企業(yè)內部的ERP、OA服務器很多都是通過端口映射到公網的，這樣就不可避免會招來攻擊。如下圖：

服務器被攻擊會帶來很多危害，比如：

1. 大量的DDoS會占用帶寬和服務器資源，影響正常的業(yè)務訪問。
   

2. 服務器的系統(tǒng)漏洞、代碼漏洞被黑客利用，可能損壞服務器的軟件系統(tǒng)甚至于設備硬件。

所以保障服務器安全是網管技術人員的重要工作之一。本文中，我將結合WSG上網行為管理，介紹如何防止服務器被攻擊，以及一旦被攻擊如何及時處理。首先盡量不采用端口映射的方式，比如可以要求客戶端先撥入VPN然后再訪問內網，這樣就不會被攻擊了。如果只能采用端口映射的方式，服務器的保護主要考慮如下幾個方面：

• 盡量采用不常見的端口
  

• 開啟入侵防御來阻止入侵攻擊

• 阻止來自國外的IP地址

• 限定只能訪問的IP地址

1. 盡量采用不常見的端口

常見的80、8080、8090、808這樣的端口都在黑客程序的重點掃描范圍內，所以應當盡量采用靠后的不常見端口。比如53344、56688等。越靠后的端口越不容易被掃描到。如圖：

2. 開啟入侵防御來阻止入侵攻擊

入侵防御系統(tǒng)會對訪問內網的數據包進行分析檢測，一旦發(fā)現有攻擊嘗試就可以阻止該IP的后續(xù)訪問。一次成功的攻擊需要一系列的后續(xù)操作，既然后續(xù)訪問被阻止，那么攻擊也就不能繼續(xù)了。如圖：

3. 阻止來自國外的IP地址

很多攻擊源都來自國外，對于很多用戶來說，只要把國外的IP源阻止掉即可過濾掉90%以上的攻擊。阻止國外的攻擊需要配置兩條防火墻策略，一條是阻止所有的訪問（放在下面），一條是允許來自中國的訪問（放在上面），防火墻策略是逐條匹配的，這樣的效果就是只有中國的IP才會被允許。如圖：

4. 限定只允許訪問的IP地址

安全級別最高的就是限定只允許訪問的IP地址，通過對來源IP的限制，使得只有指定的IP地址（比如分公司IP）才允許訪問總部系統(tǒng)。這樣就很安全了，因為其他IP都無法訪問到你的服務器系統(tǒng)。配置如圖：

服務器的安全是一個系統(tǒng)工程，除了上述的網絡防護手段外，還需要給服務器打上所有的安全補丁，確保操作系統(tǒng)和軟件都是安全的。并且做好定期的數據備份（備份數據不要放在同一塊硬盤上）。這樣才可以有效的保證服務器安全。