数据库原理-广州数字教育城云桌面.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 8、正确配置数据库 （1）在多台服务器的情况下，数据库应该使用内网地址，WEB服务器通过内网与数据库服务器连接。 （2）只有一台服务器的情况下，请参考1配置端口，禁止外网访问数据库端口。 （3）尽可能使用低权限的用户连接数据库，例如对于MSSQL，请勿在网页中使用SA用户连接数据库。 常见数据库端口 MSSQL：1433；MYSQL：3306 ； ORACLE：1521 三、网络安全防范高级教程 以下内容较为复杂，非强制要求，可以根据需要进行设置 （一）入侵检测 任何入侵行为都不是一蹴而就的，经常要花费大量的时间进行试探和扫描，因此，入侵检测的优势在于可以防患于未然，及早对各种可能出现的网络恶意行为作出预警。 目前国内各大IDS,均使用snort作为蓝本。 如无法购买商业化的IDS，可以参考上的WINDOWS下SNORT安装指南。 无论采用何种入侵检测系统，均应该及时调整入侵检测规则，定期升级规则。 入侵检测系统都有漏报和误报的可能，尤其是误报，极其频繁，任何情况下，都应该对入侵记录进行人工分析，避免因误报带来不必要的麻烦。 入侵检测系统极容易因数据过大而无法运行，需要定期清理。 （二）网站防篡改 网站防篡改一般均使用软件对网站所在目录进行监测，当目录内容发生改变的时候告警或者使用备份进行覆盖。 对于WINDOWS，建议使用“网站安全狗”防篡改，详情可参考 也可以结合网站监测进行。 （三）网站监测 网站监测用于监测网站服务是否可用，内容是否有更新或更改。 建议使用hostmonitor,必要时可以结合手机短信或者邮件及时报警。教程稍后发布。 熟悉LINUX的网管，可以使用ZABBIX。 建议与网络可用性，网络流量监测等结合，构成校园网的综合监控系统。 请见演示 （四）网络流量监测 流量监测可以及时发现网站流量是否正常，也可以监测校园网内各端口流量是否正常，在爆发病毒的时候，流量监测非常重要，可以迅速定位到中毒的机器或者区域。 推荐使用PRTG3.0版。高版本虽然功能繁多，但是并不实用。 （五）行为记录 建议使用专用的行为记录设备，或者具有行为记录功能的安全设备，当前的发展趋势是UTM，即具有防火墙、入侵检测、流量控制、行为记录等功能的一体化安全设备。 缺乏设备的情况下，请使用SNORT，只需记录用户的POST行为。 （六）数据备份 建议使用商业化的备份软件，目前常用的是赛门铁克和LEGATO。 即使是商业软件，也有失灵的时候，重要数据每周至少应手工备份一次。 也可以使用ubuntu的backuppc 关键网站在必要时，应使用CDP（连续数据保护），确保数据可以随时恢复。 （七）反向代理技术 反向代理是近年来应用极其普遍的技术，使用反向代理，可以只需要一台对外的服务器，由该服务器将所有请求转发入内网，既节约英特网地址，也可以确保服务器安全。 对于windows，建议使用APACHE作为反向代理，对于linux建议使用nginx. 使用反向代理技术后，服务器需要注意的安全问题基本上只有网页脚本漏洞问题，如跨站漏洞和SQL注入漏洞等。 例如，某学校只有一个英特网地址，但是需要对外开放两个网站，分别部署在两个服务器上，可以如下操作。 在注册域名时，将所有域名都解释到服务器1的IP上，由服务器1上的nginx分别将不同的域名解释到不同的服务器（也可以解释到服务器1上的其他服务器程序和其他端口如tomcat等） 四、机房安全 机房的UPS是最大的安全隐患，应注意如下几点： UPS是否过载？一般负载应该在80%以下 UPS三相是否平衡？ 蓄电池是否超期服役？（一般为5年） 蓄电池应该每半年手工深度放电一次。 停电时，应确保有人职守。 机房空调 机房应使用机房专用空调，如使用普通空调，应该安装空调来电自启动装置。 专用空调一般开放有snmp接口，可以和网络监测系统联网。 使用非专用空调，应该加强机房温度监测 机房消防应重点注意的问题 定期举行消防演练和消防设备使用培训，至少半年一次。 配置有自动消防系统的机房，至少半年应该检测一次，内容至少包括烟感是否正常，温感是否正常，自动喷气和手动喷气是否正常。 机房必须配置手工灭火器，且应使用气体灭火器 注意事项1 论坛、博客、留言板如无专人管理，请关闭！ 注意事项2 服务器有没有防病毒程序？没有的话建议安装360安全卫士。 木马是当前服务器最大的安全威胁，根源在于不少管理员随便上传和安装程序，请制定严格的管理制度，禁止在服务器上使用浏览器浏览非法站点，禁止在服