如何保證Web服務(wù)器安全？

一、在代碼編寫時(shí)就要進(jìn)行漏洞測(cè)試。

十載的西青網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。成都全網(wǎng)營(yíng)銷的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整西青建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)建站從事“西青網(wǎng)站設(shè)計(jì)”,“西青網(wǎng)站推廣”以來(lái)，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控。

三、設(shè)置蜜罐，將攻擊者引向錯(cuò)誤的方向。

四、專人對(duì)Web服務(wù)器的安全性進(jìn)行測(cè)試。

在Web服務(wù)器的攻防戰(zhàn)上，這一個(gè)原則也適用。筆者建議，如果企業(yè)對(duì)于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)，此時(shí)最好設(shè)置一個(gè)專業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色，對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)?！?/p>

一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道?，F(xiàn)在要評(píng)估的是，Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來(lái)說(shuō)，這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)。即使攻擊最后沒(méi)有成功，Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒(méi)有發(fā)現(xiàn)、與最終有沒(méi)有取得成功，是兩個(gè)不同的概念。

二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上。畢竟大部分的攻擊行為，都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的?，F(xiàn)在這個(gè)專業(yè)團(tuán)隊(duì)要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施。有時(shí)候我們都沒(méi)有發(fā)現(xiàn)的漏洞是無(wú)能為力，但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過(guò)。否則的話，也太便宜那些攻擊者了。

如何做好網(wǎng)絡(luò)安全管理？

第一、物理安全\x0d\x0a\x0d\x0a 除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網(wǎng)絡(luò)放在比較隱蔽的地方。我們還要準(zhǔn)備UPS，以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運(yùn)行，在電子學(xué)中，峰值電壓是一個(gè)非常重要的概念，峰值電壓高的時(shí)候可以燒壞電器，迫使網(wǎng)絡(luò)癱瘓，峰值電壓最小的時(shí)候，網(wǎng)絡(luò)根本不能運(yùn)行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網(wǎng)線。\x0d\x0a\x0d\x0a 第二、系統(tǒng)安全（口令安全）\x0d\x0a\x0d\x0a 我們要盡量使用大小寫字母和數(shù)字以及特殊符號(hào)混合的密碼，但是自己要記住，我也見(jiàn)過(guò)很多這樣的網(wǎng)管，他的密碼設(shè)置的的確是復(fù)雜也安全，但是經(jīng)常自己都記不來(lái)，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識(shí)破。\x0d\x0a\x0d\x0a 我們也可以在屏保、重要的應(yīng)用程序上添加密碼，以確保雙重安全。\x0d\x0a\x0d\x0a 第三、打補(bǔ)丁\x0d\x0a\x0d\x0a 我們要及時(shí)的對(duì)系統(tǒng)補(bǔ)丁進(jìn)行更新，大多數(shù)病毒和黑客都是通過(guò)系統(tǒng)漏洞進(jìn)來(lái)的，例如今年五一風(fēng)靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進(jìn)來(lái)的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過(guò)SQL的漏洞進(jìn)來(lái)的。所以我們要及時(shí)對(duì)系統(tǒng)和應(yīng)用程序打上最新的補(bǔ)丁，例如IE、OUTLOOK、SQL、OFFICE等應(yīng)用程序。\x0d\x0a\x0d\x0a 另外我們要把那些不需要的服務(wù)關(guān)閉，例如TELNET，還有關(guān)閉Guset帳號(hào)等。\x0d\x0a\x0d\x0a 第四、安裝防病毒軟件\x0d\x0a\x0d\x0a 病毒掃描就是對(duì)機(jī)器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進(jìn)行掃描，掃描的結(jié)果包括清除病毒，刪除被感染文件，或?qū)⒈桓腥疚募筒《痉旁谝慌_(tái)隔離文件夾里面。所以我們要對(duì)全網(wǎng)的機(jī)器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器知道客戶機(jī)都要安裝殺毒軟件，并保持最新的病毒定義碼。我們知道病毒一旦進(jìn)入電腦，他會(huì)瘋狂的自我復(fù)制，遍布全網(wǎng)，造成的危害巨大，甚至可以使得系統(tǒng)崩潰，丟失所有的重要資料。所以我們要至少每周一次對(duì)全網(wǎng)的電腦進(jìn)行集中殺毒，并定期的清除隔離病毒的文件夾。\x0d\x0a\x0d\x0a 現(xiàn)在有很多防火墻等網(wǎng)關(guān)產(chǎn)品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國(guó)飛塔Fortigate防火墻就是，她具有防病毒的功能。\x0d\x0a\x0d\x0a 第五、應(yīng)用程序\x0d\x0a\x0d\x0a 我們都知道病毒有超過(guò)一半都是通過(guò)電子郵件進(jìn)來(lái)的，所以除了在郵件服務(wù)器上安裝防病毒軟件之外，還要對(duì)PC機(jī)上的outlook防護(hù)，我們要提高警惕性，當(dāng)收到那些無(wú)標(biāo)題的郵件，或是你不認(rèn)識(shí)的人發(fā)過(guò)來(lái)的，或是全是英語(yǔ)例如什么happy99，money，然后又帶有一個(gè)附件的郵件，建議您最好直接刪除，不要去點(diǎn)擊附件，因?yàn)榘俜种攀陨鲜遣《尽Ｎ仪岸螘r(shí)間就在一個(gè)政府部門碰到這樣的情況，他們單位有三個(gè)人一直收到郵件，一個(gè)小時(shí)竟然奇跡般的收到了2000多封郵件，致使最后郵箱爆破，起初他們懷疑是黑客進(jìn)入了他們的網(wǎng)絡(luò)，最后當(dāng)問(wèn)到這幾個(gè)人他們都說(shuō)收到了一封郵件，一個(gè)附件，當(dāng)去打開(kāi)附件的時(shí)候，便不斷的收到郵件了，直至最后郵箱撐破。最后查出還是病毒惹的禍。\x0d\x0a\x0d\x0a 除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過(guò)慮的功能。\x0d\x0a\x0d\x0a 很多黑客都是通過(guò)你訪問(wèn)網(wǎng)頁(yè)的時(shí)候進(jìn)來(lái)的，你是否經(jīng)常碰到這種情況，當(dāng)你打開(kāi)一個(gè)網(wǎng)頁(yè)的時(shí)候，會(huì)不斷的跳出非常多窗口，你關(guān)都關(guān)不掉，這就是黑客已經(jīng)進(jìn)入了你的電腦，并試圖控制你的電腦。\x0d\x0a\x0d\x0a 所以我們要將IE的安全性調(diào)高一點(diǎn)，經(jīng)常刪除一些cookies和脫機(jī)文件，還有就是禁用那些Active X的控件。\x0d\x0a\x0d\x0a 第六、代理服務(wù)器\x0d\x0a\x0d\x0a 代理服務(wù)器最先被利用的目的是可以加速訪問(wèn)我們經(jīng)?？吹木W(wǎng)站，因?yàn)榇矸?wù)器都有緩沖的功能，在這里可以保留一些網(wǎng)站與IP地址的對(duì)應(yīng)關(guān)系。\x0d\x0a\x0d\x0a 要想了解代理服務(wù)器，首先要了解它的工作原理：\x0d\x0a\x0d\x0a 環(huán)境：局域網(wǎng)里面有一臺(tái)機(jī)器裝有雙網(wǎng)卡，充當(dāng)代理服務(wù)器，其余電腦通過(guò)它來(lái)訪問(wèn)網(wǎng)絡(luò)。\x0d\x0a\x0d\x0a 1、內(nèi)網(wǎng)一臺(tái)機(jī)器要訪問(wèn)新浪，于是將請(qǐng)求發(fā)送給代理服務(wù)器。\x0d\x0a\x0d\x0a 2、代理服務(wù)器對(duì)發(fā)來(lái)的請(qǐng)求進(jìn)行檢查，包括題頭和內(nèi)容，然后去掉不必要的或違反約定的內(nèi)容。\x0d\x0a\x0d\x0a 3、代理服務(wù)器重新整合數(shù)據(jù)包，然后將請(qǐng)求發(fā)送給下一級(jí)網(wǎng)關(guān)。\x0d\x0a\x0d\x0a 4、新浪網(wǎng)回復(fù)請(qǐng)求，找到對(duì)應(yīng)的IP地址。\x0d\x0a\x0d\x0a 5、代理服務(wù)器依然檢查題頭和內(nèi)容是否合法，去掉不適當(dāng)?shù)膬?nèi)容。\x0d\x0a\x0d\x0a 6、重新整合請(qǐng)求，然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺(tái)機(jī)器。\x0d\x0a\x0d\x0a 由此可以看出，代理服務(wù)器的優(yōu)點(diǎn)是可以隱藏內(nèi)網(wǎng)的機(jī)器，這樣可以防止黑客的直接攻擊，另外可以節(jié)省公網(wǎng)IP。缺點(diǎn)就是每次都要經(jīng)由服務(wù)器，這樣訪問(wèn)速度會(huì)變慢。另外當(dāng)代理服務(wù)器被攻擊或者是損壞的時(shí)候，其余電腦將不能訪問(wèn)網(wǎng)絡(luò)。\x0d\x0a\x0d\x0a 第七、防火墻\x0d\x0a\x0d\x0a 提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過(guò)濾。實(shí)際上在數(shù)據(jù)包過(guò)濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。\x0d\x0a\x0d\x0a 數(shù)據(jù)包過(guò)濾，就是通過(guò)查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。\x0d\x0a\x0d\x0a 舉個(gè)簡(jiǎn)單的例子，假如體育中心有一場(chǎng)劉德華演唱會(huì)，檢票員坐鎮(zhèn)門口，他首先檢查你的票是否對(duì)應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會(huì)現(xiàn)場(chǎng)在哪里，告訴你怎么走。這個(gè)基本上就是數(shù)據(jù)包過(guò)濾的工作流程吧。\x0d\x0a\x0d\x0a 你也許經(jīng)常聽(tīng)到你們老板說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒(méi)有一個(gè)老板會(huì)說(shuō)：要增加一臺(tái)機(jī)器它可以禁止我們不愿意訪問(wèn)的數(shù)據(jù)包。實(shí)際意思就是這樣。接下來(lái)我們推薦幾個(gè)常用的數(shù)據(jù)包過(guò)濾工具。

維護(hù)Windows網(wǎng)絡(luò)服務(wù)器安全的技巧

對(duì)網(wǎng)絡(luò)服務(wù)器的惡意網(wǎng)絡(luò)行為包括兩個(gè)方面：一是惡意的攻擊行為，如拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒等等，這些行為旨在消耗服務(wù)器資源，影響服務(wù)器的正常運(yùn)作，甚至服務(wù)器所在網(wǎng)絡(luò)的癱瘓;另外一個(gè)就是惡意的入侵行為，這種行為更是會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務(wù)器。所以我們要保證網(wǎng)絡(luò)服務(wù)器的安全可以說(shuō)就是盡量減少網(wǎng)絡(luò)服務(wù)器受這兩種行為的影響。

(一) 構(gòu)建好你的硬件安全防御系統(tǒng)

選用一套好的安全系統(tǒng)模型。一套完善的安全模型應(yīng)該包括以下一些必要的組件：防火墻、入侵檢測(cè)系統(tǒng)、路由系統(tǒng)等。

防火墻在安全系統(tǒng)中扮演一個(gè)保安的角色，可以很大程度上保證來(lái)自網(wǎng)絡(luò)的非法訪問(wèn)以及數(shù)據(jù)流量攻擊，如拒絕服務(wù)攻擊等;入侵檢測(cè)系統(tǒng)則是扮演一個(gè)監(jiān)視器的角色，監(jiān)視你的服務(wù)器出入口，非常智能地過(guò)濾掉那些帶有入侵和攻擊性質(zhì)的訪問(wèn)。

(二) 選用英文的操作系統(tǒng)

要知道，windows畢竟美國(guó)微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠(yuǎn)遠(yuǎn)要比英文版多，而中文版的補(bǔ)丁向來(lái)是比英文版出的晚，也就是說(shuō)，如果你的服務(wù)器上裝的是中文版的windows系統(tǒng)，微軟漏洞公布之后你還需要等上一段時(shí)間才能打好補(bǔ)丁，也許黑客、病毒就利用這段時(shí)間入侵了你的系統(tǒng)。

如何防止黑客入侵

首先，世界上沒(méi)有絕對(duì)安全的'系統(tǒng)。我們只可以盡量避免被入侵，最大的程度上減少傷亡。

　 　(一) 采用NTFS文件系統(tǒng)格式

大家都知道，我們通常采用的文件系統(tǒng)是FAT或者FAT32，NTFS是微軟Windows NT內(nèi)核的系列操作系統(tǒng)支持的、一個(gè)特別為網(wǎng)絡(luò)和磁盤配額、文件加密等管理安全特性設(shè)計(jì)的磁盤格式。NTFS文件系統(tǒng)里你可以為任何一個(gè)磁盤分區(qū)單獨(dú)設(shè)置訪問(wèn)權(quán)限。把你自己的敏感信息和服務(wù)信息分別放在不同的磁盤分區(qū)。這樣即使黑客通過(guò)某些方法獲得你的服務(wù)文件所在磁盤分區(qū)的訪問(wèn)權(quán)限，還需要想方設(shè)法突破系統(tǒng)的安全設(shè)置才能進(jìn)一步訪問(wèn)到保存在其他磁盤上的敏感信息。

(二)做好系統(tǒng)備份

常言道，“有備無(wú)患”，雖然誰(shuí)都不希望系統(tǒng)突然遭到破壞，但是不怕一萬(wàn)，就怕萬(wàn)一，作好服務(wù)器系統(tǒng)備份，萬(wàn)一遭破壞的時(shí)候也可以及時(shí)恢復(fù)。

(三)關(guān)閉不必要的服務(wù)，只開(kāi)該開(kāi)的端口

關(guān)閉那些不必要開(kāi)的服務(wù)，做好本地管理和組管理。Windows系統(tǒng)有很多默認(rèn)的服務(wù)其實(shí)沒(méi)必要開(kāi)的，甚至可以說(shuō)是危險(xiǎn)的，比如：默認(rèn)的共享遠(yuǎn)程注冊(cè)表訪問(wèn)(Remote Registry Service)，系統(tǒng)很多敏感的信息都是寫在注冊(cè)表里的，如pcanywhere的加密密碼等。

關(guān)閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統(tǒng)的敏感信息，如windows 2000 server默認(rèn)開(kāi)啟的IIS服務(wù)就告訴對(duì)方你的操作系統(tǒng)是windows 2000。69端口告訴黑客你的操作系統(tǒng)極有可能是linux或者unix系統(tǒng)，因?yàn)?9是這些操作系統(tǒng)下默認(rèn)的tftp服務(wù)使用的端口。對(duì)端口的進(jìn)一步訪問(wèn)，還可以返回該服務(wù)器上軟件及其版本的一些信息，這些對(duì)黑客的入侵都提供了很大的幫助。此外，開(kāi)啟的端口更有可能成為黑客進(jìn)入服務(wù)器的門戶。總之，做好TCP/IP端口過(guò)濾不但有助于防止黑客入侵，而且對(duì)防止病毒也有一定的幫助。

　 　（ 四)軟件防火墻、殺毒軟件

雖然我們已經(jīng)有了一套硬件的防御系統(tǒng)，但是“保鏢”多幾個(gè)也不是壞事。

(五)開(kāi)啟你的事件日志

雖然開(kāi)啟日志服務(wù)雖然說(shuō)對(duì)阻止黑客的入侵并沒(méi)有直接的作用，但是通過(guò)他記錄黑客的行蹤，我們可以分析入侵者在我們的系統(tǒng)上到底做過(guò)什么手腳，給我們的系統(tǒng)到底造成了哪些破壞及隱患，黑客到底在我們的系統(tǒng)上留了什么樣的后門，我們的服務(wù)器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設(shè)置密罐，等待黑客來(lái)入侵，在他入侵的時(shí)候把他逮個(gè)正著。

如何做好網(wǎng)絡(luò)安全防范

做好網(wǎng)絡(luò)安全防范的方法如下：

1、制定并實(shí)施網(wǎng)絡(luò)安全管理制度，包括服務(wù)器以及個(gè)人主機(jī)安全管理、包括個(gè)級(jí)別權(quán)限管理等等。

2、制定并實(shí)施網(wǎng)絡(luò)安全日常工作程序，包括監(jiān)測(cè)上網(wǎng)行為、包括入侵監(jiān)測(cè)。

3、從技術(shù)層面上，需要一臺(tái)防火墻進(jìn)行包過(guò)濾以及日志記錄或者作一臺(tái)代理服務(wù)器進(jìn)行上網(wǎng)行為管理并進(jìn)行日志記錄。

4、局域網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)管理。包括操作系統(tǒng)防病毒，更新補(bǔ)丁等工作。堡壘往往是從內(nèi)部攻破內(nèi)部計(jì)算機(jī)中毒主動(dòng)向外發(fā)送數(shù)據(jù)，造成泄密，這已經(jīng)是很常見(jiàn)的事情，所以做好主機(jī)防護(hù)很重要。

更多關(guān)于如何做好網(wǎng)絡(luò)安全防范，進(jìn)入：查看更多內(nèi)容