Web服務器安全防范

摘 要 在互聯(lián)網(wǎng)高速發(fā)展的今天，Web服務器已經(jīng)成為互聯(lián)網(wǎng)不可或缺的一部分。隨著Web應用越來越廣泛，攻擊者也將攻擊目標瞄準了Web服務器，所以其安全性也越來越受到人們的重視。本文不僅簡單的介紹了Web服務器，還針對其主要攻擊方法做了一定的防范策略，有效地提高了Web服務器的安全性。

關鍵詞 Web服務；安全防衛(wèi)

中圖分類號 TP393 文獻標識碼 A 文章編號 1673-9671-(2012)071-0144-01

隨著網(wǎng)絡信息化的發(fā)展，基于Web服務的應用越來越多，其安全性也越來越受到人們重視。一旦Web服務器遭到攻擊，不僅無法提供正常服務，而且內(nèi)部信息也會泄露。本來針對Web服務器主流的攻擊手段做了一些介紹以及防范方法。

1 Web服務器簡介

Web服務器也稱為WWW（WORLD WIDE WEB）服務器，主要功能是提供網(wǎng)上信息瀏覽服務。WWW是Internet的多媒體信息查詢工具，是Internet上近年才發(fā)展起來的服務，也是發(fā)展最快和目前用的最廣泛的服務。正是因為有了WWW工具，才使得近年來Internet迅速發(fā)展，且用戶數(shù)量飛速增長。

Web服務器是駐留于因特網(wǎng)上某種類型計算機的程序。當Web瀏覽器（客戶端）連到服務器上并請求文件時，服務器將處理該請求并將文件發(fā)送到該瀏覽器上，附帶的信息會告訴瀏覽器如何查看該文件（即文件類型）。服務器使用HTTP（超文本傳輸協(xié)議）進行信息交流，這就是人們常把它們稱為HTTPD服務器的原因。

Web服務器不僅能夠存儲信息，還能在用戶通過Web瀏覽器提供的信息的基礎上運行腳本和程序。

2 Web服務器面臨主要威脅

由于Web服務器為各種各樣的客戶端提供服務，用戶也是各種各樣的，使得這些應用系統(tǒng)直接的暴漏在了一個很不安全的環(huán)境中，Web服務器無時無刻不受到安全威脅，這些威脅主要包括拒絕服務、分布式拒絕服務、SQL注入攻擊以及跨站腳本攻

擊等。

2.1 拒絕服務攻擊

拒絕服務攻擊是通過某些方法或者手段使得目標主機或者網(wǎng)絡癱瘓，不能正常提供服務。其技術原理簡單，工具化，往往難以防范。其攻擊方式主要分為三種，消耗有限的物理資源、修改配置信息、物理部件的移除或破壞。

2.2 SQL注入

SQL注人往往是利用數(shù)據(jù)庫本身的漏洞或者網(wǎng)頁程序源碼漏洞進行的，在此類攻擊中，攻擊者會把SQL命令插入到Web表單的輸人域或頁面請求的查詢字符串，欺騙服務器執(zhí)行惡意的SQL命令。這些命令往往包括忘數(shù)據(jù)庫中添加惡意信息或者把數(shù)據(jù)庫中原有的信息刪除等，更有甚者有可能從數(shù)據(jù)庫中竊取系統(tǒng)管理員的賬號密碼，從而達到完全控制整個網(wǎng)站系統(tǒng)的目的。

2.3 跨站腳本攻擊

攻擊者向Web頁面中插入惡意腳本沒有被網(wǎng)站過濾，當用戶瀏覽該頁面時，嵌入其中的惡意腳本就會執(zhí)行，從而達到攻擊者的特殊目的。

這類攻擊一般不會對網(wǎng)站主機本身有任何威脅，攻擊者使用某些語言（腳本）以網(wǎng)站主機為跳板對網(wǎng)站使用者進行攻擊，所以才被稱為跨站腳本攻擊。

3 Web服務器安全防護

3.1 安裝防火墻與反病毒軟件

防火墻是一種有效的網(wǎng)絡安全系統(tǒng)，通過它可以隔離風險區(qū)域（Internet或有一定風險的網(wǎng)絡）與安全區(qū)域（局域網(wǎng)）的連接，同時不會妨礙安全區(qū)域?qū)︼L險區(qū)域的訪問。它是軟硬件系統(tǒng)組成的，能通過一定策略控制進出網(wǎng)絡的數(shù)據(jù)。

安裝防火墻后，通過制定一些準入策略，能防范一些非法的主機連接服務器。

3.2 屏蔽不必要的端口

默認情況下，WINDOWS有很多端口是開放的，這也給網(wǎng)絡黑客提供了方便。病毒和黑客可以通過這些開放的端口來侵入服務器。為了提高服務器的安全性，除了一些重要的必備的端口，如80端口為WEB網(wǎng)站服務，21端口為FTP服務，25端口為SMTP服務等等其他端口都可以關閉。

3.3 關閉不必要的服務

操作系統(tǒng)往往會提供許多服務，但這些服務也經(jīng)常被攻擊者利用，所以除非確實需要，最后將這些服務關掉，提高安全性。

3.4 合理的訪問控制

訪問控制機制是為了保證資源的合法性訪問，特定的資源只能被擁有該資源訪問權限的用戶訪問，防止非法訪問。在Web服務器中我們可以針對不同組不同用戶設定不同的訪問權限，以保證系統(tǒng)安全。訪問控制是在身份認證基礎上，依據(jù)授權對提出的資源訪問請求加以控制。即限制已授權的用戶、程序、進程或計算機網(wǎng)絡中其他系統(tǒng)訪問本系統(tǒng)資源的過程。

一般實現(xiàn)方式有訪問控制表，訪問能力表，授權關系表。

3.5 腳本安全維護

很多攻擊者喜歡編寫一些程序?qū)GI程序或者PHP腳本實施攻擊。我們使用網(wǎng)站時，需要向Web服務器傳遞一些必要的參數(shù)，才能夠正常訪問。這個參數(shù)可以分為兩類，一個是值得信任的參數(shù)，另外一類是不值得信任的參數(shù)。在編寫腳本的時候，我們要留心傳入的參數(shù)。我們可以加一些判別條件看參數(shù)是否合法，規(guī)范化，不合要求的一律不準傳入，并且返回錯誤讓系統(tǒng)管理員知道有人在嘗試攻擊，并及時采取防范措施。

3.6 啟用事件日志

啟用日志服務可以記錄黑客的行蹤，管理員可以通過查看日志發(fā)現(xiàn)入侵者的行蹤，做過什么手腳，留下什么后門，以及給系統(tǒng)造成了哪些破壞及隱患，服務器到底還存在哪些安全漏洞等，以便有針對性地實施維護。

4 結(jié)束語

本文介紹了Web服務器的概念，以及面臨的主要威脅和防范方法，隨著互聯(lián)網(wǎng)的不斷發(fā)展，Web服務器已經(jīng)成為不可或缺的一部分，但正因如此，Web服務器也成為眾多攻擊者的主要目標之一，為了防范主流的攻擊，文章簡單介紹了主要防范方法，維護Web安全是一項艱巨的任務，但是我們?nèi)匀豢梢宰鲆恍┝λ芗暗墓ぷ鱽肀ＷCWeb服務安全。

參考文獻

[1]姚瀅，陸建新.網(wǎng)站文件保護系統(tǒng)的研究與實現(xiàn)[J].計算機工程與設計，2007，28(6):1300-1302.

[2]張洪揚，唐學文.用Modsecurity增強Web應用安全[J].網(wǎng)絡安全技術與應用，2007(5):75-77.

[3](美)Marclew M H，Waymire R.Windows2000安全web應用程序設計[M].王建華譯.北京:機械工業(yè)出版社，2001.

[4]張捍衛(wèi)，余升.ASP開發(fā)Web應用程序的安全問題及對策口[J].科技情報開發(fā)與經(jīng)濟，2008(23):167-168.