安全技巧：“防”在溢出之前

是操作系统和应用软件泛滥的永恒之痛！如今，黑客频繁攻击，系统漏洞层出不穷。没有人能保证他们的系统和程序不会溢出。既然溢出看似不可避免，而且使用溢出攻击的门槛相对较低，那么任何一个有一定计算机基础的人用工具都可以完成一次溢出。这样，我们的计算机系统随时都有溢出的危险。我们不能白等。作为IT安全人员，我们应该未雨绸缪，尽量减少溢出的可能性。

一、如何预防？反对什么？

1.必须制作所有补丁。

尽可能修补系统的所有漏洞；比如微软Windows Server系列的系统可以开启自动更新服务，然后让服务器在指定的时间内自动连接微软更新网站进行补丁更新。如果服务器出于安全原因禁止公共网络外部的连接，您可以使用Microsoft WSUS服务来升级内部网络。

2.服务最小化

最少的服务等于安全，停止所有不必要的系统服务和应用，把服务器的攻击系数降到最低。比如前阵子NDS溢出导致很多服务器挂机。事实上，如果WEB服务器根本不使用DNS服务，你可以停止DNS服务，这样DNS溢出就不会对你的服务器造成任何威胁。

3.端口过滤

启动TCP/IP端口过滤，只打开21、80、25、110、3389等常用TCP端口。如果安全要求级别更高，可以关闭UDP端口。当然，如果出现这种情况，缺陷就是在服务器上不方便对外连接。在这里，我们建议您使用IPSec来封装UDP。在协议筛选中只允许必要的协议，如TCP(协议号:6)、UDP(协议号:17)和RDP(协议号:27)。其他没用的东西不开。

4.系统防火墙

启用IPSec策略，认证服务器的连接，给服务器加双保险。密封一些危险端口，如135 145 139 445和UDP外部连接，加密通读，只与可信IP或网络通信等。

提示:通过IPSec禁止外部访问UDP或不常用的TCP端口，对防止反弹木马非常有效。