企业内部的ERP、OA服务器很多都是通过端口映射到公网的，这样就不可避免会招来攻击。如下图：

服务器被攻击会带来很多危害，比如：

大量的DDoS会占用带宽和服务器资源，影响正常的业务访问。服务器的系统漏洞、代码漏洞被黑客利用，可能损坏服务器的软件系统甚至于设备硬件。

所以保障服务器安全是网管技术人员的重要工作之一。本文中，我将结合WSG上网行为管理，介绍如何防止服务器被攻击，以及一旦被攻击如何及时处理。首先尽量不采用端口映射的方式，比如可以要求客户端先拨入VPN然后再访问内网，这样就不会被攻击了。如果只能采用端口映射的方式，服务器的保护主要考虑如下几个方面：

尽量采用不常见的端口开启入侵防御来阻止入侵攻击阻止来自国外的IP地址限定只能访问的IP地址1. 尽量采用不常见的端口

常见的80、8080、8090、808这样的端口都在黑客程序的重点扫描范围内，所以应当尽量采用靠后的不常见端口。比如53344、56688等。越靠后的端口越不容易被扫描到。如图：

2. 开启入侵防御来阻止入侵攻击

入侵防御系统会对访问内网的数据包进行分析检测，一旦发现有攻击尝试就可以阻止该IP的后续访问。一次成功的攻击需要一系列的后续操作，既然后续访问被阻止，那么攻击也就不能继续了。如图：

3. 阻止来自国外的IP地址

很多攻击源都来自国外，对于很多用户来说，只要把国外的IP源阻止掉即可过滤掉90%以上的攻击。阻止国外的攻击需要配置两条防火墙策略，一条是阻止所有的访问（放在下面），一条是允许来自中国的访问（放在上面），防火墙策略是逐条匹配的，这样的效果就是只有中国的IP才会被允许。如图：

4. 限定只允许访问的IP地址

安全级别最高的就是限定只允许访问的IP地址，通过对来源IP的限制，使得只有指定的IP地址（比如分公司IP）才允许访问总部系统。这样就很安全了，因为其他IP都无法访问到你的服务器系统。配置如图：

服务器的安全是一个系统工程，除了上述的网络防护手段外，还需要给服务器打上所有的安全补丁，确保操作系统和软件都是安全的。并且做好定期的数据备份（备份数据不要放在同一块硬盘上）。这样才可以有效的保证服务器安全。