Security Analysis of Network Server in Small and Medium-sized Enterprises
孙金霞 SUN Jin-xia
(苏州工业园区服务外包职业学院,苏州 215123)
(Suzhou Industrial Park Institute of Service Outsourcing,Suzhou 215123,China)
摘要:本文以windows server2012服务器和Centos7.0服务器在中小型企业中的应用为基础,分析了如何加固企业服务器,包括域服务的配置及组策略的设置、网站CA认证服务的设置等,目的在保证公司日常的工作,防御外网的不良入侵。
Abstract: Based on the application of Windows server2012 system and Centos7.0 system in small and medium-sized enterprises, this paper analyzes how to reinforce the enterprise network server, including the configuration of domain service, the setting of group policy, the setting of website CA authentication service, etc., in order to ensure the daily work of the company and prevent the intrusion of external network.
关键词:网络服务器;windows server2012;Centos7.0
Key words: network server;windows server2012;Centos7.0
中图分类号:TP368.5 文献标识码:A 文章编号:1006-4311(2019)27-0231-02
1 网络操作系统发展状况
北京时间2012年4月18日,微软公布了Windows Server 2012(以下简称WS2012)的名字。WS2012系统取代了之前用的windows server 2008,该服务器版本是在Windows 8基础上开发出来的,增强了网络服务、存储、虚拟化、云等技术的易用性,管理员能更容易地操作管理服务器。本文重点研究使用了WS2012版本中的Active Directory(以下简称AD DS)域服务及相应的组策略。运行AD DS的服务器称为域控制器。它对Windows域类型网络中的所有用户和计算机进行身份验证和授权;为所有计算机分配和实施安全策略并安装或更新软件。例如,当用户登录到属于Windows域的计算机时,Active Directory会检查提交的密码并确定用户是系统管理员还是普通用户。此外,它还允许管理和存储信息,提供身份验证和授权机制,并建立一个框架来部署其他相关服务:证书服务,联合服务,轻量级目录服务和权限管理服务。
CentOS,也称作社区企业操作系统,是Red Hat Enterprise Linux的再编译版本,是开源和免费的版本。CentOS7.0于2014年7月7号正式发布,这是一个企业级的Linux发行版本,是中小型公司部署网络服务器的首选。
2 中小型企业网络服务器架构分析
中小型企业在选择网络服务器的时候,可以从以下几方面进行考虑:
①网络的可扩展性,便于以后公司的发展和网络的扩展,选择易于扩容的架构。
②网络的安全性,便于以后公司的网络安全,选择易于维护和管理的架构。
③服务器的成本问题,选择开源和免费的服务器版本来组织公司网络。
基于以上的分析,结合目前中小型企业的共同需求,我们做了如下的网络服务器架构,如图1。
我们选择WS2012作为主域控服务器,在上面部署域服务,采用Centos7.0作为第二台服务器,在上面部署主要的服务:DNS服务器、DHCP服务器、WEB服务器、FTP服务器、CA认证服务及相关的数据库服务器。每台服务器上IP地址都设置内网和外网IP地址。内网IP地址负责内网通信,使用DNS服务器上内网视图。外网IP地址负责外网间通信,使用DNS服务器上外网视图。
3 中小型企业网络服务器安全加固分析
网络服务器的安全包括对内和对外两方面。下面从不同的方面对服务器进行加固。
3.1 域服务的使用及组策略的配置
中小型企业对内使用域服务器进行域用户的管理,在域内建立不同的组织单位,对域或者域内不同的组织单位设置相应的组策略,避免因使用统一的访问服务器权限而带来的安全隐患,同时对用户行为进行强制规范。
如图2,设置域名为sjx.com,在该域中设置公司名称“苏州科技”组织单位,在内部设置人力资源部、技术部等相关部门的组织单位。在各组织单位内部设置普通用户和经理等相关用户名,公司内部用户登录时输入各自分配的用户名和密码才能使用公司内部资源。
针对不同的组织单位建立不同的组策略。首先需要建立组策略对象,之后对组策略对象进行编辑,如图2,对技术部对象进行组策略编辑,包括该组织单位内计算机的配置和用户配置。
常用的组策略配置如下:
①要求设置安全策略,使密码必须满足复杂性。
②要求用户每隔一个月修改一次密码。
③要求用户设置安全策略,关闭远程访问注册表功能。
④要求用户设置安全策略,禁止空密码用户的远程登录。
⑤开启审核对象访问,成功与失败。
⑥开启审核系统事件,成功与失败。
⑦要求系统登录时不显示上一次登录账户名。
⑧禁用驱动的自动播放功能。
⑨禁止用户在登录之前关闭系统。
⑩禁止除administrator账户的其他账户装载或卸载设备驱动程序。
{11}组织单位内部设置统一的桌面。
{12}禁止用户使用USB接口等。
不同的组织单位之间可以设置使用不同的组策略。
3.2 架设CA认证服务器
目前为了保证网络上数字信息的安全传输,除了使用更强的加密算法等方法之外,还必须建立一种信任及验证信任的机制,即参与电子商务的各方必须有一个可以被验证的标识,该标识必须唯一,同时来源必须可靠,这种标识就是数字证书。这样,就需要一个网上各方都信任的机构,来专门负责数字证书的颁发和管理,保证网络信息的安全,这个机构被称为CA认证机构。
我们在centos7的服务器上配置CA认证中心,生成CA认证根证书的私钥,在配置完结束之后,会生成一个根证书。
[root@localhost misc]# /etc/pki/tls/misc/CA -newca
CA certificate filename (or enter to create)
Making CA certificate ...
Generating a 2048 bit RSA private key
................+++
......................................................................+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
……
Country Name (2 letter code) [XX]:CN #国家地区名称
State or Province Name (full name) []:jiangsu #省份名称
Locality Name (eg, city) [Default City]:Suzhou #城市名称
Organization Name (eg, company) [Default Company Ltd]:IT #组织名称
Organizational Unit Name (eg, section) []:SISO #组织单位名称
Common Name (eg, your name or your server's hostname) []:siso.cn #通用名称
Email Address []:sjx.siso.cn
……
这个根证书中有这证书的公钥,到此CA认证中心就搭建好了。其中/etc/pki/CA/cacert.pem是生成的根证书,/etc/pki/CA/private/cakey.pem是生成的私钥。
之后在centos7服务器上安装http服务,用openssl genrsa命令生成私钥,使用openssl req命令和该私钥生成请求文件,使用生成的请求文件在CA认证中心进行签名。CA认证中心会使用自己的公钥进行加密,给http服务于颁发证书。http服务在配置文件中设置相应的证书名称,到此网络中的各台客户机就可以使用“https://网站域名”来访问发布的web网站了。
4 结束语
网络服务器关系到一个企业的命脉,一刻也不能放松服务器的安全警惕。首先我们可以从管理的角度出发,企业内部可以制定各种规章制度等文字性的规范,约束用户的上网行为。其次是从技术的角度出发,可以采用各种软件技术和硬件设备来管理整个计算机网络,例如采用有效的杀毒软件、防火墙和域服务中的各种组策略三管齐下力保网络的安全。此外比较好的措施是使用专门的网络检测软件,7×24小时的不间断地监视企业的整个网络运行情况,特别要关注各种“非法入侵”和“对服务器的操作”这两方面的报告。企业内部数据的保护是一个非常重要的问题,服务器存储的数据丢失有可能对企业造成的非常大的损失,特别是对数据库服务器来说,存储的数据尤为重要,所以对服务器的日常维护尤其要注重日常的备份工作。
参考文献:
[1]邓文达.易月娥.Windows Server 2012网络管理项目教程[M].人民邮电出版社,2014,4.
[2]鸟哥.鸟哥的LINUX私房菜-服务器架设篇[M].机械工业出版社,2017,4.
[3]张金石,钟小平.Centos Linux系统管理与运维[M].人民邮电出版社,2019,2. |