服務(wù)區(qū)定義需要哪些服務(wù)。通過“如果不是指定需要的全部禁止”的安全策略，服務(wù)器上僅僅配置完成必要的操作所必需的服務(wù)，否則就會為攻擊者提供更多的攻擊點。

　　僅適用可以保證足夠安全級的服務(wù)：沒有充分認(rèn)證能力的服務(wù)（如：rexec）或者傳輸未經(jīng)過加密的敏感數(shù)據(jù)的服務(wù)（如telnet、ftp或通過WWW傳輸信用卡敏感數(shù)據(jù)）都應(yīng)該用更安全的相應(yīng)服務(wù)所替代（如SSH、SSLftp或HTTPS）。

　　4. 應(yīng)用區(qū)

　　為安全起見，每個服務(wù)都必需單獨配置。一個配置的不好的郵件服務(wù)器可能會被用來發(fā)送垃圾郵件，配置不好的Web服務(wù)器可以執(zhí)行所有的系統(tǒng)命令。注意，千萬不要創(chuàng)建具有高特權(quán)的服務(wù)（root）。

　　您必需仔細(xì)研讀您所適用的軟件的操作手冊中的相關(guān)內(nèi)容才可以更安全地配置您的應(yīng)用。

　　5. 操作系統(tǒng)區(qū)

　　最后的保護機制是操作系統(tǒng)自身。如果如果應(yīng)用區(qū)的安全方法配置合理的話，即使入侵者成功地進入計算機系統(tǒng)也沒有足夠的管理權(quán)限完成破壞工作。程序的安裝，尤其是高特權(quán)的程序，應(yīng)該限制在系統(tǒng)操作的絕對需要范圍內(nèi)。許多高特權(quán)的程序可以通過更高級別的認(rèn)證來限制用戶的濫用，因為系統(tǒng)中的標(biāo)準(zhǔn)用戶帳號根本不需要使用這些程序。但這還遠(yuǎn)遠(yuǎn)不夠，萬一攻擊者成功地進入計算機系統(tǒng)，應(yīng)該存在一個檢測入侵的機制。這被稱為“基于主機的入侵檢測”。當(dāng)然，最好還要能夠監(jiān)視和記錄系統(tǒng)中的文件操作，以便了解入侵者的真正意圖。當(dāng)然也不能忽視經(jīng)常性地備份，并且不要丟棄舊的備份文件。這種做法不僅可以用來配置備份服務(wù)器和避免數(shù)據(jù)丟失，它還可以用來跟蹤系統(tǒng)中文件的操作情況。如果有幾個管理員同時管理一個服務(wù)器，那么一個記錄誰執(zhí)行過哪些操作的機制可以在下面提及。

　　想定

　　Internet需要配置一臺自己的WEB服務(wù)器，由于沒有自己的安全基礎(chǔ)設(shè)施，應(yīng)該在WEB服務(wù)器前面放一臺配置了相應(yīng)過濾規(guī)則的路由器。這臺WEB服務(wù)器僅僅提供WWW和HTTPS服務(wù)，但是，它當(dāng)然也需要具有遠(yuǎn)程控制特性。另外，這臺Web服務(wù)器最好還能夠發(fā)送郵件。由于Linux服務(wù)器和網(wǎng)頁是由三個不同的管理員維護的，所有的管理操作都應(yīng)該保證在以后進行日志分析是更容易理解。

　　實現(xiàn)

　　前面段落中說明的安全WEB服務(wù)器的需求如何實現(xiàn)呢？下面的例子說明了一種在SuSE Linux 6.4發(fā)布的服務(wù)器上的實現(xiàn)方法。為了實現(xiàn)上述想定，我們決定選擇SSH管理和Apache Web服務(wù)器。

　　第一步：配置路由器

　　每一個流行的路由器都提供配置過濾列表的功能。您必需配置下面的簡單規(guī)則：

　　+---------------------------------------------------------------+
　　|-----------------------過濾規(guī)則--------------------------------|
　　+------------------+------------------+-------------------------+
　　|--------來源------|--------目標(biāo)------|---------服務(wù)------------|
　　+------------------+------------------+-------------------------+
　　|任何位置----------|Web服務(wù)器---------|WWW, HTTPS, UDP highport,|
　　|------------------|------------------|ICMP types 0 + 3---------|
　　+------------------+------------------+-------------------------+
　　|管理員------------|Web服務(wù)器---------|SSH----------------------|
　　+------------------+------------------+-------------------------+
　　|Web服務(wù)器---------|任何位置----------|DNS, SMTP----------------|
　　+------------------+------------------+-------------------------+
　　|Web服務(wù)器---------|路由器------------|SSH或telnet--------------|
　　+------------------+------------------+-------------------------+

　　路由器的操作手冊會提供如何進行上述配置的詳細(xì)信息。這里我建議使用Cisco路由器，因為對于這種情況它非常容易配置，并且還在IOS的第12版以后提供了SSH的加密服務(wù)。