服务器安全狗v4.0 安全策略操作教程
作者：佚名
字体：[ ] 来源：互联网 时间：11-10 22:01:11
安全策略位于服务器安全狗-网络防火墙功能下，被认为是第二层策略保护（第一层是攻击保护，第三层是超级黑白名单），三层网络防护，实时保护服务器网络安全
& && &&&那安全策略有什么作用，用户又该如何进行设置能起到最好的效果呢？下面我们一起来看看：软件下载：服务器安全狗 v4.0 &&&&&&&&服务器安全狗安全策略功能主要通过执行具体的端口保护规则，限制或者允许进程对端口的连接请求，来保护服务器安全。
& && &&&用户可以通过单击操作界面右上方的按钮&已开启&/&已关闭&按钮来开启/关闭安全策略功能。用户必须开启安全策略功能，所有端口保护规则才会生效，否则所有关于端口的设置都为无效。如下图所示：
图2.开启安全策略功能
& && & 用户&开启&安全策略功能后，系统会要求用户选择安全策略模式。需要提醒用户的是，安全策略模式的选择非常重要，如果误操作，可能会引起包括远程桌面登录在内的部分服务被禁止。建议用户在开启安全策略功能之前，确保远程桌面端口已经添加到安全策略列表，并使用&所有IP一律接受&。
& && & 安全策略模式的选择：
& && & 服务器安全狗安全策略提供两种安全策略模式供用户选择，分别是宽松模式和严格模式，用户可根据自身的需要选择适合的模式。
& && & 宽松模式：&默认放开所有端口，只关闭规则中的端口&表示端口保护规则以外的所有端口均为开放端口，而规则中的端口，系统将根据相应规则判断是否开放该端口，是否开放例外IP访问。这是为安全狗推荐使用模式。
& && & 简单来讲，选择此种模式系统只会判断端口保护规则列表中的端口是否需要限制，对端口保护规则列表以外的端口采取一律不管的方式。
& && & 对新手用户，在不熟悉端口原理的情况下，建议选择系统推荐的&宽松模式：默认放开所有端口，只关闭规则中的端口&。
图3. 宽松模式：默认放开所有端口，只关闭规则中的端口
& && & &严格模式：是指&默认关闭所有端口，只放开规则中的端口&则表示其他端口均为非安全端口，将会被完全禁止访问，而规则中的端口，系统将根据相应规则判断是否开放该端口，是否开放例外IP访问。选择此种模式，系统会关闭所有端口保护规则以外的端口，并且根据端口保护规则的设置，对端口保护规则列表中的端口进行限制。
& && &&&&默认关闭所有端口，只放开规则中的端口&安全策略模式，提供更高的服务器端口安全性（选择该安全策略模式，还可以起到完全封锁UDP数据包的作用）但是建议用户在选择该模式之前确认包括远程桌面登录端口在内的需要开放的端口，不会因为安全策略的开启被禁止。
图4. 严格模式：默认关闭所有端口，只放开规则中的端口
& && &&&同时，用户可以直接使用服务器安全狗默认设置的13条端口规则，也可以根据实际需要自行设置。建议新手或者是对端口原理不熟悉的用户，直接使用服务器安全狗提供的端口保护规则。
& && &&&本文我们选择系统推荐的第一种安全策略模式（宽松模式），用户在实际使用过程中可以根据自身的需要选择安全策略模式。
& && & TCP与UDP监听：
& && & 用户通过查看&TCP与UDP监听&，可以获得实时的进程连接信息以及相应进程开启的端口信息。用户可以利用&TCP与UDP监听&功能提供的详细信息，在&安全策略&设置具体的端口保护规则，限制进程开启端口以保护服务器。
图5. TCP与UDP监听
& && &&&端口说明提示功能：
& && &&&系统提供端口说明提示功能，对端口不熟悉的用户，可以将鼠标停留在需要了解的端口规则上，系统将显示该端口详细信息。
图6. 端口说明提示功能
& && & 修改规则：
& && & 从端口保护规则列表中选取需要修改的规则，用户可以通过双击或者是选择&修改规则&，在&修改规则&窗口设置端口保护规则。（因为服务器安全狗已经提供了80端口保护规则，所以这里我们选择&修改规则&，如果用户需要设置的端口不在端口保护规则列表中，则可以选择&增加规则&之后进行相应设置）
图7. 修改端口保护规则
& && & 协议的选择：
& && &&&选择相应的协议类型，可以屏蔽相应类型的访问请求，80端口属于TCP端口，所以此处我们选择TCP协议类型。
图8.端口保护规则协议选择
& && && &规则的选择：
& && &&&&访问规则&的选择，应该根据实际情况来决定，本例因为服务器上有网站，我们只是为了禁止部分恶意IP访问，所以这里我们选择&所有IP一律接受&，之后在&例外IP&设置需要被屏蔽的IP，（这样就等于是放行所有IP仅限制&例外IP&中的IP访问）。
图9. IP访问规则设定
& &&&& &例外ip的设定：
& && & &例外IP&支持单独的IP也支持IP段，IP或者IP段之间以&,&（半角）分隔。例如：218.75.20.1, 218.75.20.2,218.75.20.3 或者218.75.20.1-218.75.20.255,118.75.20.1-118.75.20.255。
图10.例外IP设置
& && & 作用时间的设定：
& && & 端口保护规则可以设置作用时间，用户在不太熟悉端口保护规则设置或者是仅为测试使用情况下，可以选择&临时测试，自定义生效时间&来设置端口保护规则的作用时间。
图11.作用时间设置
& && & 这些设置完成之后，点击&应用&就能生效。完成具体的端口保护规则设置后，规则列表将显示详细的端口保护规则信息。用户可以选择其他设置选项继续相应的端口保护规则设置，也可以直接选择&开启&启动安全策略功能。
图12.安全策略端口保护规则列表
& && & 同时，完成一个的规则的设置之后，用户可以选择继续添加端口不会规则，可以选择&是&，也可以直接选择&否&，在开启安全策略功能之后，在安全策略功能界面直接进行其他相应的操作。
& && & 增加规则的设置与修改规则的设置相类似，用户可参考。
& & & &建议用户开启安全策略功能之前，再次确认远程登录端口及服务器各项服务相关端口的端口规则设置，确保安全策略功能开启之后，各项服务正常。
& && & 同时，用户还可以通过查看&防护日志&，获得攻击者IP以及攻击目的端口（如下图所示DDOS防火墙防御成功日志），利用&防护日志&功能提供的详细信息，在&安全策略&设置具体的端口保护规则，对访问者的端口连接请求进行限制或者是添加信任。
图13.防护日志
& &&&&&安全策略模式与端口保护规则特殊用法
& && & 1、 IP黑白名单设置
& && & 用户通过安全策略模式选择与端口保护规则设置，可以实现针对某个端口的IP黑白名单功能。下面是在两种不同安全策略模式下，针对135端口黑白名单设置实例：
& && &&&1）第一种安全模式（宽松模式）下的黑名单实现
& && & 在&默认放开所有端口，只关闭规则中的端口&安全策略模式下，端口保护规则选择为&所有IP一律接受&，则例外IP实质上与IP黑名单功能相当。在例外IP处添加需要被禁止访问的IP或者IP段，即可实现IP黑名单的功能。
图14. 通过例外IP设置黑名单功能
& && &&&2）宽松模式下的白名单实现
& && & 在&默认放开所有端口，只关闭规则中的端口&安全策略模式下，端口保护规则选择为&所有IP一律拒绝&，则例外IP实质上与IP白名单功能相当。在例外IP处添加需要被允许访问的IP或者IP段，即可实现IP白名单的功能。
图15. 通过例外IP设置白名单功能
& && &&&备注：同时，通过类似设置，在第二种安全策略模式（严格模式）下，也能够实现IP黑白名单功能。
& && &&&2、禁止Ping服务器
& && & 通过端口保护规则设置，用户可以实现禁止ping服务器功能。
& && & 如果用户希望禁止ping服务器，可以在设置端口保护规则的时候，选择ICMP协议类型。直接使用系统默认，不需要填入端口
图16.端口保护规则ICMP协议选择
& && & 开启安全策略之后，用户有可能因为设置不当导致的问题解决方法：
图17. FTP端口设置
& && & 开启安全策略之后，用户有可能因为设置不当导致的问题举例如下：
& && & FTP连接失败：FTP服务需要开启20、21两个端口，用户服务器如果有提供FTP服务，则应该在开启安全策略之前确认20、21两个端口的端口保护规则是否设置正确。&&&&&& 网站访问失败：提供网站访问，最基本的应该开启80端口，用户服务器如果有架构网站，则应该再开启安全策略之前确认80端口的端口保护规则是否设置正确。&&&&&& 如果用户在开启安全策略功能之后，遇到远程桌面登录失败或者部分服务被禁止，建议用户暂停安全策略功能，检查安全策略模式及端口保护规则设置，对被禁止服务相应的端口规则进行重新设置。
大家感兴趣的内容
12345678910
最近更新的内容怎么做(设置)才能让新装的服务器更安全,更稳定_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
怎么做(设置)才能让新装的服务器更安全,更稳定
上传于||文档简介
&&怎​么​做​(​设​置​)​才​能​让​新​装​的​服​务​器​更​安​全​,​更​稳​定
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢183.60.110.*&佛山高仿服务器&你以为这是哪里_用户_新浪博客
我们是佛山高防服务器 我们拥有最好的机器 最优化的防火墙 最完善的防御系统 最专业的技术团队
我们用品质来创造品牌，独迅网络。​
企业QQ:&&&
全国免费热线：&&&
业务咨询：
独迅网络官网：
以下是我司自主运营IP段：183.60.110.1&
183.60.110.2
183.60.110.3
183.60.110.4
183.60.110.5
183.60.110.6
183.60.110.7
183.60.110.8
183.60.110.9
183.60.110.10
183.60.110.11
183.60.110.12
183.60.110.13
183.60.110.14
183.60.110.15
183.60.110.16
183.60.110.17
183.60.110.18
183.60.110.19
183.60.110.20
183.60.110.21
183.60.110.22
183.60.110.23
183.60.110.24
183.60.110.25
183.60.110.26
183.60.110.27
183.60.110.28
183.60.110.29
183.60.110.30
183.60.110.31
183.60.110.32
183.60.110.33
183.60.110.34
183.60.110.35
183.60.110.36
183.60.110.37
183.60.110.38
183.60.110.39
183.60.110.40
183.60.110.41
183.60.110.42
183.60.110.43
183.60.110.44
183.60.110.45
183.60.110.46
183.60.110.47
183.60.110.48
183.60.110.49
183.60.110.50
183.60.110.51
183.60.110.52
183.60.110.53
183.60.110.54
183.60.110.55
183.60.110.56
183.60.110.57
183.60.110.58
183.60.110.59
183.60.110.60
183.60.110.61
183.60.110.62
183.60.110.63
183.60.110.64
183.60.110.65
183.60.110.66
183.60.110.67
183.60.110.68
183.60.110.69
183.60.110.70
183.60.110.71
183.60.110.72
183.60.110.73
183.60.110.74
183.60.110.75
183.60.110.76
183.60.110.77
183.60.110.78
183.60.110.79
183.60.110.80
183.60.110.81
183.60.110.82
183.60.110.83
183.60.110.84
183.60.110.85
183.60.110.86
183.60.110.87
183.60.110.88
183.60.110.89
183.60.110.90
183.60.110.91
183.60.110.92
183.60.110.93
183.60.110.94
183.60.110.95
183.60.110.96
183.60.110.97
183.60.110.98
183.60.110.99
183.60.110.100
183.60.110.101
183.60.110.102
183.60.110.103
183.60.110.104
183.60.110.105
183.60.110.106
183.60.110.107
183.60.110.108
183.60.110.109
183.60.110.110
183.60.110.111
183.60.110.112
183.60.110.113
183.60.110.114
183.60.110.115
183.60.110.116
183.60.110.117
183.60.110.118
183.60.110.119
183.60.110.120
183.60.110.121
183.60.110.122
183.60.110.123
183.60.110.124
183.60.110.125
183.60.110.126
183.60.110.127
183.60.110.128
183.60.110.129
183.60.110.130
183.60.110.131
183.60.110.132
183.60.110.133
183.60.110.134
183.60.110.135
183.60.110.136
183.60.110.137
183.60.110.138
183.60.110.139
183.60.110.140
183.60.110.141
183.60.110.142
183.60.110.143
183.60.110.144
183.60.110.145
183.60.110.146
183.60.110.147
183.60.110.148
183.60.110.149
183.60.110.150
183.60.110.151
183.60.110.152
183.60.110.153
183.60.110.154
183.60.110.155
183.60.110.156
183.60.110.157
183.60.110.158
183.60.110.159
183.60.110.160
183.60.110.161
183.60.110.162
183.60.110.163
183.60.110.164
183.60.110.165
183.60.110.166
183.60.110.167
183.60.110.168
183.60.110.169
183.60.110.170
183.60.110.171
183.60.110.172
183.60.110.173
183.60.110.174
183.60.110.175
183.60.110.176
183.60.110.177
183.60.110.178
183.60.110.179
183.60.110.180
183.60.110.181
183.60.110.182
183.60.110.183
183.60.110.184
183.60.110.185
183.60.110.186
183.60.110.187
183.60.110.188
183.60.110.189
183.60.110.190
183.60.110.191
183.60.110.192
183.60.110.193
183.60.110.194
183.60.110.195
183.60.110.196
183.60.110.197
183.60.110.198
183.60.110.199
183.60.110.200
183.60.110.201
183.60.110.202
183.60.110.203
183.60.110.204
183.60.110.205
183.60.110.206
183.60.110.207
183.60.110.208
183.60.110.209
183.60.110.210
183.60.110.211
183.60.110.212
183.60.110.213
183.60.110.214
183.60.110.215
183.60.110.216
183.60.110.217
183.60.110.218
183.60.110.219
183.60.110.220
183.60.110.221
183.60.110.222
183.60.110.223
183.60.110.224
183.60.110.225
183.60.110.226
183.60.110.227
183.60.110.228
183.60.110.229
183.60.110.230
183.60.110.231
183.60.110.232
183.60.110.233
183.60.110.234
183.60.110.235
183.60.110.236
183.60.110.237
183.60.110.238
183.60.110.239
183.60.110.240
183.60.110.241
183.60.110.242
183.60.110.243
183.60.110.244
183.60.110.245
183.60.110.246
183.60.110.247
183.60.110.248
183.60.110.249
183.60.110.250
183.60.110.251
183.60.110.252
183.60.110.253
183.60.110.254
183.60.110.255
博客等级：
博客积分：0
博客访问：90
关注人气：0
荣誉徽章：查看:6662|回复：59
【学习只是为了明白自己的无知】 ...
【如何使自己的服务器更安全？】
【策略一】：关闭不必要的服务
　　·computerbrowser 维护网络上计算机的最新列表以及提供这个列表
　　·taskscheduler 允许程序在指定时间运行
　　·routing andremote access 在局域网以及广域网环境中为企业提供路由服务
　　·removablestorage 管理可移动媒体、驱动程序和库
　　·remoteregistry service 允许远程注册表操作
　　·printspooler 将文件加载到内存中以便以后打印。
　　·ipsecpolicy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序
　　·distributedlink tracking client 当文件在网络域的ntfs卷中移动时发送通知
　　·com+ eventsystem 提供事件的自动发布到订阅com组件
　　·alerter 通知选定的用户和计算机管理警报
& & ·errorreporting service 收集、存储和向 microsoft 报告异常应用程序
　　·messenger 传输客户端和服务器之间的 net send 和 警报器服务消息
　　·telnet 允许远程用户登录到此计算机并运行程序
　　【策略二】：磁盘权限设置
c盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
windows目录要加上给users的默认权限，否则asp和aspx等应用程序就无法运行。
　　【策略三】：禁止windows 系统进行空连接
　　在注册表中找到相应的键值hkey_local_machine/system/currentcontrolset/control/lsa，将dword值restrictanonymous的键值改为1
& & 【策略四】：关闭不需要的端口
　　本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上，然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
　　更改远程连接端口方法
　　开始--&运行--&输入regedit
　　查找3389：
请按以下步骤查找:
1、hkey_local_machinesystemcurrentcontrolsetcontrolerminal serverwds dpwd ds cp下的portnumber=3389改为自宝义的端口号
2、hkey_local_machinesystemcurrentcontrolsetcontrolerminal serverwinstations dp-tcp下的portnumber=3389改为自宝义的端口号
　　修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
　　这样3389端口已经修改了，但还要重新启动主机，这样3389端口才算修改成功!如果不重新启动3389还
　　是修改不了的!重起后下次就可以用新端口进入了!
　　禁用tcp/ip上的netbios
　　本地连接--属性--internet协议(tcp/ip)--高级—wins--禁用tcp/ip上的netbios
&&&&【策略五】：关闭默认共享的空连接
　　首先编写如下内容的批处理文件：
net share c$/delete
net share d$/delete
net share e$ /delete
net share f$/delete
net shareadmin$ /delete
　　以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat，存放到系统所在文件夹下的system32grouppolicyuserscriptslogon目录下。然后在开始菜单→运行中输入gpedit.msc，
　　回车即可打开组策略编辑器。点击用户配置→windows设置→脚本(登录/注销)→登录.
　　在出现的“登录 属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。
　　重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了，这样就能将系统安全隐患降低到最低限度。
　　【策略六】：iis安全设置
1、不使用默认的web站点，如果使用也要将iis目录与系统磁盘分开。
2、删除iis默认创建的inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录，如：_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
4、删除不必要的iis扩展名映射。
　　右键单击“默认web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
5、更改iis日志的路径
　　右键单击“默认web站点→属性-网站-在启用日志记录下点击属性
待补充如：密码策略，补丁及时更新等内容……
欢迎大家发表自己的意见，谢谢
谢谢牛牛分享，收藏了
&&职场人生交流QQ群
【学习只是为了明白自己的无知】 ...
引用:原帖由 Call_me_Hover 于
11:26 发表
谢谢牛牛分享，收藏了 大家一起学习一起进步:)1
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
初级工程师
Thanks for sharing
千万不要按ctrl+w
如果你还是按了................
中级工程师
论坛首席砖家
非常不错，受教了！！！
收藏学习:lol1
最有价值午饭
哇！好贴，很有用，在加密码策略（复杂程度），编辑组策略登录三次自动锁定，防止暴力破解。
我还不够优秀，我只能更加努力。。。
【学习只是为了明白自己的无知】 ...
引用:原帖由 枯木鱼生花 于
20:44 发表
哇！好贴，很有用，在加密码策略（复杂程度），编辑组策略登录三次自动锁定，防止暴力破解。 嗯 嗯谢谢补充 密码也是一块大头啊 疏忽了
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
最有价值午饭
引用:原帖由 niuyuanwu 于
20:53 发表
嗯 嗯谢谢补充 密码也是一块大头啊 疏忽了 这帖子已经很棒了:lol1
我还不够优秀，我只能更加努力。。。
收藏了，学习一下！
政法委书记
不错不错，牛牛也开始搞windows了？
人生苦修，路遥长远~
【学习只是为了明白自己的无知】 ...
引用:原帖由 sima2004 于
13:58 发表
不错不错，牛牛也开始搞windows了？ 什么都总该会点呵呵
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
政法委书记
引用:原帖由 niuyuanwu 于
14:01 发表
什么都总该会点呵呵 恩，有道理
windows黑客最好搞搞VBS。。。
人生苦修，路遥长远~
【学习只是为了明白自己的无知】 ...
引用:原帖由 sima2004 于
15:53 发表
恩，有道理
windows黑客最好搞搞VBS。。。 现在就是真正的什么都学 就是什么都不精通啊:L1
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
高级工程师
强力顶起&&小结的非常实用
分享的很全面哪~~
期待第二课
助理工程师
学习了& && && && &:lol1
中级工程师
太牛了 。。。 学习..
【学习只是为了明白自己的无知】 ...
引用:原帖由 ming_ji 于
17:06 发表
强力顶起&&小结的非常实用 谢谢支持，欢迎常来……
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注
【学习只是为了明白自己的无知】 ...
引用:原帖由 wcxsky 于
11:07 发表
分享的很全面哪~~
期待第二课 接下来想写一下关于密码安全策略的……
想要在网络的海洋自由的遨游吗？系统攻防欢迎你！！！
一个人没有金钱并不可怕，没有地位也并不可悲，只有不善巧思，缺乏智慧，才是人生最大的缺憾。
更多精彩请关注