数据库服务器如何避免被攻击？ ( 积分: 100 )

大家好：
我公司局域网通过路由器与外网相连，没有硬件防火墙，局域网内所有机器均可访问外网。现增加了一台数据库服务器，拟使用Win2k+MSSQL2k或Win2003+MSSQL2005，作为单一用途的数据库服务器（甚至连文件共享都可以不要）。我想请问大家：
一、如何设置才能使该服务器只能被内网访问、不能被外网访问（也不需访问外网）？
二、该服务器偶尔还需访问一下外网（主要是打打补丁什么的），请问：怎样配置服务器，才能确保该数据库服务器访问外网的同时，避免被外网攻击？如：关闭哪些服务，关闭哪些端口等；
三、听说有一种隔离卡，可以在内、外网间切换，哪位兄弟用过，能否介绍一下，效果怎么样？哪个产品好一些？
谢谢！

打齐补丁、安装软件防火墙等措施是肯定要的。不过我记得在冲击波最嚣张的时候，有文章说要关闭哪些端口（好象有139）、停止哪些服务即可避免很多的攻击，请问，一个纯粹的数据库服务器应该把哪些端口给关闭了？或者说，只需要保留哪些端口？
这个服务器不向外网提供任何服务。HTTP、FTP、EMAIL等都不需要。

网上摘录的：

问题1。弱口令
很多管理员还没有设置复杂口令的习惯，这个是相当危险的，因为随便什么扫描软件都可以很轻
易的找到你的远程端口是什么，然后找个暴力破解的软件，如果密码很简单，一个晚上就可以，
破所以这个是基本工，不要为了远程登陆方便而少设置简单的密码，您至少要设置12位以上的密
码别怕你的密码会太长，因为2000支持长达128位的密码。


问题2。默认共享
也就是常说的$ipc漏洞，其实也不是漏洞，这个是2000强大功能的体现之一。
基本思路是用net命令和服务器建立连接(当然建立之前也要有管理员的密码，所以弱口令的机
器会很容易中招)，然后就可以在服务器上执行任意程序了。
不管你的口令弱不弱，相信你肯定不会这样去管理你的服务器，所以彻底的办法是删除共享，如
何删除默认共享，网上好象介绍这个的很多很多，有一个最好最简单的办法是禁用server服务。
把关联的Computer Browser和Distributed File System也一起禁止用吧，反正你也用不到。


问题3。危险组件
下面5个组件是windows自带的，但是因为过于强大，所以稍微不小心就会产生漏洞
FSO、XML、W脚本.Shell、Shell.application、W脚本.Network
作为虚拟主机，FSO和XML都肯定用到，不然你的虚拟主机连个论坛都不能放，估计你的空间肯定
会卖不出去呵呵。如果独立主机，您确信用不到这2个组件那就卸掉他，尤其是FSO组件。
卸载FSO组件的方法：regsvr32 /u c:/winnt/system32/scrrun.dll
W脚本.Shell、Shell.application、W脚本.Network这3个几乎用不到，主要危害是通过asp可
以运行exe文件和修改注册表，几乎所有的asp木马都用这几个组件，而正常的asp程序却都用不到，
所以干脆删除吧，不过W脚本.Shell会被一部分主机管理程序用到，也有的打包程序也会用到，
你最好先确认一下再删除。
方法：
卸载W脚本.Shell和W脚本.Network组件： regsvr32 /u c:/winnt/system32/wshom.ocx
卸载Shell.application组件： regsvr32 /u c:/winnt/system32/shell32.dll
顺便说一下，对于DLL文件关联的组件，如果你想让部分用户用，只要单独设置一下对应DLL文件的
权限就可以。比如你只想给某几个用户只用FSO，那么只要单独设置一下scrrun.dll的权限，给需
要的人读取及运行。


问题4。默认windows权限
这个问题比较复杂，但确实默认windows目录的安全设置权限有点过大，按照以下简单修改一下吧。
c盘根目录 只有administrators和system完全
C:/Program Files/Common Files administrators和system完全，everyone读取和运行
C:/Program Files/其他目录 只有administrators和system完全
如果你有asp组件安装在这个目录下，那么组件目录也需要everyone读取和运行
c:/winnt/所有文件(目录下的文件，不包括子目录) 只有administrators和system完全
c:/winnt/system32/dllhost.exe administrators和system完全，everyone读取和运行
c:/winnt/system32/其他exe和com文件(目录下的文件，不包括子目录) 只有administrators和system完全
上面的权限可以设置的很细，甚至精确到每个文件为止，不过一般这样设置了也就可以了。
如果你不是虚拟主机服务器，装了其他的软件，建议你确认好以后再动手，也许会导致其他软件运行有问题。


问题5。cgi和PHP
CGI和PHP有自己的漏洞和SHELL，因为CGI和PHP本身以执行EXE文件为基础，所以如果产生漏洞的话问题会比
ASP严重一点。如果你对CGI和PHP不懂，简单一句话：你的服务器就别装了这2个了，至少我认为服务器应该
最小的安装=最大的安全，能不装的都别装。


问题6。asp可以列出服务器进程和用户
这个虽然不是什么直接涉及安全的问题，但让人家看到你的服务器有什么进程在运行、有什么用户和组总不
是好事情，何况现在密码喜欢用123456的人还真不少，所以也设置一下吧。
最简单的办法是禁用Workstation服务
其他的防御措施
天外有天，就算你设置的再好，也可能会被入侵，因为新的漏洞总是不断被发现，而你总不可能是第一个知道的人。
所以你对你的设置不能太放心，应该考虑适当做以下一些事情。
关闭不用的端口，或者说是只开放必须的端口，这个不再详细说明。
安装杀毒软件，比如Mcafee和诺顿，但是不推荐国内的杀毒软件，效果差、占资源大，和国外一流软件确实没办法比
优秀的杀毒软件带的按照访问扫描功能一般都很好用，他能对运行的文件自动进行杀毒，那些黑客工具一般都能在运
行前杀掉，这样会安全许多。
不过要注意的是，不是装越多越好一个就够了，不然会造成系统混乱。另外就是杀毒软件会对运行速度产生一定影响。

LS的好详细呀

做齐全安全防御措施是必要的,我搞的一些机子,也遇到这些问题,用国外软件的想法不错,比如卡巴,居然能够防御sql漏洞攻击,不错,国内的,垃圾.
这个题目很好,收藏

"我公司局域网通过路由器与外网相连"
既有一个路由器在，还怕外网攻击？
这路由器本身就是一个硬件隔离墙啊。
像一般公司用的宽带路由器，都是必须首先由内网往外发起通讯才行的。
外网是不能主动与内网通讯的。
所以你这个数据服务器首要的不是防外，而是要防内。注意来至局域网内部的木马病毒蠕虫

谢谢ufo!朋友！您能解释详细一点吗？
我对网络安全知识了解不多，从网上泛泛地看了一些贴子，如：如何扫描端口、破解管理员口令、进而获得管理权限，以至于将某个机器作成“肉鸡”，在其中为所欲为。
怎样避免上述情况发生？

1。数据库服务器要设置强口令，并把默认的administrator帐号改名或降低权限。
2。用不到的端口都关闭，用不到的服务都停止掉。
3。及时升级系统漏洞和数据库漏洞补丁。
4。有关系统安全的资料网上很多，多看看。
这样，即使局域网内的其他电脑中招，要想攻入服务器也还是不容易的。
另外，如果你是用的firebird数据库，还可以用linux系统。熟悉linux的人比熟悉window的人少多了，安全系数就高。