1.直接利用DNS軟件本身具備的安全特性來實現；

　　2.以防火牆/NAT爲基礎，並運用私有地址和註冊地址的概念。簡而言之就是將內部DNS服務器和外部DNS服務器進行物理分開，內部DNS服務器解析私有的IP，而外部DNS則解析公開的IP。內部主機使用私有地址；對Internet服務的主機用NAT完成註冊地址到其私有地址的靜態映射；訪問Internet的主機用NAT完成其私有地址到註冊地址的動態映射。

　　三、MAIL服務器

　　MAIL服務器一直因其安全性而成爲廣大網友抱怨的對象。的確，從理論上講，MAIL服務是一種不安全的服務，因爲它必須接受來自INTERNET的幾乎所有數據。Internet上，服務器間的郵件交換是通過SMTP協議來完成的。主機的SMTP服務器接收郵件(該郵件可能來自外部主機上的SMTP服務器，也可能來自本機上的用戶代理)，然後檢查郵件地址，以便決定在本機發送還是轉發到其它一些主機。Unix系統上的SMTP程序通常是Sendmail。有關Sendmail的安全問題重要的原因在於它是一個異常複雜的程序，而另一個原因是它需root用戶特權運行。

　　解決的方法大致有三種:

　　1.使用Unix系統自帶的安全特性；

　　2.使用代理；

　　3.直接修改源碼。

　　以上是對網絡服務器安全問題及其解決辦法的一些初步探討。其實，關鍵的問題還是在於網絡管理員對網絡安全意識的建立和實施。因爲多數網絡安全事件的發生，都是因爲網絡管理員安全意識的缺乏和防範措施實施的不到位。