『壹』 如何用 SSL 加固網站安全
直接申請並安裝SSL證書就行了。
SSL安全證書簡單講HTTPS是一種加密傳輸、身份認證的網路通信協議,通過在客戶端瀏覽器與WEB伺服器之間建立一條SSL安全通道,其作用就是對網路傳輸中的數據進行記錄和加密,防止數據被截取或竊聽,從而保證網路數據傳輸的安全性。
1份SSL證書包括一個公共密鑰和一個私用密鑰:公共密鑰主要用於信息加密,私用密鑰主要用於解譯加密信息。當瀏覽器指向一個安全域時,安裝證書後SSL會同步確認客戶端和伺服器,並在兩者之間建立一種加密方式和一個唯一的會話密鑰,這樣便可保證通話雙方信息的完整性和保密性。現在互聯網中大部分還是傳統的HTTP傳輸協議,使用這類協議無法保證傳輸信息的安全性,相當於信息處於「裸奔」狀態中,這在當前的網路里具有非常大的安全隱患。而HTTPS協議能對傳輸的互聯網信息進行加密處理,從而在一定程度上保證了信息的安全性,也不會在傳輸過程中輕易被黑客獲取。
『貳』 為防止web伺服器埠80遭到攻擊,如何改變網關設備來保護伺服器
一般80埠是服務埠,這個是要開放的。
首先要通過網關設備設備,關閉其他不用開放的埠。
第二要增加WEB伺服器的安全加固。比如登陸的驗證碼之類的。
『叄』 為保證伺服器的安全,應從哪些方面對自己的系統進行加固
1、明確加固目標
明確加固和優化後的系統所要達到的安全級別。
2、明確系統運行狀況
系統運行的用途,系統正常運行所需要的服務,從網路掃描和人工評估中收集系統運行狀況。
3、明確加固風險
風險包括停機、應用不能正常使用、系統被破壞無法使用。
4、系統備份
備份包括文件系統、關鍵數據、配置信息、口令、用戶許可權等內容。
『肆』 windows做web伺服器怎麼做安全加固
你可以安裝護衛神.高級安全防護,針對伺服器效果很好。
『伍』 web伺服器上的漏洞主要有
1、系統漏洞,例如系統許可權太寬松、有危險的服務未關閉
2、網站漏洞,sql注入,在線上傳等等
3、軟體漏洞,例如sql server等
建議你找【護衛神】做下安全加固,他們家的入侵防護系統很不錯。專門防禦web伺服器安全。
『陸』 WEB應用防火牆的WEB應用加固工具
這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是,並非每種被稱為Web應用防火牆的設備都同時具有以上四種功能。
同時WEB應用防火牆還具有多面性的特點。比如從網路入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看,WAF是一種防火牆的功能模塊;還有人把WAF看作「深度檢測防火牆」的增強。(深度檢測防火牆通常工作在的網路的第三層以及更高的層次,而Web應用防火牆則在第七層處理HTTP服務並且更好地支持它。)
『柒』 如何加固web伺服器防sql注入攻擊
所謂SQL注入式攻擊,就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字元串,欺騙伺服器執行惡意的SQL命令。在某些表單中,用戶輸入的內容直接用來構造(或者影響)動態SQL命令,或作為存儲過程的輸入參數,這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如:
⑴ 某個ASP.NET Web應用有一個登錄頁面,這個登錄頁面控制著用戶是否有權訪問應用,它要求用戶輸入一個名稱和密碼。
⑵ 登錄頁面中輸入的內容將直接用來構造動態的SQL命令,或者直接用作存儲過程的參數。下面是ASP.NET應用構造查詢的一個例子:
System.Text.StringBuilder query = new System.Text.StringBuilder(
"SELECT * from Users WHERE login = '")
.Append(txtLogin.Text).Append("' AND password='")
. Append(txtPassword.Text).Append("'");
⑶ 攻擊者在用戶名字和密碼輸入框中輸入"'或'1'='1"之類的內容。
⑷ 用戶輸入的內容提交給伺服器之後,伺服器運行上面的ASP.NET代碼構造出查詢用戶的SQL命令,但由於攻擊者輸入的內容非常特殊,所以最後得到的SQL命令變成:SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'。
⑸ 伺服器執行查詢或存儲過程,將用戶輸入的身份信息和伺服器中保存的身份信息進行對比。
⑹ 由於SQL命令實際上已被注入式攻擊修改,已經不能真正驗證用戶身份,所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢,他就會嘗試輸入某些特殊的SQL字元串篡改查詢改變其原來的功能,欺騙系統授予訪問許可權。
系統環境不同,攻擊者可能造成的損害也不同,這主要由應用訪問資料庫的安全許可權決定。如果用戶的帳戶具有管理員或其他比較高級的許可權,攻擊者就可能對資料庫的表執行各種他想要做的操作,包括添加、刪除或更新數據,甚至可能直接刪除表。
⑴ 對於動態構造SQL查詢的場合,可以使用下面的技術:
第一:替換單引號,即把所有單獨出現的單引號改成兩個單引號,防止攻擊者修改SQL命令的含義。再來看前面的例子,「SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'」顯然會得到與「SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'」不同的結果。
第二:刪除用戶輸入內容中的所有連字元,防止攻擊者構造出類如「SELECT * from Users WHERE login = 'mas' -- AND password =''」之類的查詢,因為這類查詢的後半部分已經被注釋掉,不再有效,攻擊者只要知道一個合法的用戶登錄名稱,根本不需要知道用戶的密碼就可以順利獲得訪問許可權。
第三:對於用來執行查詢的資料庫帳戶,限制其許可權。用不同的用戶帳戶執行查詢、插入、更新、刪除操作。由於隔離了不同帳戶可執行的操作,因而也就防止了原本用於執行SELECT命令的地方卻被用於執行INSERT、UPDATE或DELETE命令。 ⑵ 用存儲過程來執行所有的查詢。SQL參數的傳遞方式將防止攻擊者利用單引號和連字元實施攻擊。此外,它還使得資料庫許可權可以限制到只允許特定的存儲過程執行,所有的用戶輸入必須遵從被調用的存儲過程的安全上下文,這樣就很難再發生注入式攻擊了。
⑶ 限製表單或查詢字元串輸入的長度。如果用戶的登錄名字最多隻有10個字元,那麼不要認可表單中輸入的10個以上的字元,這將大大增加攻擊者在SQL命令中插入有害代碼的難度。
⑷ 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和伺服器端都執行——之所以要執行伺服器端驗證,是為了彌補客戶端驗證機制脆弱的安全性。在客戶端,攻擊者完全有可能獲得網頁的源代碼,修改驗證合法性的腳本(或者直接刪除腳本),然後將非法內容通過修改後的表單提交給伺服器。因此,要保證驗證操作確實已經執行,唯一的辦法就是在伺服器端也執行驗證。你可以使用許多內建的驗證對象,例如RegularExpressionValidator,它們能夠自動生成驗證用的客戶端腳本,當然你也可以插入伺服器端的方法調用。如果找不到現成的驗證對象,你可以通過CustomValidator自己創建一個。
⑸ 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然後再將它與資料庫中保存的數據比較,這相當於對用戶輸入的數據進行了「消毒」處理,用戶輸入的數據不再對資料庫有任何特殊的意義,從而也就防止了攻擊者注入SQL命令。System.Web.Security.FormsAuthentication類有一個,非常適合於對輸入數據進行消毒處理。
⑹ 檢查提取數據的查詢所返回的記錄數量。
『捌』 如何保證Web伺服器安全
不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。一、在代碼編寫時就要進行漏洞測試 現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。二、對Web伺服器進行持續的監控 冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web伺服器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在發現有異常行為時,及早的採取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web伺服器的安全性。 筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組,來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為,由於伺服器已經採取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊手段,那麼我們就可以在他們採取進一步行動之前,就在伺服器上關掉這扇門,補上這個漏洞。 筆者在這里也建議,企業用戶在選擇互聯網Web伺服器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前,就他們消除在萌芽狀態。 三、設置蜜罐,將攻擊者引向錯誤的方向 在軍隊中,有時候會給軍人一些偽裝,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝,也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說,就是設置兩個伺服器。其中一個是真正的伺服器,另外一個是蜜罐。現在需要做的是,如何將真正的伺服器偽裝起來,而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話,可能需要從如下幾個方面出發。 一是有真有假,難以區分。如果要瞞過攻擊者的眼睛,那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候,80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性,而且也可以用來評估真實伺服器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時,會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高,那麼即使被攻破了,也沒有多大的實用價值。攻擊者如果沒有有利可圖的話,不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話,那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些後門讓攻擊者來鑽。作為Web伺服器的管理者,不僅關心自己的伺服器是否安全,還要知道自己的伺服器有沒有被人家盯上。或者說,有沒有被攻擊的價值。此時管理者就需要知道,自己的伺服器一天被攻擊了多少次。如果攻擊的頻率比較高,管理者就高興、又憂慮。高興的是自己的伺服器價值還蠻大的,被這么多人惦記著。憂慮的是自己的伺服器成為了眾人攻擊的目標。就應該抽取更多的力量來關注伺服器的安全。四、專人對Web伺服器的安全性進行測試 俗話說,靠人不如靠自己。在Web伺服器的攻防戰上,這一個原則也適用。筆者建議,如果企業對於Web服務的安全比較高,如網站伺服器上有電子商務交易平台,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段,對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。 二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對於這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
『玖』 如何保障Web伺服器安全
今天壹基比小喻給大家講解一些對伺服器的安全保護的具體措施,希望大家可以用到。
1從基礎做起,做好基礎防護。
首先將伺服器上所有包含了敏感數據的磁碟分區都轉換成NTFS格式的。其次不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意***利用,是伺服器安全最重要的保證之一。再次將所有的反病毒軟體及時更新,同時在伺服器和桌面終端上運行反病毒軟體。這些軟體還應該配置成每天自動下載最新的病毒資料庫文件。可以為Exchange Server安裝反病毒軟體。這個軟體掃描所有流人的電子郵件,尋找被感染了的附件,當它發現有病毒時,會自動將這個被感染的郵件在到達用戶以前隔離起來。
2 設置防火牆並關閉不需要的服務和埠。
防火牆是網路安全的一個重要組成部分,通過過濾不安全的服務而降低風險。防火牆同時可以保護網路免受基於路由的***,如IP選項中的源路由***和ICMP重定向中的重定向路徑
首先,確保防火牆不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行所有的互聯網通訊。如果還有DNS注冊的Web伺服器或是電子郵件伺服器,它們的IP地址也許需要通過防火牆對外界可見。其次,伺服器操作系統在安裝時,會啟動一些不需要的服務,這樣不僅會佔用系統的資源,還會增加系統的安全隱患。對於一段時間內完全不會用到的服務,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。例如,TCP/IP埠80用於HTTP通訊,因此大多數人可能並不想堵掉這個埠。但是,一般不會用埠81,因此它應該被關掉。我們可以在Intemet上找到每個埠使用用途的歹U表。對照列表我們可以很清楚的關閉一些不常用的埠。
3 SQL SERVER的安全防護。
首先要使用Windows身份驗證模式,在任何可能的時候,都應該對指向SQL Server的連接要求Windows身份驗證模式。它通過限制對Microsoft Windows用戶和域用戶帳戶的連接,保護SQL Server免受大部分Intemet工具的侵害,而且,伺服器也將從Windows安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜眭和過期時間。另外,憑證委派在多台伺服器間橋接憑證的能力地只能在Windows身份驗證模式中使用。在客戶端,Windows身份驗證模式不再需要存儲密碼。存儲密碼是使用標准SQL Server登錄的應用程序的主要漏洞之一。其次分配—個強健的sa密碼,sa帳戶應該擁有一個強健的密碼,即使在配置為要求Windows身份驗證的伺服器上也該如此。這將保證在以後伺服器被重新配置為混合模式身份驗證時,不會出現空白或脆弱的sa。
4 做好數據的備份並保護好備份磁帶。
首先定期對伺服器進行備份,為防止未知的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行及時的備份。同時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時(通常是硬碟出錯),可以及時地將系統恢復到正常狀態。通常情況下,備份工作都是在大約晚上10:00或者更晚開始的,而結束時間也在午夜時分。整個備份過程的時間長短主要取決於要備份數據的多少。但是如果深夜有人偷竊備份好的磁帶,這樣的時間將是最好的時機。為了避免這樣的人為事件,我們可以通過對磁帶進行密碼保護,對備份程序進行加密,從而加密這些數據。其次,可以將備份程序完成的時間定在第二日的上班時間內。這樣一來,可以避免人為盜竊備份磁帶所帶來的損失。因為磁帶在備份沒有結束被強行帶走的話,磁帶上的數據也毫無價值。
數據如此重要,做好安全措施是必不可少的。無論是伺服器還是系統,文件還是資料庫,都應該做好數據保護。數據備份方面小編推薦大家使用多備份。多備份有3種備份模式給大家選擇:託管、插件、客戶端。Linux,unix,windows系統的用戶可以選擇多備份客戶端來備份,客戶端是高級備份模式,支持防火牆內的備份,TB級數據備份,指定文件恢復等數十種高級功能。而文件和資料庫的內容可以選擇託管或是插件來備份,操作過程也是簡單易懂。備份時間及頻率方面更是讓用戶覺得貼心不過了。
如果你對數據視為寶物,就用多備份吧!
『拾』 如何保證Web伺服器安全
一、在代碼編寫時就要進行漏洞測試。
二、對Web伺服器進行持續的監控。
三、設置蜜罐,將攻擊者引向錯誤的方向。
四、專人對Web伺服器的安全性進行測試。