由于服务器发挥着至关重要的作用，因此存储在服务器上的机密数据和信息非常具有价值。如今有一种流行的说法，“数据就是新的石油”。

如果不确定如何保护服务器安全，或者不确定是否已涵盖所有基础知识，那么可以了解下面提供一些可用于保护服务器的安全提示。

(1)保持软件和操作系统更新

在服务器安全方面，掌握软件和与操作系统相关的安全性修补程序至关重要。未安装修补程序的软件，经常会发生黑客攻击和入侵系统的情况。通常情况下，软件供应商会将补丁或软件更新的通知发送给客户，因此不应拖延。尽管企业可能需要测试与自己的系统环境之间的兼容性问题，但服务器软件在发布之前已经进行了广泛的测试。补丁程序管理工具、漏洞扫描工具和其他寻找安全漏洞的工具都可以提供帮助。

(2)尽可能地实现自动化和使用人工智能

人类难免犯错，大多数重大的服务器故障都是人为错误造成的。而且工作人员可能在超负荷工作，在安全方面会有一些疏漏。要执行某些功能，需要尽可能实现自动化。例如，大多数系统都支持补丁程序的自动下载和安装，并且越来越多的人工智能产品可以监视、保护和升级企业的系统。

(3)使用虚拟专用网络(VPN)

专用网络基于全球互联网协议地址空间。虚拟专用网络(VPN)是私有的专有网络，因为其互联网协议数据包无需通过公共网络进行传输。

虚拟专用网络(VPN)将允许企业在不同位置的不同计算机设备之间创建连接。它使企业可以安全地在服务器上执行操作。

企业可以与同一帐户上的其他服务器交换信息，而不会受到外界的攻击和损害。为确保服务器安全，企业应该设置虚拟专用网络。

(4)考虑零信任网络

防火墙和VPN的弱点之一是它们不能阻止内部移动。一旦黑客入侵企业的网络，几乎可以在整个网络中自由移动。这就是零信任网络的出现的原因，零信任网络不允许用户或设备访问任何内容，除非得到许可或证明。这就是所谓的“最低特权”方法，它要求对所有内容进行严格的访问控制。

(5)加密所有内容

任何数据都不应在未加密的服务器上移动。安全套接层协议(SSL)是一种安全协议，用于保护互联网上两个系统之间的通信。企业的内部系统也是如此。使用安全套接层协议(SSL)证书，只有预期的接收者才具有解密信息的密钥。

在连接到远程服务器时，使用SSH(安全外壳)对交换中传输的所有数据进行加密。使用SSH密钥进行RSA 2048位加密，对SSH服务器进行身份验证。

要在服务器之间传输文件，就需要使用安全文件传输协议(FTPS)。它可以加密数据文件和身份验证信息。

最后，要求来自防火墙外部的连接使用虚拟专用网(VPN)。虚拟专用网络(VPN)使用自己的私有网络和私有IP在服务器之间建立隔离的通信通道。

(6)不要只使用标准防火墙

防火墙是确保服务器安全的必不可少的工具，但是防火墙不仅仅是企业内部部署的防火墙，也有托管安全服务提供商(MSSP)为企业的网络提供托管防火墙服务。根据服务协议的范围，托管安全服务提供商(MSSP)可以执行防火墙安装、应用程序控制和Web内容过滤，因为它们有助于确定要阻止的应用程序和Web内容(URLS)。他们还将帮助管理补丁和更新。实际上有大量的托管安全服务提供商(MSSP可供选择。

(7)更改默认值

在大多数系统中，默认帐户是root帐户，这是黑客所针对的目标。所以需要进行更改。对于名为admin的帐户也是如此。不要在网络上使用令人关注的帐户名。

企业可以通过减少所谓的攻击向量来提高服务器安全性，这是运行所需的最低限度服务的过程。Windows和Linux的服务器版本附带许多服务，如果不需要这些服务，则应将其关闭。

Wi-Fi接入端口默认会广播其身份，如果在其范围内，则端点设备将会看到它。进入访问端口并关闭广播，因此任何想要使用它的人都必须知道访问点的真实名称。此外，企业的设备不要使用制造商的默认名称。

(8)创建多服务器或虚拟环境

隔离是企业可以拥有的最佳服务器保护类型之一，因为如果一台服务器受到威胁，黑客的攻击行为就会被锁定在该服务器上。例如，标准做法是将数据库服务器与Web应用程序服务器分开。

完全隔离将需要拥有专用的裸机服务器，这些裸机服务器不与其他服务器共享任何组件，这意味着企业需要增加更多的硬件。与其相反，实现虚拟化可以作为隔离环境。

在数据中心中具有隔离的执行环境可以实现所谓的职责分离(SoD)。职责分离(SoD)遵循“最小特权”的原则运行，这实际上意味着用户不应拥有超出其日常任务所需特权的特权。为了保护系统和数据，必须建立用户层次结构，每个用户都具有自己的用户ID和尽可能少的权限。

如果企业负担不起或不需要使用专用服务器组件进行完全隔离，则还可以选择隔离执行环境，也称之为虚拟机和容器。

(9)正确输入密码

密码始终是一个安全问题，因为很多人对密码管理有些草率。他们在多个帐户使用相同的密码，或者使用容易让人猜到的简单密码，如“password”、“abcde”或“123456”。甚至可能根本没有设置任何密码。

在设置密码时需要包含大小写字母、数字和符号的混合。并定期更改密码，另外在使用一次后禁止使用原有的密码。

(10)关闭隐藏的开放端口

网络攻击可能来自人们甚至没有意识到开放的端口。因此，不要以为知道每个端口的情况，这是不可能的事。那些并不是绝对必要的端口都应关闭。Windows Server和Linux共享一个称为netstat的通用命令，该命令可用于确定正在侦听哪些端口，同时还显示当前可能可用的连接的详细信息。

•列出所有端口的信息-“netstat -s”

•列出所有TCP端口-“netstat -at”

•列出所有UDP端口-“netstat -au”

•所有打开的侦听端口-“netstat -l”

(11)经常执行正确的备份

企业不仅需要进行定时备份，而且还应该在网络之外的异地位置进行备份。异地备份是必要的，尤其是对于勒索软件攻击来说，企业可以在其中清理受感染的驱动器。

企业还要考虑将灾难恢复即服务(DRaaS)作为即服务产品之一，该产品可通过云计算模型提供备份。它由许多内部部署供应商以及云计算服务提供商提供。

无论是自动备份作业还是人工执行，需要确保测试备份。这应该包括对管理员甚至最终用户验证数据恢复是否一致的健全检查。

(12)进行定期和频繁的安全审核

如果不进行定期审核，就无法知道可能存在的问题或如何解决这些问题，以确保企业的服务器得到完全保护。检查日志中是否有可疑或异常活动，并检查软件、操作系统和硬件固件更新，以及检查系统性能。通常情况下，黑客攻击会导致系统活动激增，硬盘驱动器或CPU或网络流量出现异常可能是黑客攻击信号。由于服务器的部署并不是一劳永逸的，必须经常对其进行检查。

对于安全防护来讲，我这里按照从源头到服务器内部的顺序，依次梳理出防护的措施。

最源头自然是发起请求端的客户端，请求则是通过IP来定位服务器的。我们服务器的IP自然是公开的，而客户端的IP则是不确定的。我们如果通过分析和控制客户端的IP，也就将安全遏制在源头。

然后就是要对端口进行控制。过了这两关，也就进入了服务器的内部逻辑了。我们就可以对应用场景进行分析控制，频率更要控制，其他的就更加细致了。

最后就是安全措施，一般有三种：停止响应，节省性能；拉黑处理，以后只要是这个IP就不响应；对于不能大刀阔斧干的，就控制频率，延迟一段时间才能访问。

一、防护清单：

1. 源头控制（ip）

• 封闭式：限定访问的IP（指定服务器才能访问即授权访问）
• 开放式：白名单IP允许
• 开放式：黑名单IP禁止
• 开放式：业务行政物理地址外IP禁止（IP定位），消除代理攻击
• 开放式：业务行政物理地址内IP允许（IP定位），消除代理攻击

2. 端口控制

• 知名端口：常用的知名端口，如80，修改知名端口或关闭不必要知名端口。
• 匿名端口：采用不常用的端口号，端口不连号。

3. 应用场景控制(手机或PC和其他)

• 手机端：只会在手机端使用的接口，不对其他终端响应
• PC端：都可以访问-特定场景：特定场景使用的接口不暴露，且做场景分析控制，非场景下不允许使用

4. 频率控制

• 访问间隔：连续访问间隔控制
• 周期间隔：周期内访问间隔控制
• 周期访问次数：周期访问次数控制-特定场景访问次数控制：特定场景次数分析

5. 请求地址控制

• 不存在的地址控制
• 恶意攻击地址控制

6. 参数控制

• 多余的参数：多余的参数分析和记录
• SQL攻击：SQL攻击
• XSS攻击：js脚本攻击和url检测
• 参数取值：合理取值范围和类型

7. 流程控制

• 流程漏洞控制，确保没有流程空白
• 多接口混合使用形成的流程漏洞控制

8. 缓存控制

• 缓存更新漏洞机制
• 缓存不同步漏洞控制

9. bug错误控制

• 异常控制
• 异常暴露
• 异常流程控制
• bug对设计的冲击控制

10. 系统协作控制

• 多端协作流程漏洞控制

11. 分布式控制

• 数据一致性漏洞
• 其他

12. 服务器漏洞

• 漏洞检测和修复

二、具体做法

（一）关闭不常用的服务器端口

1. 网站用户常用的端口一般有：FTP（21）、SSH(22)、远程桌面(3389)、http(80)、https(443)，以及部分管理面板需要使用到的特殊端口。如：宝塔（8888）等等 　　在这里，如果是网站用户除了http(80)是必须常开的，其他的端口都可以在需要使用的时候再打开，使用完毕后立即关闭。

2. 如果使用了服务器管理面板(linux)，比如wdcp，wdcp默认的端口是8080，强烈建议在wdcp后台修改默认的端口。（防止被恶意连接）

3. 如果使用的是windows系统的服务器，我也强烈建议修改windows系统默认的远程连接端口。

（二）谨慎安装不明来源的程序、插件

从互联网下载的程序、插件，我们不敢保证100%的可信，所以请不要随意安装不明来源的程序和插件。一旦这些程序、插件带有后门，那么你的服务器可能就GG了。

三、说明

服务器端的防攻击不能作出太多贡献，最好的办法是对数据进行定期的备份、以及增量备份。

最主要的防护需要在网关——网络层面进行防护

服务器的安全防护，这个是保证服务器稳定运行必须做好的工作。
对于安全防护来讲，我这里按照从源头到服务器内部的顺序，依次梳理出防护的措施。对于目前的服务器来讲，很多服务器是已经做了这里大部分的安全措施的，有一些措施可能还没有做。当然，鉴于本人水平有限，我这里列出的肯定没有完全覆盖，如果您有补充欢迎在文章底部留言。
最源头自然是发起请求端的客户端，请求则是通过IP来定位服务器的。我们服务器的IP自然是公开的，而客户端的IP则是不确定的。我们如果通过分析和控制客户端的IP，也就将安全遏制在源头。
然后就是要对端口进行控制。过了这两关，也就进入了服务器的内部逻辑了。我们就可以对应用场景进行分析控制，频率更要控制，其他的就更加细致了。
最后就是安全措施，一般有三种：停止响应，节省性能;拉黑处理，以后只要是这个IP就不响应;对于不能大刀阔斧干的，就控制频率，延迟一段时间才能访问。
下面是一个简要的清单，后续将逐个解释控制的原理和流程。再最后就是针对每一种控制，提出实现方案。
一、安全防护：
1.源头控制(ip)
-封闭式：限定访问的IP(指定服务器才能访问即授权访问)
-开放式：白名单IP允许
-开放式：黑名单IP禁止
-开放式：业务行政物理地址外IP禁止(IP定位)，消除代理攻击
-开放式：业务行政物理地址内IP允许(IP定位)，消除代理攻击
2.端口控制
-知名端口：常用的知名端口，如80，修改知名端口或关闭不必要知名端口。
-匿名端口：采用不常用的端口号，端口不连号。
3.应用场景控制(手机或PC和其他)
-手机端：只会在手机端使用的接口，不对其他终端响应
-PC端：都可以访问
-特定场景：特定场景使用的接口不暴露，且做场景分析控制，非场景下不允许使用
4.频率控制
-访问间隔：连续访问间隔控制
-周期间隔：周期内访问间隔控制
-周期访问次数：周期访问次数控制
-特定场景访问次数控制：特定场景次数分析
5.请求地址控制
-不存在的地址控制
-恶意攻击地址控制
6.参数控制
-多余的参数：多余的参数分析和记录
-SQL攻击：SQL攻击
-XSS攻击：js脚本攻击和url检测
-参数取值：合理取值范围和类型
7.流程控制
-流程漏洞控制，确保没有流程空白
-多接口混合使用形成的流程漏洞控制
8.缓存控制
-缓存更新漏洞机制
-缓存不同步漏洞控制
9.bug错误控制
-异常控制
-异常暴露
-异常流程控制
-bug对设计的冲击控制
10.系统协作控制
-多端协作流程漏洞控制
11.分布式控制
-数据一致性漏洞
-其他
12.服务器漏洞
-漏洞检测和修复
二、保护措施：
1.拒绝服务：当次停止响应，减少性能消耗
2.拉黑：后续全部停止响应
3.限制降频：降低允许访问的频率
VeCloud微云网络的总部位于香港，并在中国北京和深圳设有分支机构，是一家面向企业提供云交换网络服务为核心业务的技术创新企业。基于创新的云网技术，以及优质的全球网络与IDC数据中心资源，推出了全球直连，快速可达的VeConnect平台，实现网络服务商、IDC数据中心、云服务商以及企业应用服务商的直连互通，为企业提供高效、安全、稳定、可靠的网络连接服务。http://www.vecloud.com/category/chinaidc