14.5  防御攻击

有几个相当直接的措施可以用于防御本章所提到的所有攻击。多数措施将在第16章“保护Sybase”内进一步讨论，现在，仅在此做一简要概述：

●       确保服务器安装了最新补丁。

●       用防火墙保护Sybase服务器。

●       以严格的防火墙规则集筛选输出通信量和输入通信量。也许没必要为Sybase服务器初始化输出TCP连接或者发送任何UDP通信量，这取决于于具体配置。

●       应用Sybase服务器上自身的防火墙规则集。例如，如果正在使用Linux，则使用IPTables。Windows服务器平台的IPSec机制也提供一些保护措施。

●       绝对不要允许Web应用程序以管理账户(sa或sso_role)连接Sybase服务器。

●       如果可能，使用可选的身份验证方法。“标准的”身份验证方式是不够的。

●       如果不使用Java，不要启用它。事实上，故意删除一些Java组件可能是个不错的想法。

●       类似的，如果不使用外部文件系统访问，不要启用它。

●       如果可能，以低特权用户运行Sybase。

●       应用恰当的文件系统权限，以确保即使用户可以侵入Sybase数据库，也不能获得对服务器的管理控制。

●       确保恰当地限制对xp_cmdshell的访问。