深圳虛擬主機(http://www.companysz.com/host/cnqy)服務商在運營過程中可能會受到黑客攻擊����,常見的攻擊方式有SYN�,DDOS等�。通過更換IP,查找被攻擊的站點可能避開攻擊����,但是中斷服務的時間比較長�。比較徹底的解決方法是添置硬件防火墻�。不過,硬件防火墻價格比較昂貴。可以考慮利用Linux虛擬主機服務器本身提供的防火墻功能來防御��。
1. 抵御SYN
SYN攻擊是利用TCP/IP協(xié)議3次握手的原理,發(fā)送大量的建立連接的網絡包�,但不實際建立連接��,最終導致被攻擊服務器的網絡隊列被占滿,無法被正常用戶訪問����。
2. 抵御DDOS
DDOS���,分布式拒絕訪問攻擊�����,是指黑客組織來自不同來源的許多主機,向常見的端口����,如80����,25等發(fā)送大量連接��,但這些客戶端只建立連接,不是正常訪問。由于一般Apache配置的接受連接數(shù)有限(通常為256)���,這些“假” 訪問會把Apache占滿,正常訪問無法進行。Linux提供了叫ipchains的防火墻工具�����,可以屏蔽來自特定IP或IP地址段的對特定端口的連接�。使用ipchains抵御DDOS,就是首先通過netstat命令發(fā)現(xiàn)攻擊來源地址,然后用ipchains命令阻斷攻擊�����。發(fā)現(xiàn)一個阻斷一個���。
3. 如果使用iptables
RH 8.0以上開始啟用iptables替代ipchains�,兩者非常類似,也有差別的地方。
* 啟用iptables
為了防止深圳虛擬主機被攻擊可以采取以下十個步驟:
一 、控制虛擬機的數(shù)量
創(chuàng)建虛擬主機只要短短幾分鐘�。但虛擬機數(shù)量越多�����,面臨的安全風險也越大。所以,最好能夠跟蹤所有的虛擬主機。
專家認為,虛擬主機數(shù)量激增是一大問題���,會導致管理、維護性能及配置供應的能力出現(xiàn)滯后。另外�,如果虛擬主機的數(shù)量超出了控制范圍����,就會出現(xiàn)意料不到的管理成本�����。
二 ��、運行更多流程
虛擬化技術最吸引人的也許在于速度: 只要幾分鐘就能創(chuàng)建虛擬機�,可以輕松移動,只需要一天而不是幾周即可提供新的計算功能�����。流程至關重要�。考慮虛擬化時不僅要站在技術的角度���,還要站在流程的角度。
加強操作系統(tǒng)安全��、在每一個虛擬主機上運行反病毒軟件���、確保落實補丁管理����,這些措施使得虛擬主機具有同樣的安全流程。
三 �、利用安全工具
是否需要一套全新的安全和管理工具來保護虛擬化環(huán)境����?不需要。明智之舉就是�����,從保護物理服務器和網絡環(huán)境的一套現(xiàn)有安全工具入手�����,然后運用到虛擬環(huán)境���。但一定要了解廠商是如何跟蹤虛擬化風險�����、將來如何與其他產品進行集成的�����。
四 ��、采用嵌入式管理程序
服務器上的深圳虛擬機管理程序層充當虛擬機的基礎。VMware近期宣布推出的ESX Server 3i虛擬機管理程序的獨特之處在于不包括通用操作系統(tǒng)�����。出于安全上的考慮���,它采用了精簡設計�����,只占用32MB空間�����。
專家認為�����,嵌入式虛擬機管理程序是將來的一大趨勢���。不但從未涉足過這個領域的一些公司會提供嵌入式虛擬機管理程序��,大多數(shù)服務器廠商也會提供�����。
虛擬機管理程序市場的競爭和創(chuàng)新對企業(yè)來說是好事����。最終可能出現(xiàn)的結果是,許多公司會競相提供最精簡、最智能的虛擬機管理程序軟件����。
五���、限制訪問虛擬機權限
如果賦予了訪問深圳虛擬主機的管理員級別權限��,也就是賦予了訪問該虛擬機上所有數(shù)據(jù)的權限。武林網建議,要慎重考慮員工需要哪種賬戶和訪問權限。更復雜的問題是,有些第三方廠商針對虛擬機的存儲和備份安全的建議是過時的。
六����、留意存儲資源
有些企業(yè)在SAN上提供過多的存儲資源�,這就可能錯誤地讓虛擬機的共享區(qū)域成為SAN的一部分�����。
七、隔離網段
企業(yè)走上虛擬化道路��,不該忽視與安全有關的網絡流量風險。但其中一些風險很容易被忽視�,如果在進行虛擬化規(guī)劃時沒有網絡和安全人員參與,更是如此��。
八、注意交換機
什么時候交換機不是交換機��?有些虛擬交換機的工作方式類似集線器: 每個端口鏡像到虛擬交換機上的所有其他端口。特別是如今的微軟Virtual Server帶來了這個問題。
九、監(jiān)控“非法”虛擬機
要擔心的不僅僅是服務器�。最大的威脅在客戶端上―非法虛擬機(rogue VM)�����。那么���,什么是非法虛擬機?用戶能夠下載及使用VMware Player這樣的免費程序,會讓桌面和筆記本電腦用戶可以運行由VMware Workstation、Server或者ESX Server創(chuàng)建的任何虛擬機。
這會增添很多風險: 運行非法深圳虛擬機的機器可能會傳播病毒�。更糟糕的是����,可能還會傳播到物理網絡上。舉例說,有些人就很容易加載DHCP服務器以便分配虛假IP地址���。這實際上就是一種拒絕服務攻擊。至少,會把IT資源浪費在查明問題上���。甚至有可能是簡單的用戶錯誤����,也會給網絡帶來不必要的負擔。
十���、做好虛擬化安全預算
確保分配好虛擬化安全和管理方面的預算���。可能不需要在安全預算中為虛擬化安全單列預算�����,但全部安全預算最好為它留出足夠多的資金���。
另外���,在估算虛擬化的投資回報時要留意安全成本。對越來越多的服務器進行虛擬化處理����,并不會使安全開支有所降低,因為需要運用現(xiàn)有的安全工具來管理每個虛擬機�����。如果沒有預料到這筆開支����,可能會減少投資回報。
總而言之:網絡服務器的維護工作看著簡單,但是每一個步驟都關系著整個系統(tǒng)的安危���,整個服務器的安裝��、配置和維護都是一個系統(tǒng)工程�����,因為它關系著各大網站深圳虛擬主機的安全,我們必須用心去對待它��,及時的查看日志,常給系統(tǒng)打補丁��,升級防火墻和殺毒軟件的病毒庫�����,每個動作都是一些基本的工作����,但是我們必須重視它��,因為他直接關系到我們系統(tǒng)的安全和穩(wěn)定性�����。
