企業(yè)內(nèi)部的ERP、OA服務(wù)器很多都是通過(guò)端口映射到公網(wǎng)的，這樣就不可避免會(huì)招來(lái)攻擊。如下圖：

服務(wù)器被攻擊會(huì)帶來(lái)很多危害，比如：

1. 大量的DDoS會(huì)占用帶寬和服務(wù)器資源，影響正常的業(yè)務(wù)訪問(wèn)。
   

2. 服務(wù)器的系統(tǒng)漏洞、代碼漏洞被黑客利用，可能損壞服務(wù)器的軟件系統(tǒng)甚至于設(shè)備硬件。

所以保障服務(wù)器安全是網(wǎng)管技術(shù)人員的重要工作之一。本文中，我將結(jié)合WSG上網(wǎng)行為管理，介紹如何防止服務(wù)器被攻擊，以及一旦被攻擊如何及時(shí)處理。首先盡量不采用端口映射的方式，比如可以要求客戶端先撥入VPN然后再訪問(wèn)內(nèi)網(wǎng)，這樣就不會(huì)被攻擊了。如果只能采用端口映射的方式，服務(wù)器的保護(hù)主要考慮如下幾個(gè)方面：

• 盡量采用不常見(jiàn)的端口
  

• 開(kāi)啟入侵防御來(lái)阻止入侵攻擊

• 阻止來(lái)自國(guó)外的IP地址

• 限定只能訪問(wèn)的IP地址

1. 盡量采用不常見(jiàn)的端口

常見(jiàn)的80、8080、8090、808這樣的端口都在黑客程序的重點(diǎn)掃描范圍內(nèi)，所以應(yīng)當(dāng)盡量采用靠后的不常見(jiàn)端口。比如53344、56688等。越靠后的端口越不容易被掃描到。如圖：

2. 開(kāi)啟入侵防御來(lái)阻止入侵攻擊

入侵防御系統(tǒng)會(huì)對(duì)訪問(wèn)內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行分析檢測(cè)，一旦發(fā)現(xiàn)有攻擊嘗試就可以阻止該IP的后續(xù)訪問(wèn)。一次成功的攻擊需要一系列的后續(xù)操作，既然后續(xù)訪問(wèn)被阻止，那么攻擊也就不能繼續(xù)了。如圖：

3. 阻止來(lái)自國(guó)外的IP地址

很多攻擊源都來(lái)自國(guó)外，對(duì)于很多用戶來(lái)說(shuō)，只要把國(guó)外的IP源阻止掉即可過(guò)濾掉90%以上的攻擊。阻止國(guó)外的攻擊需要配置兩條防火墻策略，一條是阻止所有的訪問(wèn)（放在下面），一條是允許來(lái)自中國(guó)的訪問(wèn)（放在上面），防火墻策略是逐條匹配的，這樣的效果就是只有中國(guó)的IP才會(huì)被允許。如圖：

4. 限定只允許訪問(wèn)的IP地址

安全級(jí)別最高的就是限定只允許訪問(wèn)的IP地址，通過(guò)對(duì)來(lái)源IP的限制，使得只有指定的IP地址（比如分公司IP）才允許訪問(wèn)總部系統(tǒng)。這樣就很安全了，因?yàn)槠渌鸌P都無(wú)法訪問(wèn)到你的服務(wù)器系統(tǒng)。配置如圖：

服務(wù)器的安全是一個(gè)系統(tǒng)工程，除了上述的網(wǎng)絡(luò)防護(hù)手段外，還需要給服務(wù)器打上所有的安全補(bǔ)丁，確保操作系統(tǒng)和軟件都是安全的。并且做好定期的數(shù)據(jù)備份（備份數(shù)據(jù)不要放在同一塊硬盤(pán)上）。這樣才可以有效的保證服務(wù)器安全。