中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

ftp服務器架設如何防止網絡攻擊

iii
118
2022-12-08 10:31:12
欄目: 云計算

ftp服務器架設防止網絡攻擊的方法:1、配置操作系統的參數,加強系統的穩固性,重新編譯或設置操作系統內核中的某些參數,提高系統的抗攻擊能力;2、在內部網絡和外部網絡之間增設一個防火墻,能保護內部網絡不受外部網絡的非授權訪問,能有效保護內部的服務器安全。

具體內容如下:

1、加固操作系統

加固操作系統,即對操作系統參數進行配置以加強系統的穩固性,重新編譯或設置 BSD系統等操作系統內核中的某些參數,提高系統的抗攻擊能力。例如,DoS攻擊的典型種類——SYN Flood,利用TCP/IP協議漏洞發送大量偽造的TCP連接請求,以造成網絡無法連接用戶服務或使操作系統癱瘓。該攻擊過程涉及到系統的一些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度。用戶可以將數據包的鏈接數從缺省值128或512修改為2048或更大,加長每次處理數據包隊列的長度,以緩解和消化更多數據包的攻擊;此外,用戶還可將超時時間設置得較短,以保證正常數據包的連接,屏蔽非法攻擊包。但通常這些方法的防攻擊能力非常有限。

2、增設防火墻

我們可以在公司網絡服務器和外部網絡之間的增設一道屏障,以防止發生不可預測的、潛在破壞性的侵入,那就是增設一個防火墻。防火墻利用一組形成防火墻"墻磚"的軟件或硬件將外部網絡與內部網絡隔開,它可以保護內部網絡不受外部網絡的非授權訪問,因此利用防火墻來阻止DoS攻擊能有效地保護內部的服務器。我們可以把FTP服務器放在防火墻的DMZ區,讓其既可以接受來自Internet的訪問,又可以受到防火墻的安全保護。針對SYN Flood,防火墻通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

(1)SYN網關

防火墻收到客戶端的SYN包時,直接轉發給服務器;防火墻收到服務器的SYN/ACK包后,一方面將SYN/ACK包轉發給客戶端,另一方面以客戶端的名義給服務器回送一個ACK包,完成TCP的三次握手,讓服務器端由半連接狀態進入連接狀態。當客戶端真正的ACK包到達時,有數據則轉發給服務器,否則丟棄該包。由于服務器能承受連接狀態要比半連接狀態高得多,所以這種方法能有效地減輕對服務器的攻擊。

(2)被動式SYN網關

設置防火墻的SYN請求超時參數,讓它遠小于服務器的超時期限。防火墻負責轉發客戶端發往服務器的SYN包,服務器發往客戶端的SYN/ACK 包、以及客戶端發往服務器的ACK包。這樣,如果客戶端在防火墻計時器到期時還沒發送ACK包,防火墻則往服務器發送RST包,以使服務器從隊列中刪去該半連接。由于防火墻的超時參數遠小于服務器的超時期限,因此這樣能有效防止SYN Flood攻擊。

(3)SYN中繼

防火墻在收到客戶端的SYN包后,并不向服務器轉發而是記錄該狀態信息然后主動給客戶端回送SYN/ACK包,如果收到客戶端的ACK包,表明是正常訪問,由防火墻向服務器發送SYN包并完成三次握手。

0
西林县| 祁阳县| 新昌县| 冕宁县| 河津市| 巩留县| 沙坪坝区| 松滋市| 荆州市| 苏州市| 清原| 犍为县| 鹤岗市| 修武县| 前郭尔| 东明县| 玉树县| 健康| 郎溪县| 黄陵县| 张家口市| 兰溪市| 武城县| 柳州市| 盈江县| 鄂温| 延川县| 弥渡县| 惠水县| 拉孜县| 营山县| 招远市| 绥宁县| 浮梁县| 依安县| 正蓝旗| 泸水县| 太康县| 吉木萨尔县| 南投县| 扬州市|