加强计算机的网络安全级别控制设置的方法 防止非法攻击
发布时间:2012-05-31 11:25:10 作者:佚名 我要评论
网络安全永远是预防大于被动的杀毒.防患于未然
为了抵挡Internet网络病毒的疯狂袭击,许多网络管理员想出了 各种办法来加强网络安全控制;不过其中的很多办法不是需要外力工具的帮忙,就是需要网络管理员熟悉服务器系统的各种安全设置,这对接触网络管理工作不久的 “菜鸟”级管理员来说,不但显得有点麻烦,而且也有点高深。事实上,任何一台服务器系统在默认状态下会自动启用日志功能,来将访问服务器系统的任何行为捕 捉、记录下来,网络管理员只要巧妙地学会使用日志,同样也能够实现加强网络安全控制的目的!
一、实地分析,寻找安全隐患
某单位的IIS服务器在深夜时分遭受到黑客的非法攻击,当天值班的网络管理员小王发现IIS服务器不能正常工作后,立即电话联系了经验丰富的 前辈级网络安全工程师老张。早上上班后,老张火速赶到IIS服务器现场,没有多长时间,老张就将攻击IIS服务器的非法攻击着找了出来,并且一并发现了 IIS服务器系统中的其他安全隐患。事实上,老张之所以能这么快寻找到IIS服务器系统中的安全隐患,主要就是因为他巧妙地利用了服务器系统自带的日志功 能。
一般来说,非法攻击者企图攻击目标IIS服务器系统时,往往会花费一番心思来收集目标IIS服务器系统的各种信息,通过一些专业级别的扫描工 具,来扫描目标IIS服务器系统此时此刻是否存在安全漏洞;而目标IIS服务器系统的日志功能在默认状态下,能够自动记忆下各种访问过本地系统的行为,并 将这些记忆下来的内容存储到指定的日志文件中,这个日志文件中包含的内容往往有被扫描的服务器端口号码、访问用户名、客户端的IP地址等;仔细分析这些内 容,我们往往就能大概判断出本地IIS服务器系统有没有安全隐患存在。
在查看本地系统的日志文件时,我们可以先依次单击“开始”/“设置”/“控制面板”命令,然后用鼠标双击系统控制面板窗口中的“管理工具”图标,在弹出的管理工具窗口中再双击“事件查看器”选项,进入本地系统的事件查看器窗口(如下图所示)。
在上图界面的左侧子窗格中,我们会看到日志文件主要包含安全日志、系统日志、应用程序日志这几种类型。用鼠标点选某一种类型的日志文件,在对 应该文件的右侧子窗格中,我们就能看到所有日志记录的列表了,用鼠标双击某一个日志记录,在其后弹出的属性设置对话框中我们就能看到具体的记录内容了,根 据记录内容我们就能直观地了解到服务器系统在什么时间发生了什么事情。
对IIS服务器系统的各种日志文件进行分析,我们就能看到各种审核事件的记录,这些内容记录了所有访问者在IIS服务器系统中的各种活动,通过对各种活动行为的分析,我们就能很轻易地找到本地IIS服务器系统究竟存在哪些安全隐患了。
不过,一些黑客在攻击了目标IIS服务器系统之后,往往会千方百计地想办法清空IIS服务器系统中各种类型的日志文件,以便将它们攻击IIS 服务器系统时遗留下来的痕迹全部清除干净,那样一来网络管理员就无法从系统的各个日志文件中,快速寻找到IIS服务器系统的各种安全隐患了。所以,有效地 保护好IIS服务器系统的日志文件,对追查系统的安全隐患以及寻找非法攻击者具有很大的帮助。
如果遇到服务器系统日志文件被删除的情况时,我们可以使用专业的数据恢复工具来尝试还原数据信息和日志文件;因为删除日志文件往往是非法攻击 者在IIS服务器系统中进行的最后一项操作,一般来说他们在删除完日志文件后不会在服务器系统中进行其他的操作了,所以在遇到日志文件被非法删除的现象 时,我们千万不能向服务器系统执行任何添加删除操作,以便确保专业工具能够成功地将已经删除了的日志文件恢复成功。
另外,要是IIS服务器系统工作的时间比较长,目标网站站点的访问流量比较大时,那么服务器自动生成的日志文件可能就比较大,此时再按照上面的方法来分析 系统的各种日志文件时,就显得十分麻烦,而且也不容易分析准确。为此,在这种情况下,我们需要借助专业的日志分析工具来帮忙,当然也可以使用 Windows系统自带的“find”功能命令来帮忙。
当然有的时候,单纯依靠IIS服务器系统日志文件,我们并不能明确找到某些安全隐患,这个时候还可以尝试借用其他软件的一些日志记录,来进行进一步安全筛 查操作。例如,在IIS服务器系统的日志文件中一旦发现有可疑的事件或对象时,我们应该将它们发生的具体时间记录下来,并且在所有日志种类中筛选出指定时 间内记录下来的所有记录,然后综合分析一下防火墙程序的日志文件或Serv-U程序的日志文件,如此一来我们就能轻易找到具体的安全隐患了。
二、远程追踪,揪出非法黑客
笔者下午上班后,象往常一样检查了一下单位文件服务器的运行状态,在检查过程中笔者发现文件服务器中的一些重要数据被非法黑客窃取了;为了防止非法黑客继续攻击单位的文件服务器,笔者立即联系了远在外地学习的网络管理员小王,请求他想办法解决这一安全麻烦。
网络管理员小王建议先仔细查看一下文件服务器的日志,无奈笔者并不能从日志文件中看出什么名堂;经过一番协商,网络管理员小王准备尝试使用远 程管理的方法来查看文件服务器的日志文件,经过他的远程追踪,终于将非法黑客揪了出来。现在,本文就将网络管理员小王远程查看日志文件的具体过程还原出 来,供各位朋友们参考!
要想通过远程管理方法来远程查看服务器系统中的日志文件,我们需要先在服务器系统中安装启用好远程管理功能组件,该功能组件在默认状态下并没有被安装。在安装远程管理功能组件时,我们可以按照如下步骤来操作:
首先以系统管理员权限登录进入服务器系统,在该系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击 “添加或删除程序”图标,在其后出现的窗口中单击“添加/删除Windows组件”标签,打开Windows组件向导对话框(如下图所示);
其次选中该向导对话框中的“应用程序服务器”选项,同时单击该选项下面的“详细信息”按钮,在其后弹出的设置对话框中,看看 “Internet信息服务(IIS)”项目有没有被选中,如果发现该选项还没有被选中时,我们应该及时将它重新选中(如下图所示),然后再单击“详细信 息”按钮,同时将其后界面中的“万维网服务选项”选中;
紧接着再单击“万维网服务选项”项目下面的“详细信息”按钮,打开万维网服务列表窗口,选中其中的“远程管理(HTML)”功能组件选中,再单击“确定”按钮,之后根据屏幕提示完成剩余的操作就能安装好服务器系统的远程管理功能组件了。
下面我们就能通过远程管理功能组件来远程查看服务器系统的日志文件了。在进行远程查看服务器系统的日志文件时,我们可以先在异地计算机中启动 运行IE浏览器程序,在对应窗口的地址栏中输入https://xxx.xxx.xxx.xxx:8098(其中xxx.xxx.xxx.xxx为目标服 务器系统所在的主机IP地址),而“8098”为服务器系统默认开启的远程管理端口号码;
单击回车键后,屏幕上将会出现远程登录对话框,在其中正确输入目标服务器系统的登录账号与密码,再单击对应窗口的“确定”按钮,我们就能进入 目标服务器系统的Web访问接口管理页面;单击该管理页面中的“维护”超级链接,进入到系统维护页面,继续单击该页面中的“日志”超级链接,打开目标服务 器系统的日志管理页面,在该页面中我们就能远程查看各种日志信息了,同时还能远程删除或远程下载日志文件。
在远程查看具体的日志内容时,也是非常的简单,我们只要在日志管理页面中单击“Web管理日志”超级链接,在对应的超级链接页面中选中待查看的目标日志文件,然后单击“查看日志”按钮,具体的日志内容就能显示在IE浏览器窗口中了。
三、巧用日志排查故障
下面,本文就从实战角度出发,来为大家详细推荐几则巧妙使用Windows系统内置日志文件,来高效、快捷地寻找故障原因,最终实现有效改善网络管理效率的目的。
1、定位网络访问不通原因
在计算机数量相对较多的局域网网络中,网络管理员一般会在局域网中架设DHCP服务器来为所有计算机自动分配合适的IP地址,以便提高网络管 理效率。一旦普通计算机无法从局域网的DHCP服务器那里申请得到合适的IP地址时,Windows系统将会自动为其分配一个保留地址为目标计算机,并且 打开系统的日志文件时,我们还会看到其中包含一个ID为“1007”的事件记录。
依照上述分析,我们日后完全可以通过查看日志文件的方法,来定位网络访问不通的原因。例如,要是日后看到目标计算机系统不能正常访问网络时, 我们可以尝试打开对应计算机系统的事件查看器窗口,从中找到系统日志文件,同时认真筛查其中是否有ID为“1007”的事件记录,如果找到了这个事件记 录,那么我们就能认定网络访问不通的原因是目标计算机系统没有正确地从局域网DHCP服务器那里申请到合法的IP地址,这个时候我们只要将故障排查范围锁 定在DHCP服务器上就可以了;如果发现局域网DHCP服务器能够正常工作,我们只要仔细检查目标计算机与局域网DHCP服务器之间的网络连接是否通畅, 如此一来我们就能快速有效地解决网络访问不通的故障现象了。
2、定位无法登录网络原因
我们知道,MSNMessenger、QQ等通信类应用程序,在工作过程中也会自动产生自己的日志文件,来将目标应用程序登录网络的情况记录保存下来,我们同样也可以利用它们的日志文件来定位登录网络失败的故障原因。
比方说,一旦大家在登录QQ时发生了无法登录网络的故障提示时,大家不妨在故障提示界面中单击“详细信息”按钮,之后大家就能从详细信息提示 中看到QQ应用程序与多个TCP、UDP服务器尝试建立了网络连接,但是每个网络连接都提示为域名解析失败,最终造成了登录网络失败故障;这个时候,大家 可以单击提示界面中的“疑难解决”按钮,那样一来QQ应用程序就能对当前网络连接进行自动诊断,诊断操作结束后,大家就可以初步判断出TCP、UDP服务 器的IP地址是否能够被Ping通,本地网络的网关地址测试是否能被Ping通;要是发现本地网关地址无法通过检测时,那大家基本就能断定无法登录网络的 原因多半是本地计算机与网关设备之间的网络连接出现了故障,此时大家只要仔细检查本地计算机的物理线路就能快速解决无法登录网络的故障现象了。
3、定位应用程序出错原因
要是自己的计算机系统频繁发生应用程序出错故障现象时,该怎么办呢?其实,我们可以自己动手,来查看系统的日志文件,从中找到应用程序出错的故障原因,下面就是具体的操作步骤:
首先在自己的计算机系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击“管理工具”图标,在弹出的管理工具列表窗口中,双击事件查看器图标,进入对应系统的事件查看器窗口;
其次在事件查看器窗口的左侧显示区域,点选“应用程序”选项,在对应该选项的右侧显示区域,我们就能清楚地看到应用程序运行方面的事件记录; 一旦某个应用程序发生崩溃现象时,我们就能从对应的应用程序日志中寻找到对应的记录内容了,透过记录内容我们就能快速寻找到应用程序出错的原因了。
一、实地分析,寻找安全隐患
某单位的IIS服务器在深夜时分遭受到黑客的非法攻击,当天值班的网络管理员小王发现IIS服务器不能正常工作后,立即电话联系了经验丰富的 前辈级网络安全工程师老张。早上上班后,老张火速赶到IIS服务器现场,没有多长时间,老张就将攻击IIS服务器的非法攻击着找了出来,并且一并发现了 IIS服务器系统中的其他安全隐患。事实上,老张之所以能这么快寻找到IIS服务器系统中的安全隐患,主要就是因为他巧妙地利用了服务器系统自带的日志功 能。
一般来说,非法攻击者企图攻击目标IIS服务器系统时,往往会花费一番心思来收集目标IIS服务器系统的各种信息,通过一些专业级别的扫描工 具,来扫描目标IIS服务器系统此时此刻是否存在安全漏洞;而目标IIS服务器系统的日志功能在默认状态下,能够自动记忆下各种访问过本地系统的行为,并 将这些记忆下来的内容存储到指定的日志文件中,这个日志文件中包含的内容往往有被扫描的服务器端口号码、访问用户名、客户端的IP地址等;仔细分析这些内 容,我们往往就能大概判断出本地IIS服务器系统有没有安全隐患存在。
在查看本地系统的日志文件时,我们可以先依次单击“开始”/“设置”/“控制面板”命令,然后用鼠标双击系统控制面板窗口中的“管理工具”图标,在弹出的管理工具窗口中再双击“事件查看器”选项,进入本地系统的事件查看器窗口(如下图所示)。
在上图界面的左侧子窗格中,我们会看到日志文件主要包含安全日志、系统日志、应用程序日志这几种类型。用鼠标点选某一种类型的日志文件,在对 应该文件的右侧子窗格中,我们就能看到所有日志记录的列表了,用鼠标双击某一个日志记录,在其后弹出的属性设置对话框中我们就能看到具体的记录内容了,根 据记录内容我们就能直观地了解到服务器系统在什么时间发生了什么事情。
对IIS服务器系统的各种日志文件进行分析,我们就能看到各种审核事件的记录,这些内容记录了所有访问者在IIS服务器系统中的各种活动,通过对各种活动行为的分析,我们就能很轻易地找到本地IIS服务器系统究竟存在哪些安全隐患了。
不过,一些黑客在攻击了目标IIS服务器系统之后,往往会千方百计地想办法清空IIS服务器系统中各种类型的日志文件,以便将它们攻击IIS 服务器系统时遗留下来的痕迹全部清除干净,那样一来网络管理员就无法从系统的各个日志文件中,快速寻找到IIS服务器系统的各种安全隐患了。所以,有效地 保护好IIS服务器系统的日志文件,对追查系统的安全隐患以及寻找非法攻击者具有很大的帮助。
如果遇到服务器系统日志文件被删除的情况时,我们可以使用专业的数据恢复工具来尝试还原数据信息和日志文件;因为删除日志文件往往是非法攻击 者在IIS服务器系统中进行的最后一项操作,一般来说他们在删除完日志文件后不会在服务器系统中进行其他的操作了,所以在遇到日志文件被非法删除的现象 时,我们千万不能向服务器系统执行任何添加删除操作,以便确保专业工具能够成功地将已经删除了的日志文件恢复成功。
另外,要是IIS服务器系统工作的时间比较长,目标网站站点的访问流量比较大时,那么服务器自动生成的日志文件可能就比较大,此时再按照上面的方法来分析 系统的各种日志文件时,就显得十分麻烦,而且也不容易分析准确。为此,在这种情况下,我们需要借助专业的日志分析工具来帮忙,当然也可以使用 Windows系统自带的“find”功能命令来帮忙。
当然有的时候,单纯依靠IIS服务器系统日志文件,我们并不能明确找到某些安全隐患,这个时候还可以尝试借用其他软件的一些日志记录,来进行进一步安全筛 查操作。例如,在IIS服务器系统的日志文件中一旦发现有可疑的事件或对象时,我们应该将它们发生的具体时间记录下来,并且在所有日志种类中筛选出指定时 间内记录下来的所有记录,然后综合分析一下防火墙程序的日志文件或Serv-U程序的日志文件,如此一来我们就能轻易找到具体的安全隐患了。
二、远程追踪,揪出非法黑客
笔者下午上班后,象往常一样检查了一下单位文件服务器的运行状态,在检查过程中笔者发现文件服务器中的一些重要数据被非法黑客窃取了;为了防止非法黑客继续攻击单位的文件服务器,笔者立即联系了远在外地学习的网络管理员小王,请求他想办法解决这一安全麻烦。
网络管理员小王建议先仔细查看一下文件服务器的日志,无奈笔者并不能从日志文件中看出什么名堂;经过一番协商,网络管理员小王准备尝试使用远 程管理的方法来查看文件服务器的日志文件,经过他的远程追踪,终于将非法黑客揪了出来。现在,本文就将网络管理员小王远程查看日志文件的具体过程还原出 来,供各位朋友们参考!
要想通过远程管理方法来远程查看服务器系统中的日志文件,我们需要先在服务器系统中安装启用好远程管理功能组件,该功能组件在默认状态下并没有被安装。在安装远程管理功能组件时,我们可以按照如下步骤来操作:
首先以系统管理员权限登录进入服务器系统,在该系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,双击 “添加或删除程序”图标,在其后出现的窗口中单击“添加/删除Windows组件”标签,打开Windows组件向导对话框(如下图所示);
其次选中该向导对话框中的“应用程序服务器”选项,同时单击该选项下面的“详细信息”按钮,在其后弹出的设置对话框中,看看 “Internet信息服务(IIS)”项目有没有被选中,如果发现该选项还没有被选中时,我们应该及时将它重新选中(如下图所示),然后再单击“详细信 息”按钮,同时将其后界面中的“万维网服务选项”选中;
紧接着再单击“万维网服务选项”项目下面的“详细信息”按钮,打开万维网服务列表窗口,选中其中的“远程管理(HTML)”功能组件选中,再单击“确定”按钮,之后根据屏幕提示完成剩余的操作就能安装好服务器系统的远程管理功能组件了。
下面我们就能通过远程管理功能组件来远程查看服务器系统的日志文件了。在进行远程查看服务器系统的日志文件时,我们可以先在异地计算机中启动 运行IE浏览器程序,在对应窗口的地址栏中输入https://xxx.xxx.xxx.xxx:8098(其中xxx.xxx.xxx.xxx为目标服 务器系统所在的主机IP地址),而“8098”为服务器系统默认开启的远程管理端口号码;
单击回车键后,屏幕上将会出现远程登录对话框,在其中正确输入目标服务器系统的登录账号与密码,再单击对应窗口的“确定”按钮,我们就能进入 目标服务器系统的Web访问接口管理页面;单击该管理页面中的“维护”超级链接,进入到系统维护页面,继续单击该页面中的“日志”超级链接,打开目标服务 器系统的日志管理页面,在该页面中我们就能远程查看各种日志信息了,同时还能远程删除或远程下载日志文件。
在远程查看具体的日志内容时,也是非常的简单,我们只要在日志管理页面中单击“Web管理日志”超级链接,在对应的超级链接页面中选中待查看的目标日志文件,然后单击“查看日志”按钮,具体的日志内容就能显示在IE浏览器窗口中了。
三、巧用日志排查故障
下面,本文就从实战角度出发,来为大家详细推荐几则巧妙使用Windows系统内置日志文件,来高效、快捷地寻找故障原因,最终实现有效改善网络管理效率的目的。
1、定位网络访问不通原因
在计算机数量相对较多的局域网网络中,网络管理员一般会在局域网中架设DHCP服务器来为所有计算机自动分配合适的IP地址,以便提高网络管 理效率。一旦普通计算机无法从局域网的DHCP服务器那里申请得到合适的IP地址时,Windows系统将会自动为其分配一个保留地址为目标计算机,并且 打开系统的日志文件时,我们还会看到其中包含一个ID为“1007”的事件记录。
依照上述分析,我们日后完全可以通过查看日志文件的方法,来定位网络访问不通的原因。例如,要是日后看到目标计算机系统不能正常访问网络时, 我们可以尝试打开对应计算机系统的事件查看器窗口,从中找到系统日志文件,同时认真筛查其中是否有ID为“1007”的事件记录,如果找到了这个事件记 录,那么我们就能认定网络访问不通的原因是目标计算机系统没有正确地从局域网DHCP服务器那里申请到合法的IP地址,这个时候我们只要将故障排查范围锁 定在DHCP服务器上就可以了;如果发现局域网DHCP服务器能够正常工作,我们只要仔细检查目标计算机与局域网DHCP服务器之间的网络连接是否通畅, 如此一来我们就能快速有效地解决网络访问不通的故障现象了。
2、定位无法登录网络原因
我们知道,MSNMessenger、QQ等通信类应用程序,在工作过程中也会自动产生自己的日志文件,来将目标应用程序登录网络的情况记录保存下来,我们同样也可以利用它们的日志文件来定位登录网络失败的故障原因。
比方说,一旦大家在登录QQ时发生了无法登录网络的故障提示时,大家不妨在故障提示界面中单击“详细信息”按钮,之后大家就能从详细信息提示 中看到QQ应用程序与多个TCP、UDP服务器尝试建立了网络连接,但是每个网络连接都提示为域名解析失败,最终造成了登录网络失败故障;这个时候,大家 可以单击提示界面中的“疑难解决”按钮,那样一来QQ应用程序就能对当前网络连接进行自动诊断,诊断操作结束后,大家就可以初步判断出TCP、UDP服务 器的IP地址是否能够被Ping通,本地网络的网关地址测试是否能被Ping通;要是发现本地网关地址无法通过检测时,那大家基本就能断定无法登录网络的 原因多半是本地计算机与网关设备之间的网络连接出现了故障,此时大家只要仔细检查本地计算机的物理线路就能快速解决无法登录网络的故障现象了。
3、定位应用程序出错原因
要是自己的计算机系统频繁发生应用程序出错故障现象时,该怎么办呢?其实,我们可以自己动手,来查看系统的日志文件,从中找到应用程序出错的故障原因,下面就是具体的操作步骤:
首先在自己的计算机系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击“管理工具”图标,在弹出的管理工具列表窗口中,双击事件查看器图标,进入对应系统的事件查看器窗口;
其次在事件查看器窗口的左侧显示区域,点选“应用程序”选项,在对应该选项的右侧显示区域,我们就能清楚地看到应用程序运行方面的事件记录; 一旦某个应用程序发生崩溃现象时,我们就能从对应的应用程序日志中寻找到对应的记录内容了,透过记录内容我们就能快速寻找到应用程序出错的原因了。
相关文章
- 主动安全控制和安全的网络架构在抵御内部和外部攻击方面发挥着非常重要的作用2012-06-26
大势至网络准入控制系统、局域网接入控制软件为企业事业单位内网安全保
这篇文章主要介绍了大势至网络准入控制系统、局域网接入控制软件为企业事业单位内网安全保驾护航的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟2017-12-01
最新评论