Web安全與防火墻技術(shù)分析

◆陳曉海

（廣東農(nóng)工商職業(yè)技術(shù)學(xué)院 廣東 510507）

Web安全與防火墻技術(shù)分析

◆陳曉海

（廣東農(nóng)工商職業(yè)技術(shù)學(xué)院 廣東 510507）

伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和計(jì)算機(jī)的普及，計(jì)算機(jī)的安全系統(tǒng)始終是相關(guān)工作者和用戶關(guān)注的重點(diǎn)問題。本文在分析了Web系統(tǒng)安全現(xiàn)狀的基礎(chǔ)上，對(duì)在Web上如何提高系統(tǒng)安全性和穩(wěn)定性提出一些針對(duì)性的措施。

Web；防火墻；服務(wù)器

1 Web安全概述

計(jì)算機(jī)安全指的是防治計(jì)算機(jī)病毒和系統(tǒng)安全的研究。并且隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和計(jì)算機(jī)的普及應(yīng)用，計(jì)算機(jī)的安全防范也在不斷擴(kuò)大。除了病毒的防治，還要保證系統(tǒng)能夠抵抗外來非法黑客的入侵，保證對(duì)遠(yuǎn)程傳送數(shù)據(jù)的保密性，避免數(shù)據(jù)在傳輸?shù)倪^程中被竊取。可以說，計(jì)算機(jī)安全是一個(gè)很大的課題，涉及到諸多方面，本文的內(nèi)容重點(diǎn)在于對(duì)計(jì)算機(jī)安全中 Web安全技術(shù)的分析和措施的制定。

1.1 Web安全現(xiàn)狀

Web作為一種超文本信息系統(tǒng)，具有超鏈接、超媒體的特性，因此許多領(lǐng)域都會(huì)在通過在以 Web 應(yīng)用為基礎(chǔ)的平臺(tái)中對(duì)主要工作進(jìn)行處理，如電子政務(wù)、電子商務(wù)、網(wǎng)上銀行、和網(wǎng)上報(bào)名等。

在Web 應(yīng)用越來越廣泛并且多樣的同時(shí)，Web所創(chuàng)造的巨大經(jīng)濟(jì)利益也讓它開始變成了網(wǎng)絡(luò)攻擊主要目標(biāo)，以網(wǎng)頁篡改、網(wǎng)頁掛馬、SQL 注入等為代表的多種惡意網(wǎng)絡(luò)攻擊形式發(fā)生頻率越來越高。雖然被攻擊的網(wǎng)絡(luò)系統(tǒng)已經(jīng)安裝了入網(wǎng)絡(luò)防火墻、侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）或其他防病毒產(chǎn)品，但這并不代表著安全，在被攻擊時(shí)仍然不能為自身的網(wǎng)絡(luò)提供有效的保護(hù)。

1.2 Web安全上的漏洞

1.2.1 Web服務(wù)器上的漏洞

在分析 Web服務(wù)器上漏洞的過程中，可以從以下幾方面進(jìn)行分析：

（1）在Web服務(wù)器上用戶禁止別人訪問的秘密文件、目錄或重要數(shù)據(jù)。

（2）在遠(yuǎn)程用戶向服務(wù)器發(fā)送信息時(shí),特別是涉及信用卡等相關(guān)信息時(shí)，發(fā)送信息的過程中信號(hào)被不法分子非法攔截；

（3）Web服務(wù)器原本就存在的一些漏洞，致使被非法利用后侵入到主機(jī)系統(tǒng)，輕則破壞數(shù)據(jù)庫中的重要的數(shù)據(jù),嚴(yán)重則會(huì)導(dǎo)致系統(tǒng)癱瘓；

（4）CGI方面存在安全漏洞，其中一些現(xiàn)象是普遍存在的，比如：在操作主機(jī)系統(tǒng)的過程中會(huì)有意無意地造成系統(tǒng)漏洞，就是俗稱的Bugs，給非法黑客的入侵帶來可乘之機(jī)、用CGI腳本編寫的程序在涉及到遠(yuǎn)程用戶通過瀏覽器輸入表格并進(jìn)行象檢索之類，需要在主機(jī)上親自接操作的命令時(shí),很容易給Web主機(jī)系統(tǒng)帶來危險(xiǎn)。

1.2.2 Web服務(wù)器版本上漏洞

目前的 NCSAI.4以及以上的更高級(jí)的版本服務(wù)器并沒有什么明顯的安全漏洞，但在1995年3月發(fā)現(xiàn)NCSA3以下版本的HTTPD卻存在著明顯存在的安全漏洞，用戶的計(jì)算機(jī)安全存在很大的風(fēng)險(xiǎn)。當(dāng)然，這并不意味著，現(xiàn)在的服務(wù)器版本就沒有安全漏洞，只是有可能尚未發(fā)現(xiàn)而已。當(dāng)然要注意到，網(wǎng)絡(luò)上還有一些過于簡(jiǎn)單的 Web服務(wù)器版本，要盡量少地使用，并且要保重不能夠用于商業(yè)運(yùn)作，一旦出現(xiàn)問題，將會(huì)造成極大的損失。

1.2.3 管理服務(wù)器上漏洞

（1）用戶在從其他網(wǎng)上下載工具軟件時(shí)，可能在沒有詳細(xì)了解之前就用 root身份注冊(cè)執(zhí)行,導(dǎo)致其在不知不覺中已掉入某些程序員在程序中設(shè)下的陷井。

（2）在選用Web服務(wù)器時(shí),并未關(guān)注不同服務(wù)器的安全標(biāo)準(zhǔn)及要求存在一定的差異，因此導(dǎo)致選擇了沒有安全設(shè)施的簡(jiǎn)單的Web服務(wù)器。

（3）在通過Web中的.htpass來管理和校驗(yàn)用戶口令時(shí),沒有對(duì)校驗(yàn)的口令和用戶名實(shí)行次數(shù)上的限制，使得這種管理和校驗(yàn)作用大大降低。

2 在Web上提高系統(tǒng)安全性和穩(wěn)定性的措施

2.1 加強(qiáng)Web服務(wù)器安全預(yù)防的措施

針對(duì) Web服務(wù)器安全預(yù)防的加強(qiáng)措施是需要從多方面同時(shí)著手的，這樣才能夠更好地構(gòu)建 Web服務(wù)器安全預(yù)防體系，其中需要實(shí)行加強(qiáng)措施的工作具體如以下的幾點(diǎn)：

（1）首先是要加強(qiáng)Web服務(wù)器中用戶賬戶的管理，需要做到一方面加強(qiáng)對(duì)在Web服務(wù)器開通的賬戶總量進(jìn)行限制和管理，定期刪除一些已經(jīng)停止或中斷進(jìn)程的用戶；另一方面要加強(qiáng)對(duì)在Web服務(wù)器上開通賬戶的登錄管理，對(duì)用戶的登錄口令、長(zhǎng)度及定期更改等作出強(qiáng)制性的要求，避免用戶賬號(hào)被篡改。

（2）要選擇合適的硬件和應(yīng)用，不適合的可將其去除。在條件允許的情況下要使用 ftp,mail等服務(wù)器和 Web服務(wù)器相分離。并且在Web服務(wù)器上將一些根本用不到的shell等解釋器去掉。同樣，可以去掉ftp、NIS、NFS、finger、netstat等一些無關(guān)的應(yīng)用。如果用戶在cgi的程序中用不到perl時(shí)，最好也將perl從系統(tǒng)解釋器中刪掉。

（3）再次，需要加強(qiáng)對(duì)服務(wù)器的日志管理，對(duì)服務(wù)器中的日志logs文件定期查看，重點(diǎn)放在出現(xiàn)的可疑事件上，并且要注意到一般在錯(cuò)誤日志中出現(xiàn)rm、login、/bin/perl、bin/sh等記錄時(shí)，用戶的服務(wù)器可能已經(jīng)或正在受到一些黑客的非法入侵；

（4）要加強(qiáng)服務(wù)器的權(quán)限管理，一方面要設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性,將所有可讓人訪問的文檔統(tǒng)一分配到公用的組如:www,而且分配給它的權(quán)利只有只讀權(quán)，也可以把www組當(dāng)做所有的HTML文件歸屬，并且由Web管理員直接對(duì)www組進(jìn)行管理，當(dāng)然，僅有Web管理員對(duì)Web的配置文件有寫的權(quán)利；另一方面也要通過對(duì)訪問用戶IP或DNS進(jìn)行限制許可，減少非法黑客的網(wǎng)絡(luò)入侵頻率。

（5）做好Web服務(wù)器的目錄制定工作，在一些Web服務(wù)器將Web的文檔目錄和FTP目錄指在同一目錄時(shí)，應(yīng)該要確保避免把FTP的目錄與CGI-BIN指定在一個(gè)目錄之下。

2.2 從CGI編程角度提高安全性的措施（1）相比于解釋語言，采用編譯語言會(huì)更安全。同時(shí)要注意到，必須將CGI程序放在CGI- BIN下，與HTML存放目錄相獨(dú)立的，這種做法是為了避免一些非法訪問者在瀏覽器端取得解釋性語言的原代碼，隨后再從系統(tǒng)中尋找漏洞。

（2）在編寫程序時(shí)要使用規(guī)范的編程語言。在使用C語言來編寫CGI程序時(shí)要盡可能地少用popen()、system()和所有涉及/bin/sh的shell命令。同時(shí)，在Perl中system()、exec()、open()、eval()等exec或eval之類命令。在由用戶填寫的form還回cgi時(shí),不要直接調(diào)用sys-tem()之類函數(shù)。

3 防火墻技術(shù)

3.1 防火墻的概念

防火墻，英文稱作 firewall，是指由軟件或硬件設(shè)備共同組合形成，存在局部網(wǎng)絡(luò)計(jì)算機(jī)和外界公共網(wǎng)絡(luò)之間的通道中,對(duì)外界用戶訪問內(nèi)部網(wǎng)絡(luò)進(jìn)行限制并且對(duì)內(nèi)部用戶訪問外界網(wǎng)絡(luò)的管理權(quán)限。

3.2 防火墻的防范措施

防火墻的防范措施有很多種，但總體來說，是基于兩大原理：

（1）分組過濾:在網(wǎng)絡(luò)層和傳輸層中間發(fā)揮作用,它以分組包源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志為根據(jù)，判斷數(shù)據(jù)包是否有通過的資格。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

（2）應(yīng)用代理：也被稱作應(yīng)用網(wǎng)關(guān)，它的裝置處于在應(yīng)用層，具有“完全阻隔”了網(wǎng)絡(luò)通信流的特點(diǎn)，將每種應(yīng)用服務(wù)通過編制專門的代理程序，針對(duì)性地實(shí)現(xiàn)監(jiān)視和控制的作用。

3.3 防火墻的類型劃分

防火墻的類型劃分依據(jù)是以防火墻的技術(shù)措施原理為基礎(chǔ)的，主要有以下的幾種類型：

（1）分組過濾型防火墻：是一種應(yīng)用普遍，價(jià)格低廉，安全性良好的一種防火類型，以上的特點(diǎn)就體現(xiàn)著這類防火墻可以通用于大部分計(jì)算機(jī)，不需要特殊處理，應(yīng)用成本低廉，并且能滿足大部分企業(yè)和用戶的安全防護(hù)需求。

（2）應(yīng)用代理型防火墻：相當(dāng)于內(nèi)外網(wǎng)之間的隔離點(diǎn)，可以在應(yīng)用層起著監(jiān)視和隔絕通信流的作用。同時(shí)也常結(jié)合過濾器的功能，因此，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。

（3）復(fù)合型防火墻：是指將包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來的復(fù)合型防火墻產(chǎn)品。相對(duì)于以上兩種單純的防火墻體系，復(fù)合型的防火墻能夠滿足更高安全性的要求，常見的兩種復(fù)合型防火墻體系結(jié)構(gòu)，包括屏蔽主機(jī)防火墻體系結(jié)構(gòu)和屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)。

4 結(jié)束語

綜上所述，Web安全和防火墻技術(shù)是計(jì)算機(jī)的安全的重要部分，始終做好 Web安全和防火墻工作，有利于保證計(jì)算機(jī)用戶的隱私和安全，為重要數(shù)據(jù)的儲(chǔ)存和處理提供安全可靠的環(huán)境，進(jìn)而在網(wǎng)絡(luò)經(jīng)濟(jì)中維護(hù)好自身的利益。

[1]邊娜.Web安全技術(shù)與防火墻[J].山西財(cái)經(jīng)大學(xué)學(xué)報(bào)，2000.