虛擬主機(jī)服務(wù)器如何做好安全防護(hù)工作

我們都知道服務(wù)器主要分為三種：虛擬主機(jī)服務(wù)器、獨(dú)立服務(wù)器、云服務(wù)器。其中虛擬主機(jī)服務(wù)器是大部分中小企業(yè)的選擇，因?yàn)槌杀镜汀，F(xiàn)如今這個(gè)網(wǎng)絡(luò)環(huán)境非常復(fù)雜，網(wǎng)絡(luò)攻擊事件幾乎每天都在發(fā)生，特別是DDOS攻擊相比去年呈翻倍增長趨勢，所以網(wǎng)站服務(wù)器的安全性非常重要。如果安全防護(hù)工作沒有做好，極有可能被不法分子發(fā)起攻擊，對企業(yè)造成重大損失。今天墨者安全通過以往的安全案例經(jīng)驗(yàn)分析一下，虛擬主機(jī)服務(wù)器如何做好DDOS防護(hù)工作？

最直白的解釋就是提高自己的抗打能力，對虛擬主機(jī)的硬件配置進(jìn)行升級，比如每秒10萬個(gè)的SYN攻擊包，服務(wù)器配置至少得要P4 2.4G/DDR512M/SCSI-HD吧。內(nèi)存一定要選擇DDR的高速內(nèi)存，還有CPU，因特爾i系列適合個(gè)人PC，服務(wù)器還是選擇至強(qiáng)系列，緩存更大，穩(wěn)定性更強(qiáng)，有一些服務(wù)器專用的指令集，具有很大的數(shù)據(jù)吞吐量。

在選擇路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備時(shí)，一定要選擇口碑好、品牌知名度高的產(chǎn)品，像有些路由器還自帶流量限制功能，對緩解一些小流量DDOS攻擊也能起到一定的作用的。

網(wǎng)絡(luò)帶寬直接決定了服務(wù)器的防御能力，一個(gè)10M的帶寬什么樣的安全措施也難以抵擋DDOS攻擊。現(xiàn)在這個(gè)網(wǎng)絡(luò)環(huán)境，至少也要選擇100M帶寬吧，當(dāng)然可以掛在1000M的主干線上是最好的了。需要注意的是交換機(jī)的接入帶寬，如果交換機(jī)只有支持100M帶寬，那接入1000M的主干上實(shí)際也只有100M的帶寬。

無論是路由器還是硬件防護(hù)墻設(shè)備一定要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用，因?yàn)椴捎么思夹g(shù)會較大降低網(wǎng)絡(luò)通信能力。因?yàn)镹AT需要對地址往返轉(zhuǎn)換，轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗(yàn)和進(jìn)行計(jì)算，因此浪費(fèi)了很多CPU的時(shí)間。

定期檢測服務(wù)器系統(tǒng)更新，保持也最新狀態(tài)，可以提高服務(wù)器的安全性。因?yàn)榉?wù)器每次更新都會去修復(fù)新出現(xiàn)的漏洞和BUG,避免攻擊者利用這些來發(fā)起攻擊。靜態(tài)化頁面可以大大提高抗攻擊能力，像騰訊、新浪等大型門戶網(wǎng)站都是靜態(tài)頁面。如果你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨(dú)主機(jī)去，免的遭受攻擊時(shí)連累主服務(wù)器。

當(dāng)遇到DDOS攻擊時(shí)，以上六條措施如果仍然不能解決DDOS問題，那說明這是一次大流量的DDOS洪水攻擊，只能接入像墨者安全這樣專業(yè)的防DDOS高防服務(wù)，通過最新指紋識別系統(tǒng)對惡意攻擊流量進(jìn)行流量清洗，過濾極端變種、穿盾、模擬等異常攻擊行為。