&

會做網(wǎng)站，并不見得能做好網(wǎng)站！

網(wǎng)站服務器通用和專用保護方法比較分析

一：網(wǎng)站的通用保護方法

　　針對黑客威脅，網(wǎng)絡安全管理員采取各種手段增強服務器的安全，確保WWW服務的正常運行。象在Internet上的Email、ftp等服務器一樣，可以用如下的方法來對WWW服務器進行保護：

　　安全配置

　　關閉不必要的服務，最好是只提供WWW服務，安裝操作系統(tǒng)的最新補丁，將WWW服務升級到最新版本并安裝所有補丁，對根據(jù)WWW服務提供者的安全建議進行配置等，這些措施將極大提供WWW服務器本身的安全。

　　防火墻

　　安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報告來阻止來自某些特定IP地址范圍的機器連接，給WWW服務器增加一個防護層，同時需要對防火墻內(nèi)的網(wǎng)絡環(huán)境進行調(diào)整，消除內(nèi)部網(wǎng)絡的安全隱患。

　　漏洞掃描

　　使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級或修改配置等正常的維護工作不會帶來安全問題。

　　入侵檢測系統(tǒng)

　　利用入侵檢測系統(tǒng)（IDS）的實時監(jiān)控能力，發(fā)現(xiàn)正在進行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。

　　這些安全措施都將極大提供WWW服務器的安全，減少被攻擊的可能性。

　　二：網(wǎng)站的專用保護方法

　　盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術高明的黑客還是能突破層層保護，獲得系統(tǒng)的控制權限，從而達到破壞主頁的目的。這種情況下，一些網(wǎng)絡安全公司推出了專門針對網(wǎng)站的保護軟件，只保護網(wǎng)站最重要的內(nèi)容--網(wǎng)頁。一旦檢測到被保護的文件發(fā)生了{非正常的}改變，就進行恢復。一般情況下，系統(tǒng)首先需要對正常的頁面文件進行備份，然后啟動檢測機制，檢查文件是否被修改，如果被修改就需要進行恢復。我們對以下幾個方面的技術進行分析比較：

　　監(jiān)測方式

　　本地和遠程：檢測可以是在本地運行一個監(jiān)測端，也可以在網(wǎng)絡上的另一臺主機。如果是本地的話，監(jiān)測端進程需要足夠的權限讀取被保護目錄或文件。監(jiān)測端如果在遠端的話，WWW服務器需要開放一些服務并給監(jiān)測端相應的權限，較常見的方式是直接利用服務器的開放的WWW服務，使用HTTP協(xié)議來監(jiān)測被保護的文件和目錄。也可利用其它常用協(xié)議來檢測保護文件和目錄，如FTP等。采用本地方式檢測的優(yōu)點是效率高，而遠程方式則具有平臺無關性，但會增加網(wǎng)絡流量等負擔。

　　定時和觸發(fā)：絕大部分保護軟件是使用的定時檢測的方式，不論在本地還是遠程檢測都是根據(jù)系統(tǒng)設定的時間定時檢測，還可將被保護的網(wǎng)頁分為不同等級，等級高的檢測時間間隔可以設得較短，以獲得較好的實時性，而將保護等級較低的網(wǎng)頁文件檢測時間間隔設得較長，以減輕系統(tǒng)的負擔。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時得到通知，這種方法的優(yōu)點是效率高，但無法實現(xiàn)遠程檢測。

　　比較方法

　　在判斷文件是否被修改時，往往采用被保護目錄和備份庫中的文件進行比較，比較最常見的方式全文比較。使用全文比較能直接、準確地判斷出該文件是否被修改。然而全文比較在文件較大較多時效率十分低下，一些保護軟件就采用文件的屬性如文件大小、創(chuàng)建修改時間等進行比較，這種方法雖然簡單高效，但也有嚴重的缺陷：{惡意入侵者}可以通過精心構造，把替換文件的屬性設置得和原文件完全相同，{從而使被惡意更改的文件無法被檢測出來}。另一種方案就是比較文件的數(shù)字簽名，最常見的是MD5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。

　　恢復方式

　　恢復方式與備份庫存放的位置直接相關。如果備份庫存放在本地的話，恢復進程必須有寫被保護目錄或文件的權限。如果在遠程則需要通過文件共享或FTP的方式來進行，那么需要文件共享或FTP的帳號，并且該帳號擁有對被保護目錄或文件的寫權限。

　　備份庫的安全

　　當黑客發(fā)現(xiàn)其更換的主頁很快被恢復時，往往會激發(fā)起進一步破壞的欲望，此時備份庫的安全尤為重要。網(wǎng)頁文件的安全就轉變?yōu)閭浞輲斓陌踩�。對備份庫的保護一種是通過文件隱藏來實現(xiàn)，讓黑客無法找到備份目錄。另一種方法是對備份庫進行數(shù)字簽名，如果黑客修改了備份庫的內(nèi)容，保護軟件可以通過簽名發(fā)現(xiàn)，就可停止WWW服務或使用一個默認的頁面。

　　通過以上分析比較我們發(fā)現(xiàn)各種技術都有其優(yōu)缺點，需要結合實際的網(wǎng)絡環(huán)境來選擇最適合的技術方案。

　　三：網(wǎng)站保護的缺陷

　　盡管網(wǎng)站保護軟件能進一步提高系統(tǒng)的安全，仍然存在一些缺陷。首先這些保護軟件都是針對靜態(tài)頁面而設計，而現(xiàn)在動態(tài)頁面占據(jù)的范圍越來越大，盡管本地監(jiān)測方式可以檢測腳本文件，但對腳本文件使用的數(shù)據(jù)庫卻無能為力。

　　另外，有些攻擊并不是針對頁面文件進行的，前不久泛濫成災的"Red Code"就是使用修改IIS服務的一個動態(tài)庫來達到攻擊頁面的目的。另一個方面，網(wǎng)站保護軟件本身會增加WWW服務器的負載，在WWW服務器負載本身已經(jīng)很重的情況下，一定好仔細規(guī)劃好使用方案。

　　四：結論

　　本文討論了網(wǎng)站常用的保護方法，詳細地分析比較了專用網(wǎng)站保護軟件采用的各種技術實現(xiàn)和優(yōu)缺點，并指出了其缺陷。安全雖不是使用某個工具或某些工具就可以解決的，但使用這些工具能幫助提高安全性，減少安全風險。

鄂公網(wǎng)安備 42088102000008號

国产午夜在线精品电影_亚洲最大的欧美日韩在线_新av一区二区三区_2018AV无码视频在线播放