保护暴露在因特网上的主机的方法

下面一些策略可以保护暴漏在Internet网上的主机：

将所有公开服务器与DMZ隔离

提供的每种服务都应该有自己的服务器。

如果使用Linux（建议这样做），你就可以使用一个或几个“缓冲溢出/堆栈执行”补丁或增强来防止绝大多数（如果不能全部）本地或远程缓冲溢出，以避免这些溢出危及根的安全。强烈建议将Solar Designer的补丁包括在附加的安全特征中。

限制只有内部地址才能访问支持SRP的telnet和FTP守护程序，强调只有支持SRP的客户端才可以与这些程序对话。如果你必须为公开访问运行常规的FTP（比如匿名FTP），可以在另一个端口运行SRP FTP。

使用SRP（Secure Remote Password 安全远程口令）代替SSH。

用可信任的路径。根用户拥有的二进制执行程序应该放置的目录的所有权应该是根，不能让全部用户或组都有写权限。如果有必要的话，为了强制这样做，你可以改变内核。

使用一些防端口扫描措施。这可以使用Linux的后台程序功能或通过修改内核实现。

使用Tripwire 和相同作用的软件来帮助发觉对重要文件的修改。

使用内置防火墙功能。通过打开防火墙规则，可以经常利用内核状态表。