3. 服務(wù)區(qū)

　　服務(wù)區(qū)定義需要哪些服務(wù)。通過(guò)“如果不是指定需要的全部禁止”的安全策略，服務(wù)器上僅僅配置完成必要的操作所必需的服務(wù)，否則就會(huì)為攻擊者提供更多的攻擊點(diǎn)。

　　僅適用可以保證足夠安全級(jí)的服務(wù)：沒(méi)有充分認(rèn)證能力的服務(wù)（如：rexec）或者傳輸未經(jīng)過(guò)加密的敏感數(shù)據(jù)的服務(wù)（如telnet、ftp或通過(guò)WWW傳輸信用卡敏感數(shù)據(jù)）都應(yīng)該用更安全的相應(yīng)服務(wù)所替代（如SSH、SSLftp或HTTPS）。

　　4. 應(yīng)用區(qū)

　　為安全起見(jiàn)，每個(gè)服務(wù)都必需單獨(dú)配置。一個(gè)配置的不好的郵件服務(wù)器可能會(huì)被用來(lái)發(fā)送垃圾郵件，配置不好的Web服務(wù)器可以執(zhí)行所有的系統(tǒng)命令。注意，千萬(wàn)不要?jiǎng)?chuàng)建具有高特權(quán)的服務(wù)（root）。

　　您必需仔細(xì)研讀您所適用的軟件的操作手冊(cè)中的相關(guān)內(nèi)容才可以更安全地配置您的應(yīng)用。

　　5. 操作系統(tǒng)區(qū)

　　最后的保護(hù)機(jī)制是操作系統(tǒng)自身。如果如果應(yīng)用區(qū)的安全方法配置合理的話(huà)，即使入侵者成功地進(jìn)入計(jì)算機(jī)系統(tǒng)也沒(méi)有足夠的管理權(quán)限完成破壞工作。程序的安裝，尤其是高特權(quán)的程序，應(yīng)該限制在系統(tǒng)操作的絕對(duì)需要范圍內(nèi)。許多高特權(quán)的程序可以通過(guò)更高級(jí)別的認(rèn)證來(lái)限制用戶(hù)的濫用，因?yàn)橄到y(tǒng)中的標(biāo)準(zhǔn)用戶(hù)帳號(hào)根本不需要使用這些程序。但這還遠(yuǎn)遠(yuǎn)不夠，萬(wàn)一攻擊者成功地進(jìn)入計(jì)算機(jī)系統(tǒng)，應(yīng)該存在一個(gè)檢測(cè)入侵的機(jī)制。這被稱(chēng)為“基于主機(jī)的入侵檢測(cè)”。當(dāng)然，最好還要能夠監(jiān)視和記錄系統(tǒng)中的文件操作，以便了解入侵者的真正意圖。當(dāng)然也不能忽視經(jīng)常性地備份，并且不要丟棄舊的備份文件。這種做法不僅可以用來(lái)配置備份服務(wù)器和避免數(shù)據(jù)丟失，它還可以用來(lái)跟蹤系統(tǒng)中文件的操作情況。如果有幾個(gè)管理員同時(shí)管理一個(gè)服務(wù)器，那么一個(gè)記錄誰(shuí)執(zhí)行過(guò)哪些操作的機(jī)制可以在下面提及。

　　想定

　　Internet需要配置一臺(tái)自己的WEB服務(wù)器，由于沒(méi)有自己的安全基礎(chǔ)設(shè)施，應(yīng)該在WEB服務(wù)器前面放一臺(tái)配置了相應(yīng)過(guò)濾規(guī)則的路由器。這臺(tái)WEB服務(wù)器僅僅提供WWW和HTTPS服務(wù)，但是，它當(dāng)然也需要具有遠(yuǎn)程控制特性。另外，這臺(tái)Web服務(wù)器最好還能夠發(fā)送郵件。由于Linux服務(wù)器和網(wǎng)頁(yè)是由三個(gè)不同的管理員維護(hù)的，所有的管理操作都應(yīng)該保證在以后進(jìn)行日志分析是更容易理解。

　　實(shí)現(xiàn)

　　前面段落中說(shuō)明的安全WEB服務(wù)器的需求如何實(shí)現(xiàn)呢？下面的例子說(shuō)明了一種在SuSE Linux 6.4發(fā)布的服務(wù)器上的實(shí)現(xiàn)方法。為了實(shí)現(xiàn)上述想定，我們決定選擇SSH管理和Apache Web服務(wù)器。

　　第一步：配置路由器

　　每一個(gè)流行的路由器都提供配置過(guò)濾列表的功能。您必需配置下面的簡(jiǎn)單規(guī)則：

　　+---------------------------------------------------------------+
　　|-----------------------過(guò)濾規(guī)則--------------------------------|
　　+------------------+------------------+-------------------------+
　　|--------來(lái)源------|--------目標(biāo)------|---------服務(wù)------------|
　　+------------------+------------------+-------------------------+
　　|任何位置----------|Web服務(wù)器---------|WWW, HTTPS, UDP highport,|
　　|------------------|------------------|ICMP types 0 + 3---------|
　　+------------------+------------------+-------------------------+
　　|管理員------------|Web服務(wù)器---------|SSH----------------------|
　　+------------------+------------------+-------------------------+
　　|Web服務(wù)器---------|任何位置----------|DNS, SMTP----------------|
　　+------------------+------------------+-------------------------+
　　|Web服務(wù)器---------|路由器------------|SSH或telnet--------------|
　　+------------------+------------------+-------------------------+

　　路由器的操作手冊(cè)會(huì)提供如何進(jìn)行上述配置的詳細(xì)信息。這里我建議使用Cisco路由器，因?yàn)閷?duì)于這種情況它非常容易配置，并且還在IOS的第12版以后提供了SSH的加密服務(wù)。