Web 安全及其防護技術分析

摘要：由于Web安全問題會影響其應用效果和服務器性能，因此做好相應的防護設計必不可少。文章分析了Web安全及其防護技術的研究現狀，介紹了幾種常用防護技術。

關鍵詞：防護技術;Web服務器;安全

中圖法分類號：TP393文獻標識碼：A

Analysis of Web security and its protection technology

HU Hengbo

（Sichuan Technology and Business University，Chengdu 611745，China）

Abstract：Because Web security issues will affect its application effect and server performance， it is essential to do a good job of corresponding protection design. By analyzing the research status of Web security and its protection technology， this paper introduces several commonly used protection technologies.

Key words：protection technology， Web server，security

隨著互聯網技術的快速發展，Web 服務器遭受惡意攻擊的情況越來越多，因此相關安全防護技術受到人們的重視。Web 平臺常常會出現漏洞，給外部攻擊者提供可乘之機，在開展安全防護工作時，也須基于漏洞的實際情況。

1背景

企事業單位建立內部業務系統和對外信息發布平臺都要用到 Web 應用技術，該技術在為用戶提供便利同時，也為信息服務商提供了構建信息系統的標準技術。隨著 Web 平臺的普及，針對 Web 的攻擊越來越多。傳統網絡安全防護系統難以高效處理數據，不能有效防御 Web 應用程序的攻擊，所以有必要研究 Web 安全防護技術，以保障 Web 應用程序安全[1]。

2現狀與意義

采用 HTTP 協議發起的 Web 應用攻擊所用到的技術是對 Web 服務器功能進行擴展，在 Web 服務器的軟件內增加安全防護模塊，并在 Web 服務器未處理請求數據前做好安全檢查，以區分用戶與攻擊者，這就是 Web 服務器擴展技術。面對安全威脅，國內外科研機構開始參與 Web 安全防護技術的研究，如中創軟件商用中間件股份有限公司基于“國家863技術成果”研發 Info Guard Web 防篡改中間件。隨著 Web 攻擊方式的演化，推出新的防護策略顯得尤為重要。研究 Web 安全防護技術對保障 Web 應用平臺穩定運行有著重要意義。

3綜述

3.1 Web 服務器的漏洞類型

Web 安全漏洞指的是 Web 系統在設計與實現過程中存在的安全缺陷，非法用戶充分利用漏洞獲得高級系統權限，使自己在未經過授權的情況下登錄系統，降低了 Web 的安全性與穩定性。

Web 服務器的漏洞類型包括：（1）用戶訪問 Web 時，出現請求遭拒的問題，此時用戶接收不到 Web 服務器響應消息。（2）公共網關接口是 Web 信息服務和外部應用程序的接口，具有數據交換的作用，支持瀏覽器內用戶交互，但該環節也容易發生安全問題。（3）用戶遠程向 Web 服務器發送信息時，信息被攻擊者攔截，使用 simple Box 與 secret Box 工具，聯合固態加密算法，可建立安全性較高的 Web 服務。

3.2 Web 應用系統存在的漏洞

Web 應用系統的漏洞類型主要包括高危漏洞、中危漏洞以及低危漏洞。其中，高危漏洞體現于跨站點腳本，這是一種 html 注入攻擊，常見的有反射型與存儲型兩種，惡意用戶將 JavaScript，VBScript，ActiveX， HTML 或 Flash 注入應用程序，企圖欺騙用戶并在這些程序內采集數據，隨后攻擊者竊取會話 Cookie 來冒充用戶完成操作，甚至接管用戶的賬戶，修改頁面內容，最終導致/nav/項目受到影響。中危漏洞一般指缺乏 CSRF 保護的 HTML 表單，這類警告有可能屬于假陽性，要求用戶手動確認，攻擊者利用用戶身份來操作對方賬戶，由于 Web 具有隱式身份驗證機制，攻擊者會采用這樣的攻擊方式，導致用戶 Web 系統中的/message.asp 項目受到影響。

4 Web 安全及防護技術

4.1 Web 防篡改技術

外部攻擊者對 Web 相關頁面進行惡意篡改是比較常見的安全問題。當 Web 被攻擊、篡改時，常常會導致其閱讀量和點擊量上升、信息傳播速度加快，帶來的不利影響一般難以恢復，這種攻擊是不容易防范的安全問題，對 Web 的應用產生很大威脅，為此，我們需要應用 Web 防篡改技術。

在 Web 防篡改技術中，實際上是借助了信息恢復技術以及監控技術。若 Web 信息數據遭到惡意改動，或是部分內容存在異常情況，則可通過信息恢復技術恢復系統信息、數據以及內容，確保其達到良好運行狀態。監控技術則負責對 Web 的實時運行動態加以監控，防范各種問題。但目前我們所應用的 Web 防篡改技術還有許多不完善之處，其也在不斷更新。比如，應用某 Web 防篡改技術后，服務器的性能會發生改變，整體管理變得更加復雜，同時部分動態頁面的防護仍舊存在漏洞，也須投入額外的技術成本，若負責防止篡改Web的內部系統遭到外部攻擊，則其便會失去 Web 防護能力。除此之外，大部分 Web 防篡改技術具有局限性，只能夠在靜態頁面防護中發揮良好作用，這也是需要注意的問題[2]。圖1為iGuard Web 防篡改系統。

4.2密碼安全防護技術

實際上，在應用 Web 服務器的過程中，其系統在安裝的過程中會將部分內容默認為開啟狀態，其開啟的賬號通常無法起到直接作用，如 Guest 賬號，若這些賬號的安全防護不到位就會被非法人員竊取和利用。為此，我們還需應用密碼安全防護技術，加強對系統賬號的密碼管理，提升賬號安全度。比如，在設置管理員賬戶時，可以設置兩個或兩個以上的管理員賬戶，若其中一個管理員賬戶發生異常或被盜時，則剩余管理員賬戶也能對計算機系統進行規范操作。為了保障賬號安全，還需對管理員賬戶加強權限控制，盡可能避免使用 Windows 默認的 administrator 賬戶。對于管理員賬戶，應當盡可能提升密碼的復雜程度，不能讓密碼輕易被破解，設置密碼設置權限時不允許只使用數字排列，應當包含字母，或者添加特殊符號來組成密碼字符，以有效提升其安全性[3]。

4.3反向代理技術

反向代理技術通常是以服務器形式來應用，將反向代理的相關服務器看作是目標服務器，讓訪問用戶能夠通過該服務器獲取資源。對于 Web 應用來說，反向代理還具有加速作用，同時能夠降低網絡服務的實際負載，提升用戶訪問效率。Web 服務器發揮防護作用時，會將反向代理服務器設置在目標服務器之前，用戶之后，當用戶發出訪問請求時，反向代理服務器會進行分析并判斷，避免 Web 服務器遭到攻擊。簡單來說，這是對外部用戶的訪問設置權限，便于控制和防護，確保 Web 服務器能夠正常運行，其防護原理與防火墻十分相似，可有效抵抗外部非法分子的攻擊，利用反向代理服務器來保護 Web 應用安全，阻攔“不友善”的訪問，也能夠避免 Web 內容被惡意篡改，并且該技術對于服務器系統的運行影響較小，也不會導致管理變得復雜。由于可以減少 Web 服務器的負荷，因而反向代理技術還具有優化 Web 性能的特點。與 Web 防篡改技術相比，反向代理技術更具可靠性，同時其適用性更強、應用范圍更廣，但其也存在投資金額較大的缺點。當前，只有一些規模較大的門戶網站會應用該技術。

4.4蜜罐技術

在 Web 安全防護過程中，也常應用蜜罐技術。該技術的特點是具有欺騙性，針對攻擊方設下陷阱，從而達到對系統安全的防護作用。在設置蜜罐時，其本身也應當擁有一定的漏洞，這樣才能夠引誘攻擊。若黑客攻擊計算機 Web 系統，則蜜罐技術會基于黑客信息來開展分析，反向了解入侵方攻擊的主要手段，還能夠獲取對方 IP 來源，實時跟蹤最新攻擊位置、掌握其攻擊手段與路徑，對本服務器的漏洞加以修復，以免 Web 服務器再次遭到非法攻擊。

對于 Web 安全防護來說，蜜罐技術的優點是做到了監控一切外來用戶請求，同時判斷用戶訪問是否規范且安全，且應用該技術不會對 Web 性能產生不利影響。但由于蜜罐技術具有一定的特殊性，其漏洞屬于“高危”形式，管理者稍有不慎就很可能導致系統被破壞，且蜜罐也有被破壞的可能，因此使用該技術的關鍵在于用好設陷技術[4]。

4.5限制 IP 訪問

對 Web 進行訪問的所有用戶端都對應著各自的 IP 地址，從 IP 著手也能夠提升 Web 服務器的安全水平。比如，在 Web 服務器的過濾模塊中對 IP 訪問設限，對所有訪問者進行控制，便于篩選出安全用戶。在該技術的作用下，HTTP 會生成一個認證身份的功能，用戶對 Web 服務器進行訪問時，先會發出一個請求，然后服務器將身份認證信息請求發出，訪問者輸入用戶名和密碼信息，再經由服務器認證這些信息，若用戶符合要求則通過認證，允許其繼續對Web服務器進行訪問，若不能通過認證，則不允許訪問，這在很大程度上增強了 Web 安全防護能力。

4.6加強客戶端管理

在分析 Web 服務器和應用系統安全時可以看出，部分漏洞通常是很難避免的，這些漏洞的存在給網絡攻擊提供了便利，一些黑客和木馬病毒會借助漏洞攻擊 Web 服務器，如散播惡性程序代碼，導致其安全性下降。因此，為了保證對漏洞的有效修復，避免 Web 服務器遭受惡意攻擊，還需強化客戶端管理，從根本上做好 Web 安全防護。比如，將 Web 服務器中的信息加以備份，但需注意的是，備份操作也會造成一定的安全隱患，相關信息容易被黑客盜取，因此可以為備份信息設置密碼并形成相應磁盤，且數據要進行加密處理，從而有效提升安全防護水平。

4.7安裝殺毒軟件，設置防火墻

針對計算機中的病毒或者惡意攻擊，有必要安裝殺毒軟件以及采用防火墻技術，實現對網絡的安全防護。實際上，殺毒軟件可以攔截病毒，為保障計算機系統安全，用戶每次使用計算機或者登陸 Web 之前都要應用軟件進行殺毒，以便及時發現病毒并處理病毒，保證計算機正常運行。

防火墻技術是 Web 安全防護技術的重要組成部分，在對其進行應用時一般在 Web 系統與計算機之間的內部網絡中設置防火墻，從而提升 Web 的防攻擊能力。設置防火墻時一般采用信號識別控制法，以識別系統主機信號，排除潛在安全隱患，為 Web 的信息傳輸營造良好的環境。防火墻技術一般采用遞進式信息識別機制對 IP 進行識別，同時屏蔽安全隱患信號， Web 系統管理人員需要及時升級防火墻技術，同時編寫系統漏洞檢測程序，以便更好地利用相應防護技術。

5結論

Web 安全防護問題一直備受關注，Web 服務器在運行的過程中常常面臨多種形式的攻擊（包括黑客以及木馬病毒的攻擊），在對其進行安全防護的過程中需要應用多種防護技術，其中包括 Web 防篡改技術、密碼安全防護技術、反向代理技術、蜜罐技術等。

參考文獻：

[1]韋磊，寧玉文，高東懷，等.HTTPS 協議下的高校 Web 應用防火墻部署模式研究[ J].自動化與儀器儀表，2021（12）：109?112+124.

[2]劉學章，黃慶佳，謝靜，等.面向 Web 安全防護的蜜罐技術研究[J].保密科學技術，2021（2）：28?33.

[3]于金郎.計算機網絡信息安全及其防護技術分析[J].數碼世界，2019（11）：258.

[4]陳剛，逯柳.Web 系統安全問題與防護機制研究[ J].無線互聯科技，2019，16（15）：108?109.

作者簡介：

胡恒搏（2000—），本科，研究方向：物聯網工程。