Web服务器安全防范:服务器怎么做安全防范

　　摘?要 在互联网高速发展的今天，Web服务器已经成为互联网不可或缺的一部分。随着Web应用越来越广泛，攻击者也将攻击目标瞄准了Web服务器，所以其安全性也越来越受到人们的重视。本文不仅简单的介绍了Web服务器，还针对其主要攻击方法做了一定的防范策略，有效地提高了Web服务器的安全性。
　　关键词 Web服务；安全防卫
　　中图分类号 TP393 文献标识码 A 文章编号 1673-9671-(2012)071-0144-01
　　随着网络信息化的发展，基于Web服务的应用越来越多，其安全性也越来越受到人们重视。一旦Web服务器遭到攻击，不仅无法提供正常服务，而且内部信息也会泄露。本来针对Web服务器主流的攻击手段做了一些介绍以及防范方法。
　　1 Web服务器简介
　　Web服务器也称为WWW（WORLD WIDE WEB）服务器，主要功能是提供网上信息浏览服务。WWW是Internet的多媒体信息查询工具，是Internet上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。正是因为有了WWW工具，才使得近年来Internet迅速发展，且用户数量飞速增长。
　　Web服务器是驻留于因特网上某种类型计算机的程序。当Web浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型）。服务器使用HTTP（超文本传输协议）进行信息交流，这就是人们常把它们称为HTTPD服务器的原因。
　　Web服务器不仅能够存储信息，还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
　　2 Web服务器面临主要威胁
　　由于Web服务器为各种各样的客户端提供服务，用户也是各种各样的，使得这些应用系统直接的暴漏在了一个很不安全的环境中，Web服务器无时无刻不受到安全威胁，这些威胁主要包括拒绝服务、分布式拒绝服务、SQL注入攻击以及跨站脚本攻
　　击等。
　　2.1 拒绝服务攻击
　　拒绝服务攻击是通过某些方法或者手段使得目标主机或者网络瘫痪，不能正常提供服务。其技术原理简单，工具化，往往难以防范。其攻击方式主要分为三种，消耗有限的物理资源、修改配置信息、物理部件的移除或破坏。
　　2.2 SQL注入
　　SQL注人往往是利用数据库本身的漏洞或者网页程序源码漏洞进行的，在此类攻击中，攻击者会把SQL命令插入到Web表单的输人域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。这些命令往往包括忘数据库中添加恶意信息或者把数据库中原有的信息删除等，更有甚者有可能从数据库中窃取系统管理员的账号密码，从而达到完全控制整个网站系统的目的。
　　2.3 跨站脚本攻击
　　攻击者向Web页面中插入恶意脚本没有被网站过滤，当用户浏览该页面时，嵌入其中的恶意脚本就会执行，从而达到攻击者的特殊目的。
　　这类攻击一般不会对网站主机本身有任何威胁，攻击者使用某些语言（脚本）以网站主机为跳板对网站使用者进行攻击，所以才被称为跨站脚本攻击。
　　3 Web服务器安全防护
　　3.1 安装防火墙与反病毒软件
　　防火墙是一种有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问。它是软硬件系统组成的，能通过一定策略控制进出网络的数据。
　　安装防火墙后，通过制定一些准入策略，能防范一些非法的主机连接服务器。
　　3.2 屏蔽不必要的端口
　　默认情况下，WINDOWS有很多端口是开放的，这也给网络黑客提供了方便。病毒和黑客可以通过这些开放的端口来侵入服务器。为了提高服务器的安全性，除了一些重要的必备的端口，如80端口为WEB网站服务，21端口为FTP服务，25端口为SMTP服务等等其他端口都可以关闭。
　　3.3 关闭不必要的服务
　　操作系统往往会提供许多服务，但这些服务也经常被攻击者利用，所以除非确实需要，最后将这些服务关掉，提高安全性。
　　3.4 合理的访问控制
　　访问控制机制是为了保证资源的合法性访问，特定的资源只能被拥有该资源访问权限的用户访问，防止非法访问。在Web服务器中我们可以针对不同组不同用户设定不同的访问权限，以保证系统安全。访问控制是在身份认证基础上，依据授权对提出的资源访问请求加以控制。即限制已授权的用户、程序、进程或计算机网络中其他系统访问本系统资源的过程。
　　一般实现方式有访问控制表，访问能力表，授权关系表。
　　3.5 脚本安全维护
　　很多攻击者喜欢编写一些程序对CGI程序或者PHP脚本实施攻击。我们使用网站时，需要向Web服务器传递一些必要的参数，才能够正常访问。这个参数可以分为两类，一个是值得信任的参数，另外一类是不值得信任的参数。在编写脚本的时候，我们要留心传入的参数。我们可以加一些判别条件看参数是否合法，规范化，不合要求的一律不准传入，并且返回错误让系统管理员知道有人在尝试攻击，并及时采取防范措施。
　　3.6 启用事件日志
　　启用日志服务可以记录黑客的行踪，管理员可以通过查看日志发现入侵者的行踪，做过什么手脚，留下什么后门，以及给系统造成了哪些破坏及隐患，服务器到底还存在哪些安全漏洞等，以便有针对性地实施维护。
　　4 结束语
　　本文介绍了Web服务器的概念，以及面临的主要威胁和防范方法，随着互联网的不断发展，Web服务器已经成为不可或缺的一部分，但正因如此，Web服务器也成为众多攻击者的主要目标之一，为了防范主流的攻击，文章简单介绍了主要防范方法，维护Web安全是一项艰巨的任务，但是我们仍然可以做一些力所能及的工作来保证Web服务安全。
　　参考文献
　　[1]姚滢,陆建新.网站文件保护系统的研究与实现[J].计算机工程与设计,2007,28(6):1300-1302.
　　[2]张洪扬,唐学文.用Modsecurity增强Web应用安全[J].网络安全技术与应用,2007(5):75-77.
　　[3](美)Marclew M H,Waymire R.Windows2000安全web应用程序设计[M].王建华译.北京:机械工业出版社,2001.
　　[4]张捍卫,余升.ASP开发Web应用程序的安全问题及对策口[J].科技情报开发与经济,2008(23):167-168.