深圳虚拟主机(http://www.CuoXin.com/host/cnqy)服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux虚拟主机服务器本身提供的防火墙功能来防御。
1. 抵御SYN
SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。
2. 抵御DDOS
DDOS,分布式拒绝访问攻击,是指黑客组织来自不同来源的许多主机,向常见的端口,如80,25等发送大量连接,但这些客户端只建立连接,不是正常访问。由于一般Apache配置的接受连接数有限(通常为256),这些“假” 访问会把Apache占满,正常访问无法进行。Linux提供了叫ipchains的防火墙工具,可以屏蔽来自特定IP或IP地址段的对特定端口的连接。使用ipchains抵御DDOS,就是首先通过netstat命令发现攻击来源地址,然后用ipchains命令阻断攻击。发现一个阻断一个。
3. 如果使用iptables
RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。
* 启用iptables
为了防止深圳虚拟主机被攻击可以采取以下十个步骤:
一 、控制虚拟机的数量
创建虚拟主机只要短短几分钟。但虚拟机数量越多,面临的安全风险也越大。所以,最好能够跟踪所有的虚拟主机。
专家认为,虚拟主机数量激增是一大问题,会导致管理、维护性能及配置供应的能力出现滞后。另外,如果虚拟主机的数量超出了控制范围,就会出现意料不到的管理成本。
二 、运行更多流程
虚拟化技术最吸引人的也许在于速度: 只要几分钟就能创建虚拟机,可以轻松移动,只需要一天而不是几周即可提供新的计算功能。流程至关重要。考虑虚拟化时不仅要站在技术的角度,还要站在流程的角度。
加强操作系统安全、在每一个虚拟主机上运行反病毒软件、确保落实补丁管理,这些措施使得虚拟主机具有同样的安全流程。
三 、利用安全工具
是否需要一套全新的安全和管理工具来保护虚拟化环境?不需要。明智之举就是,从保护物理服务器和网络环境的一套现有安全工具入手,然后运用到虚拟环境。但一定要了解厂商是如何跟踪虚拟化风险、将来如何与其他产品进行集成的。
四 、采用嵌入式管理程序
服务器上的深圳虚拟机管理程序层充当虚拟机的基础。VMware近期宣布推出的ESX Server 3i虚拟机管理程序的独特之处在于不包括通用操作系统。出于安全上的考虑,它采用了精简设计,只占用32MB空间。
专家认为,嵌入式虚拟机管理程序是将来的一大趋势。不但从未涉足过这个领域的一些公司会提供嵌入式虚拟机管理程序,大多数服务器厂商也会提供。
虚拟机管理程序市场的竞争和创新对企业来说是好事。最终可能出现的结果是,许多公司会竞相提供最精简、最智能的虚拟机管理程序软件。
五、限制访问虚拟机权限
如果赋予了访问深圳虚拟主机的管理员级别权限,也就是赋予了访问该虚拟机上所有数据的权限。错新网建议,要慎重考虑员工需要哪种账户和访问权限。更复杂的问题是,有些第三方厂商针对虚拟机的存储和备份安全的建议是过时的。
六、留意存储资源
有些企业在SAN上提供过多的存储资源,这就可能错误地让虚拟机的共享区域成为SAN的一部分。
七、隔离网段
企业走上虚拟化道路,不该忽视与安全有关的网络流量风险。但其中一些风险很容易被忽视,如果在进行虚拟化规划时没有网络和安全人员参与,更是如此。
八、注意交换机
什么时候交换机不是交换机?有些虚拟交换机的工作方式类似集线器: 每个端口镜像到虚拟交换机上的所有其他端口。特别是如今的微软Virtual Server带来了这个问题。
九、监控“非法”虚拟机
要担心的不仅仅是服务器。最大的威胁在客户端上―非法虚拟机(rogue VM)。那么,什么是非法虚拟机?用户能够下载及使用VMware Player这样的免费程序,会让桌面和笔记本电脑用户可以运行由VMware Workstation、Server或者ESX Server创建的任何虚拟机。
这会增添很多风险: 运行非法深圳虚拟机的机器可能会传播病毒。更糟糕的是,可能还会传播到物理网络上。举例说,有些人就很容易加载DHCP服务器以便分配虚假IP地址。这实际上就是一种拒绝服务攻击。至少,会把IT资源浪费在查明问题上。甚至有可能是简单的用户错误,也会给网络带来不必要的负担。
十、做好虚拟化安全预算
确保分配好虚拟化安全和管理方面的预算。可能不需要在安全预算中为虚拟化安全单列预算,但全部安全预算最好为它留出足够多的资金。
另外,在估算虚拟化的投资回报时要留意安全成本。对越来越多的服务器进行虚拟化处理,并不会使安全开支有所降低,因为需要运用现有的安全工具来管理每个虚拟机。如果没有预料到这笔开支,可能会减少投资回报。
总而言之:网络服务器的维护工作看着简单,但是每一个步骤都关系着整个系统的安危,整个服务器的安装、配置和维护都是一个系统工程,因为它关系着各大网站深圳虚拟主机的安全,我们必须用心去对待它,及时的查看日志,常给系统打补丁,升级防火墙和杀毒软件的病毒库,每个动作都是一些基本的工作,但是我们必须重视它,因为他直接关系到我们系统的安全和稳定性。
