基于IPS技術(shù)構(gòu)建安全網(wǎng)站

摘 要：文章首先指出目前大多數(shù)企業(yè)都有自己的獨立網(wǎng)站，然后分析了目前網(wǎng)站的安全現(xiàn)狀，所采取得安全技術(shù)各自的缺點，最后給出了基于IPS技術(shù)的安全網(wǎng)站模型。

關(guān)鍵詞：網(wǎng)站安全；防火墻；病毒；IPS

1 引言

中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2011年下半年中國中小企業(yè)互聯(lián)網(wǎng)應(yīng)用狀況調(diào)查報告顯示，88.8%的受訪中小企業(yè)在辦公中使用了計算機(jī)82.1%使用了互聯(lián)網(wǎng)，44.3%的受訪中小企業(yè)擁有獨立網(wǎng)站或網(wǎng)店，可見，各個中小企業(yè)都在構(gòu)建自己的網(wǎng)絡(luò)平臺，為了更好的提供信息發(fā)布、資料查詢、數(shù)據(jù)處理、網(wǎng)絡(luò)辦公、視頻點播、技術(shù)支持等，WEB服務(wù)就成為了企業(yè)網(wǎng)絡(luò)中最為常見和重要的服務(wù)。然而惡意代碼、病毒、黑客、不良網(wǎng)站、人為干擾等不安全因素對企業(yè)網(wǎng)的正常發(fā)展造成了一定的障礙，出于安全的考慮，企業(yè)網(wǎng)可以對互聯(lián)網(wǎng)的使用做出許多限制，然而這種限制對企業(yè)內(nèi)部使用互聯(lián)網(wǎng)又造成影響。因此如何保證網(wǎng)絡(luò)尤其是網(wǎng)站安全就成為了企業(yè)網(wǎng)絡(luò)中心負(fù)責(zé)人的重要任務(wù)。

2 web服務(wù)器安全

2.1 web服務(wù)器安全現(xiàn)狀分析

在信息化建設(shè)中網(wǎng)站作用日益突出， 然而，其安全狀況又怎么樣呢，我們可以參照CNCERT/CC的2007年度安全報告如圖1-1所示。

圖1-1 中國大陸被篡改網(wǎng)頁數(shù)量年份統(tǒng)計 2003-2007

雖然以上數(shù)據(jù)不是最新的數(shù)據(jù)，07年CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228 個，比2006年增加了 1.5 倍，而且以上統(tǒng)計數(shù)據(jù)均基于報案事件，且只是網(wǎng)頁被篡改，未報案、或者網(wǎng)站掛馬事件不包含在其中。通過以上數(shù)據(jù)我們可以看到網(wǎng)站的安全問題日益突出，主要有以下兩方面的因素：

（1）網(wǎng)站建設(shè)、維護(hù)力量薄弱：很多網(wǎng)站沒有專門的網(wǎng)站建設(shè)部門，多采用外包形式并且沒有專門的維護(hù)人員的網(wǎng)站更是非常普遍，更別說安全人員的配備。

（2）作為黑客的門檻卻很低：隨處可見的免費的黑客工具；針對這些黑客工具的使用教程唾手可得；甚至工具使用的視頻教程也遍布網(wǎng)路。

2.2 web服務(wù)器安全防范

常見的web服務(wù)都是分為三層結(jié)構(gòu)，其中任何一層出現(xiàn)問題就可能會導(dǎo)致整個站點的安全受到威脅。然而不幸的是任何一個層面都會有或大或小的漏洞。最底層的操作系統(tǒng)，web服務(wù)器都是架設(shè)在操作系統(tǒng)之上的，不論是常用的windows操作系統(tǒng)，還是linux操作系統(tǒng)，都存在自身的漏洞或BUG，都會被黑客遠(yuǎn)程運(yùn)用；中間層比如常用的IIS、.NET、SQLServer也存在自身的漏洞；最上層的網(wǎng)頁程序，漏洞就更多了，家喻戶曉的SQL注入攻擊就出現(xiàn)在這個層面。

面對諸多的安全安全威脅，防火墻、lDs、IPs作為常用的網(wǎng)絡(luò)安全設(shè)備。在企業(yè)網(wǎng)網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用越來越廣泛，然而面對當(dāng)今的混合威脅，傳統(tǒng)的安全系統(tǒng)如圖1-2所示已經(jīng)無法滿足安全的需求。

（1）AV防病毒系統(tǒng)屬于被動防護(hù)，能檢測病毒，防止Web服務(wù)器被病毒傳染，而對于新的未知病毒，防病毒軟件無法檢測出，因此，在從發(fā)現(xiàn)新病毒到廠商更新病毒特征碼的這段時間內(nèi)，公司網(wǎng)絡(luò)系統(tǒng)將有可能受到損害。而且它不能檢測惡意代碼（網(wǎng)頁掛馬）及Web漏洞。

（2）防火墻的目標(biāo)是用于網(wǎng)絡(luò)訪問控制，然而針對Web服務(wù)器的攻擊，許多是直接對應(yīng)用層的漏洞發(fā)起的攻擊行為，他們能夠直接通過 80端口來完成攻擊的行為。對于黑客經(jīng)常使用的緩沖區(qū)溢出等應(yīng)用或攻擊OS弱點無能為力；另外，對于通過郵件傳播的病毒，防火墻也無法阻擋。而且，黑客的攻擊都是利用防火墻允許通過的協(xié)議發(fā)起的針對主機(jī)漏洞的攻擊。

（3）各種掃描軟件如Scanner，能掃描主機(jī)系統(tǒng)和應(yīng)用軟件漏洞但卻可不能掃描Web服務(wù)漏洞。

通過數(shù)據(jù)統(tǒng)計我們得知目前常見web攻擊包括SQL 注入、跨站腳本、病毒蠕蟲和木馬、惡意探測和掃描等，而在這些攻擊中SQL 注入和跨站腳本攻擊所占比例最大，也就是說都屬于應(yīng)用層攻擊。但對于這些攻擊，我們的防火墻、防病毒軟件、各種掃描軟件都無能為力，我們應(yīng)該針對應(yīng)用層做防御，這就需要我們的入侵防御設(shè)備IPS。

2.3 基于IPS的web服務(wù)器安全

入侵防御系統(tǒng)（IPS）是一個集成入侵防御與檢測、病毒過濾、帶寬維護(hù)和URL過濾等功能的一個綜合性的防御系統(tǒng)。對于Web服務(wù)器來說，其基本上涵蓋了上中下三個層面的內(nèi)容。為此借助IPS技能，就能夠為Web服務(wù)器構(gòu)建一個立體的Web防護(hù)網(wǎng)如圖1-3所示。

圖1-3 基于IPS的web網(wǎng)站安全建設(shè)

IPS融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，把它串行部署于web服務(wù)器前端，有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、SQL注入等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。同時，IPS能提供簡潔實用的分析結(jié)果信息，而不是混亂的原始數(shù)據(jù)，因而有效地降低了監(jiān)控和分析數(shù)據(jù)所需的成本。

3 總結(jié)

總之，通過使用IPS技術(shù)，不但可以控制各種濫用網(wǎng)絡(luò)資源的行為，并且可以有效的抵御來自外部的各種惡意攻擊行為，同時可以消除由于攻擊所造成的時間和人員的成本。

參考文獻(xiàn)

[1]http：//www.cnnic.cn/

[2]薛輝，鄧軍.淺析入侵防御技術(shù)現(xiàn)狀與發(fā)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2011.4.

[3]黑盾入侵防御系統(tǒng)技術(shù)白皮書 V3.1

[4]馮超.基于SOA的WebServices安全技術(shù)研究[j].計算機(jī)與數(shù)字工程，2009.5.

作者簡介：王麗華（1973，2-），女，河北石家莊人，碩士研究生，石家莊職業(yè)技術(shù)學(xué)院講師。