激情五月天婷婷,亚洲愉拍一区二区三区,日韩视频一区,a√天堂中文官网8

<ul id="buwfs"><strike id="buwfs"><strong id="buwfs"></strong></strike></ul>
    <output id="buwfs"></output>

    • <dfn id="buwfs"><source id="buwfs"></source></dfn>
      <dfn id="buwfs"><td id="buwfs"></td></dfn>
      

      <div id="buwfs"><small id="buwfs"></small></div>
      <dfn id="buwfs"><source id="buwfs"></source></dfn>
      1. <dfn id="buwfs"><td id="buwfs"></td></dfn>
        

        


        
 
        
   
        始創(chuàng)于2000年    股票代碼:831685
        
   
        咨詢熱線:0371-60135900
   
   
   
   
   
   
    
		   
   
   
   注冊有禮
   登錄			
  
   
        
 
        

        

        
 
        
   
   
        • 掛牌上市企業(yè)
        • 60秒人工響應(yīng)
        • 99.99%連通率
        • 7*24h人工
        • 故障100倍補償
        
 
        

        






        

        
 
 

        
    	
        全部產(chǎn)品

        
        
  
        




 
  


        

        



        


        



        
 
        您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容 
        

        


        


        

        
   
     
  
         
 
  
        

  
  
   
    
        

        
  
  

                

  
  
         
    
    
        
      
      
        
      
        

  
        
    
        
      
        輕松打造WEB服務(wù)器安全策略
        		
    
        
    
        
        發(fā)布時間:  2012/9/9 18:40:37
    
        
  
        
  
        
    
        
       
 從實際應(yīng)用的角度,幫你制定WEB服務(wù)器安全策略。 
        

        
  一、轉(zhuǎn)換角色,把自己當(dāng)作可能的攻擊者 
        

        
  大部分時候,我們?nèi)糁皇钦驹赪EB管理員的角度上考慮問題,可能就發(fā)現(xiàn)不了Web服務(wù)器的漏洞。相反,我們此時若能夠換個角度,把自己當(dāng)作可能的攻擊者,從他們的角色出發(fā),想想他們可能會利用那些手段、哪些Web服務(wù)器的漏洞進行攻擊,或許,我們就可以發(fā)現(xiàn)Web服務(wù)器可能存在的安全漏洞,從而早先一步,修補安全漏洞,防止被木馬或者病毒攻擊。 
        

        
  從公司外面訪問自己的Web服務(wù)器,進行完正的檢測,然后模擬攻擊自己的網(wǎng)站,看看,會有什么樣的結(jié)果。這對于WEB的安全性來說,可能是一種很好的方法。如我們可以假當(dāng)攻擊者,利用掃描工具,對Web服務(wù)器進行掃描,看看有否存在可以被攻擊的服務(wù)。有些東西我們平時可能不會引起我們重視,但是,利用黑客常用的工具進行掃描,就會發(fā)現(xiàn)一些可能會被他們利用的服務(wù)或者漏洞。如在服務(wù)器安裝的時候,操作系統(tǒng)會默認的安裝并啟動一些不需要的服務(wù);或者在服務(wù)器配置的時候,需要啟動一些服務(wù),但是事后沒有及時的關(guān)閉,從而給了不法攻擊者一個攻擊的機會。最常見的如SNMP服務(wù),又稱簡單網(wǎng)絡(luò)管理協(xié)議。這個服務(wù)在系統(tǒng)安裝完畢后,默認情況下是開啟的。但是,這個服務(wù)可以為攻擊者提供服務(wù)器系統(tǒng)的詳細信息,如Web服務(wù)器是采用了什么操作系統(tǒng),在服務(wù)器上開啟了什么服務(wù)與對應(yīng)的端口等等寶貴的信息。攻擊者只有了解這些最基本的信息之后,才能夠開展攻擊。 
        

        
  我們安全管理人員,在平時的時候可能不會發(fā)現(xiàn)這個問題,但是,若能夠利用黑客的掃描工具一掃描,就能夠發(fā)現(xiàn)問題的所在。故筆者認為在必要的時候,需要換個角度,從攻擊的角色出發(fā),考慮他們會采用什么樣的攻擊方法。如此的話,我們才可以避免“當(dāng)局者迷”的錯誤,保障Web服務(wù)器的安全。 
        

        
   二、合理的權(quán)限管理 
        

        
  有時候,在一臺服務(wù)器上,不僅運行了Web服務(wù)器,而且還會運行其他的諸如FTP服務(wù)器之類的網(wǎng)絡(luò)服務(wù)。在同一臺服務(wù)器上應(yīng)用多種網(wǎng)絡(luò)服務(wù)的話,很可能造成服務(wù)之間的相互感染。也就是說,攻擊者只要攻擊一種服務(wù),就可以利用相關(guān)的技術(shù),攻陷另一種應(yīng)用。因為攻擊者之需要攻破其中一種服務(wù),就可以利用這個服務(wù)平臺,從企業(yè)內(nèi)部攻擊其他服務(wù)。而一般來說,從企業(yè)內(nèi)容進行攻擊,要比企業(yè)外部進行攻擊方便的多。 
        

        
  那或許有人會說,那不同服務(wù)采用不同服務(wù)器就可以了。其實,這對于企業(yè)來說,可能是種浪費。因為從性能上講,現(xiàn)在的服務(wù)器上同時部署WEB服務(wù)與FTP服務(wù)的話,是完全可行的,性能不會受到影響。為此,企業(yè)從成本考慮,會采取一個服務(wù)器。而現(xiàn)在給我們安全管理員出了一個難題,就是在兩種、甚至兩種以上的服務(wù)同時部署在一臺服務(wù)器上,如何保障他們的安全,防止他們彼此相互之間感染呢? 
        

        
  筆者現(xiàn)在就遇到這個問題。筆者現(xiàn)在的Web服務(wù)器上運行著三種服務(wù)。一個是傳統(tǒng)等WEB服務(wù);二是FTP服務(wù);三是OA(辦公自動化)服務(wù),因為該服務(wù)是WEB模式的,互聯(lián)網(wǎng)上也可以直接訪問OA服務(wù)器,所以也就把他部署在這臺服務(wù)器上。由于這臺服務(wù)器的配置還是比較高的,所以,運行這三個服務(wù)來說,沒有多少的困難,性能不會有所影響,F(xiàn)在的問題是,如號來保障他們的安全,F(xiàn)TP服務(wù)器、OA服務(wù)器與Web服務(wù)器之間安全上不會相互影響呢? 
        

        
  我現(xiàn)在采用的是Windows2003服務(wù)器,為了實現(xiàn)這個安全需求,把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來說,NTFS分區(qū)比FAT分區(qū)安全性要高的多。利用NTFS分區(qū)自帶的功能,合理為他們分配相關(guān)的權(quán)限。如為這個三個服務(wù)器配置不同的管理員帳戶,而不同的帳戶又只能對特定的分區(qū)與目錄進行訪問。如此的話,即使某個管理員帳戶泄露,則他們也只能夠訪問某個服務(wù)的存儲空間,而不能訪問其他服務(wù)的。如把WEB服務(wù)裝載分區(qū)D,而把FTP服務(wù)放在分區(qū)E。若FTP的帳戶泄露,被攻擊利用;但是,因為FTP帳戶沒有對分區(qū)D具有讀寫的權(quán)利,所以,其不會對Web服務(wù)器上的內(nèi)容進行任何的讀寫操作。這就可以保障,其即時攻陷FTP服務(wù)器后,也不會對Web服務(wù)器產(chǎn)生不良的影響。 
        

        
  雖然說微軟的操作系統(tǒng)價格昂貴,而安全漏洞又比較多,但是,其NTFS分區(qū)上的成就表現(xiàn)還是不差的。在NTFS分區(qū)上,可以實現(xiàn)很大程度的安全管理,保障相關(guān)服務(wù)于數(shù)據(jù)的安全性。所以最后還是采用了微軟的2003操作系統(tǒng)作為服務(wù)器系統(tǒng),而沒有采用Linux系統(tǒng)。 
        

        
    三、腳本安全管理 
        

        
  根據(jù)以往經(jīng)驗,其實很多Web服務(wù)器因為被攻擊而癱瘓,都是由于不良的腳本所造成的。特別是,攻擊者非常喜歡利用CGI程序或者PHP腳本,利用他們的腳本或者程序漏洞,進行攻擊。 
        

        
  如我們的網(wǎng)站就遇到個幾次攻擊,他們利用CGI程序的漏洞,讓外部攻擊者向Web服務(wù)器傳遞了一些不可靠的參數(shù)。一般來說,WEB應(yīng)用需要傳遞一些必要的參數(shù),才能夠正常訪問。而這個參數(shù)又可以分為兩類,一個是可值得信任的參數(shù),另外一類是不值得信任的參數(shù)。如企業(yè)可能是自己管理Web服務(wù)器,而不是托管。他們就把服務(wù)器放置在企業(yè)的防火墻內(nèi)部,以提高Web服務(wù)器的安全性。所以一般來說,來自于企業(yè)防火墻內(nèi)部的參數(shù)都是可靠的,值得信任的;而來自于企業(yè)外部的參數(shù),都是不值得信任的。但是,也不是說不值得信任的參數(shù)或者說,來自于防火墻外部的參數(shù)Web服務(wù)器都不采用。而是說,在Web服務(wù)器設(shè)計的時候,需要注意,采用這些不值得信任的參數(shù)的時候,需要進行檢查,看其是否合法;而不能向來自于企業(yè)內(nèi)部的參數(shù)那樣,不管三七二十一,都照收不誤。這明顯會對Web服務(wù)器的安全帶來威脅。如有時會,攻擊者利用TELNET連接到80端口,就可以向CGL腳本傳遞不安全的參數(shù)。 
        

        
  所以,在CGI程序編寫或者PHP腳本編輯的時候,我們要注意,一定不能讓其隨便接受陌生人的參數(shù),不要隨便跟陌生人打交道。在接受參數(shù)之前,一定要先檢驗提供參數(shù)的人或者參數(shù)本身的合法性。在程序或者腳本編寫的時候,可以預(yù)先加入一些判斷條件。當(dāng)服務(wù)期認為若提供的參數(shù)不合法的時候,及時通知管理員。這也可以幫助我們,盡早的發(fā)現(xiàn)可能存在的攻擊者,并采取相應(yīng)的措施。 
        

        
   對于腳本的安全性來說,要注意以下問題: 
        

        
  1、在腳本或者程序編寫的時候,不應(yīng)該把任何不信任的參數(shù)直接保存為會話變量。因為根據(jù)WEB應(yīng)用的設(shè)計原理,會話變量只保存信任變量。也就是說,會話變量中的值,WEB服務(wù)都認為其是值得信任的,會不加思索的采用。一般的設(shè)計思路是,先設(shè)置一個臨時變量進行存儲,然后編寫一個檢驗其合法性的過程或者函數(shù),來驗證其合法性。只有通過驗證的時候,這個值才能夠被傳給會話變量。根據(jù)筆者的經(jīng)驗,要是沒有親身經(jīng)歷過慘痛教訓(xùn)的WEB管理員,可能對此不屑一顧。但是,那些有過這方面教訓(xùn)的人,則會非常看重這個合法性的檢驗過程。畢竟是吃一塹長一智,所以新手還是需要多聽聽過來人的建議,不會吃虧的。 
        

        
  2、在沒有充分必要的時候,不要采用腳本,盡量使得網(wǎng)頁的簡單化。其實,企業(yè)的網(wǎng)站跟個人網(wǎng)站有個很大的不同,企業(yè)的網(wǎng)站只要樸素就好,不需要過多的渲染。一方面,過度渲染的網(wǎng)站會降低用戶網(wǎng)站訪問的速度;另一方面,這也會降低網(wǎng)絡(luò)的安全性能。故,在沒有充分必要的情況下,不要共腳本或者程序在渲染網(wǎng)站的華而不實的功能。 
        

        
  3、對腳本或者程序的執(zhí)行情況要進行持續(xù)的跟蹤。在萬不得已網(wǎng)站采用了程序或者腳本的時候,則需要定時不定時的對這些腳本或者程序的運行情況進行稽核,看看其有沒有被非法利用的嫌疑。
        本文出自:億恩科技【mszdt.com】
        
      
      
        

		服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
        
              		
    
        

        


 

	

      
        
      
        
    
        
    
        
    
    
    
        
  
        
  

  
        
    
   

        
 

 



        
 
        
   
      2. 您可能在找
        3. 
   
 
        

        




        
	
        
    	
        
    	    
            	
      3. 億恩北京公司:
        4. 
                
      4. 經(jīng)營性ICP/ISP證:京B2-20150015
        5. 
               
                    
    	     
            	
      5. 億恩鄭州公司:
        6. 
                
      6. 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
        7. 
                
                    
        	
            
            	
      7. 億恩南昌公司:
        8. 
                
      8.  經(jīng)營性ICP/ISP證:贛B2-20080012
        9. 
             
                    
            
            
            	
      9. 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
        10. 
                
      10.  虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
        11. 
                    

            
        
        
       
        
       專注服務(wù)器托管17年
       
        掃掃關(guān)注-微信公眾號
        
       
        0371-60135900
        
       
        
      
       
        
       
      
        
      
         
      
      
       
        
         
        
       Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師  
       
       京公網(wǎng)安備41019702002023號
         
        
       
        
   
   


        



        
    
        
        
             
            
             
       
        
        
            0
        
        
    
        
    
        
        
              
        
    
        
    
        
        
             
        
        
    
        
    
        
        
              
        
        
        
            
        
                
        
                     
                    
        0371-60135900
        7*24小時客服服務(wù)熱線