在黑客频频攻击，系统漏洞层出不穷的今天，任何人都不能保证操作系统、应用程序不被溢出。作为网络管理人员，我该如何做好防范工作，把服务器被溢出的可能性降到最低？
　　——黑龙江省哈尔滨市 周健
　　Ｑ博士：
　　溢出是操作系统、应用软件永远的痛。电脑系统处于随时被溢出的危险中，特别是肩负重任的服务器如果被溢出、被渗透的话，后果不堪设想。
　　
　　防什么，怎么防
　　
　　第一，尽最大可能将系统的漏洞补丁都打完。Microsoft Windows Server系列的服务器系统可以自动将更新服务打开，然后让服务器在指定的某个时间段内自动连接到相关网站进行补丁更新。
　　第二，最少的服务等于最大的安全，停掉一切不需要的系统服务和应用程序，最大限度地降低服务器的被攻击系数。比如NDS溢出就会导致很多服务器挂掉。其实，如果Web类服务器根本没有用到DNS服务，那么我们大可把DNS服务停掉。这样DNS溢出对服务器就不会构成任何威胁了。
　　第三，启动TCP/IP端口过滤，仅打开服务器常用的TCP端口，如21、80、25、110、3389等端口。如果安全要求高一点，可以将UDP端口也关闭。当然这样的缺陷是服务器不方便连接外部。这里建议大家用IPSec来封UDP。在协议筛选中只允许TCP、UDP和RDP等必须用的协议，其他无用的均不开放。
　　第四，对以System权限运行的系统服务进行降级处理。比如，将Serv-U、Imail、IIS、Php、Mssql、Mysql等一系列以 System权限运行的服务或者应用程序，换成其他Administrators成员甚至Users权限运行，这样就会安全得多。
　　第五，启用IPSec策略，为服务器的连接进行安全认证，给服务器加上双保险。封掉一些危险的端口，诸如135、145、139、445和UDP对外连接之类的端口，只与有信任关系的IP或网络进行通信。通过IPSec禁止UDP或不常用TCP端口的对外访问就可以非常有效地防反弹类木马。
　　
　　如何防止进一步渗透
　　
　　如果某台服务器不幸被攻击者溢出成功，那应该怎样防止攻击者溢出得到Shell后进一步入侵局域网的其他服务器呢?
　　其实，通常在做好上述工作之后，基本上是可以预防攻击者在溢出之后得到Shell的。这是因为，即使被他们溢出成功，但CMDshell在对外连接时就卡了。
　　尽管如此，我们还是要做好防止进一步渗透的工作。一般入侵者在得到Shell后，会利用系统命令和账号，通过tftp、ftp、vbs等方式达到进一步控制服务器的目的。如果我们利用命令对其进行限制，入侵者就没有办法通过tftp、 ftp等来传文件了，但他们仍然可以通过echo写批处理，用批处理通过脚本BAT、VB等从Web上下载文件，并修改存在其他盘上的文件。
　　所以，我们也要限制echo命令并对其他盘的System写、修改权限进行处理，禁用VB类脚本和XML、http等组件或限制system的运行权限。这样，别人即使得到Shell，也无法删除文件，进而控制系统。
　　服务器的安全防护工作是一个系统工程，任何小小的疏忽都有可能造成服务器的“沦陷”。“防”永远比“补”好，管理员要“防”在被溢出之前，把被攻击的危险降到最低。这才是真正的服务器安全防护之道。