A. 如何解決web大流量,高並發的問題
以下是一些總結的方法: 第一,確認伺服器硬體是否足夠支持當前的流量。 普通的P4伺服器一般最多能支持每天10萬獨立IP,如果訪問量比這個還要大,那麼必須首先配置一台更高性能的專用伺服器才能解決問題,否則怎麼優化都不可能徹底解決性能問題。
第二,優化資料庫訪問。 伺服器的負載過大,一個重要的原因是CPU負荷過大,降低伺服器CPU的負荷,才能夠有效打破瓶頸。而使用靜態頁面可以使得CPU的負荷最小化。前台實現完全的靜態化 當然最好,可以完全不用訪問資料庫,不過對於頻繁更新的網站,靜態化往往不能滿足某些功能。 緩存技術 就是另一個解決方案,就是將動態數據存儲到緩存文件中,動態網頁直接調用這些文件,而不必再訪問資料庫,WordPress和Z-Blog都大量使用這種緩存技術 。我自己也寫過一個Z-Blog的計數器插件,也是基於這樣的原理。 如果確實無法避免對資料庫的訪問,那麼可以嘗試優化資料庫的查詢sql.避免使用Select *from這樣的語句,每次查詢只返回自己需要的結果,避免短時間內的大量SQL查詢。
第三,禁止外部的盜鏈。 外部網站的圖片或者文件盜鏈往往會帶來大量的負載壓力,因此應該嚴格限制外部對於自身的圖片或者文件盜鏈,好在目前可以簡單地通過refer來控制盜鏈,Apache自己就可以通過配置來禁止盜鏈,IIS也有一些第三方的ISAPI可以實現同樣的功能。當然,偽造refer也可以通過代碼來實現盜 鏈,不過目前蓄意偽造refer盜鏈的還不多,可以先不去考慮,或者使用非技術手段來解決,比如在圖片上增加水印。
第四,控制大文件的下載。 大文件的下載會佔用很大的流量,並且對於非SCSI硬碟來說,大量文件下載會消耗CPU,使得網站響應能力下降。因此,盡量不要提供超過2M的大 文件下載,如果需要提供,建議將大文件放在另外一台伺服器上。目前有不少免費的Web2.0網站提供圖片分享和文件分享功能,因此可以盡量將圖片和文件上 傳到這些分享網站。
第五,使用不同主機分流主要流量 將文件放在不同的主機上,提供不同的鏡像供用戶下載。比如如果覺得RSS文件佔用流量大,那麼使用FeedBurner或者FeedSky等服務將RSS輸出放在其他主機上,這樣別人訪問的流量壓力就大多集中在FeedBurner的主機上,RSS就不佔用太多資源了。
第六,使用流量分析統計軟體。 在網站上安裝一個流量分析統計軟體,可以即時知道哪些地方耗費了大量流量,哪些頁面需要再進行優化,因此,解決流量問題還需要進行精確的統計分析 才可以。我推薦使用的流量分析統計軟體是GoogleAnalytics(Google分析)。我使用過程中感覺其效果非常不錯,稍後我將詳細介紹一下 GoogleAnalytics的一些使用常識和技巧。 1.分表 2.讀寫分離 3.前端優化。Nginx替換Apache(前端做負載均衡) 個人認為主要還是分布式架構是否到位,mysql和緩存的優化都是有限度的優化,而分布式架構做出來了,PV增長後,只需要堆機器就能擴容。
另附一些優化經驗,首先學會用explain語句分析select語句,優化索引、表結構,其次,合理運用memcache等緩存,降低mysql的負載,最後,如果可能的話,盡量用facebook的hiphop-php把PHP編譯了,提高程序效率。
B. 如何保障Web伺服器安全
今天壹基比小喻給大家講解一些對伺服器的安全保護的具體措施,希望大家可以用到。
1從基礎做起,做好基礎防護。
首先將伺服器上所有包含了敏感數據的磁碟分區都轉換成NTFS格式的。其次不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意***利用,是伺服器安全最重要的保證之一。再次將所有的反病毒軟體及時更新,同時在伺服器和桌面終端上運行反病毒軟體。這些軟體還應該配置成每天自動下載最新的病毒資料庫文件。可以為Exchange Server安裝反病毒軟體。這個軟體掃描所有流人的電子郵件,尋找被感染了的附件,當它發現有病毒時,會自動將這個被感染的郵件在到達用戶以前隔離起來。
2 設置防火牆並關閉不需要的服務和埠。
防火牆是網路安全的一個重要組成部分,通過過濾不安全的服務而降低風險。防火牆同時可以保護網路免受基於路由的***,如IP選項中的源路由***和ICMP重定向中的重定向路徑
首先,確保防火牆不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行所有的互聯網通訊。如果還有DNS注冊的Web伺服器或是電子郵件伺服器,它們的IP地址也許需要通過防火牆對外界可見。其次,伺服器操作系統在安裝時,會啟動一些不需要的服務,這樣不僅會佔用系統的資源,還會增加系統的安全隱患。對於一段時間內完全不會用到的服務,可以完全關閉;對於期間要使用的伺服器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP埠。例如,TCP/IP埠80用於HTTP通訊,因此大多數人可能並不想堵掉這個埠。但是,一般不會用埠81,因此它應該被關掉。我們可以在Intemet上找到每個埠使用用途的歹U表。對照列表我們可以很清楚的關閉一些不常用的埠。
3 SQL SERVER的安全防護。
首先要使用Windows身份驗證模式,在任何可能的時候,都應該對指向SQL Server的連接要求Windows身份驗證模式。它通過限制對Microsoft Windows用戶和域用戶帳戶的連接,保護SQL Server免受大部分Intemet工具的侵害,而且,伺服器也將從Windows安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜眭和過期時間。另外,憑證委派在多台伺服器間橋接憑證的能力地只能在Windows身份驗證模式中使用。在客戶端,Windows身份驗證模式不再需要存儲密碼。存儲密碼是使用標准SQL Server登錄的應用程序的主要漏洞之一。其次分配—個強健的sa密碼,sa帳戶應該擁有一個強健的密碼,即使在配置為要求Windows身份驗證的伺服器上也該如此。這將保證在以後伺服器被重新配置為混合模式身份驗證時,不會出現空白或脆弱的sa。
4 做好數據的備份並保護好備份磁帶。
首先定期對伺服器進行備份,為防止未知的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行及時的備份。同時,應該將修改過的重要系統文件存放在不同伺服器上,以便出現系統崩潰時(通常是硬碟出錯),可以及時地將系統恢復到正常狀態。通常情況下,備份工作都是在大約晚上10:00或者更晚開始的,而結束時間也在午夜時分。整個備份過程的時間長短主要取決於要備份數據的多少。但是如果深夜有人偷竊備份好的磁帶,這樣的時間將是最好的時機。為了避免這樣的人為事件,我們可以通過對磁帶進行密碼保護,對備份程序進行加密,從而加密這些數據。其次,可以將備份程序完成的時間定在第二日的上班時間內。這樣一來,可以避免人為盜竊備份磁帶所帶來的損失。因為磁帶在備份沒有結束被強行帶走的話,磁帶上的數據也毫無價值。
數據如此重要,做好安全措施是必不可少的。無論是伺服器還是系統,文件還是資料庫,都應該做好數據保護。數據備份方面小編推薦大家使用多備份。多備份有3種備份模式給大家選擇:託管、插件、客戶端。Linux,unix,windows系統的用戶可以選擇多備份客戶端來備份,客戶端是高級備份模式,支持防火牆內的備份,TB級數據備份,指定文件恢復等數十種高級功能。而文件和資料庫的內容可以選擇託管或是插件來備份,操作過程也是簡單易懂。備份時間及頻率方面更是讓用戶覺得貼心不過了。
如果你對數據視為寶物,就用多備份吧!
C. eset nod32提示web訪問保護和網路釣魚防護不起作用,什麼原因,如何啟用,怎麼破,求專業大神指教!!!
試試看web防護後面的設置按鈕。
從原理上講,web防護和防釣魚都應該是設置訪問代理的,以便對流量進行檢測。
D. 什麼是 Web安全Web應用漏洞的防禦實現
什麼是 Web安全?
Web安全是計算機術語。隨著Web2.0、社交網路等一系列新型的互聯網產品誕生問世,基於Web環境的互聯網應用越來越廣泛,企業信息化的過程中各種應用都架設在Web平台上,Web業務的迅速發展也引起黑客們的窺探,接踵而至的就是Web安全威脅的凸顯。
黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web伺服器的控制許可權,輕則篡改網頁內容,重則竊取重要內部數據,更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。
Web安全的現狀及原因
目前,很多業務都依賴於互聯網,無論是網上銀行、網上購物、還是網路 游戲 等,惡意攻擊者們出於各種不良目的,對Web 伺服器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是如此,Web業務平台最容易遭受攻擊。
而針對Web伺服器的攻擊也是五花八門,常見的有掛馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。
一方面,由於TCP/IP的設計是沒有考慮安全問題的,網路上傳輸的數據是沒有任何安全防護。攻擊者們可利用系統漏洞造成系統進程緩沖區溢出,攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶許可權來運行任意程序,甚至安裝和運行惡意代碼,竊取機密數據。
而應用層面的軟體在開發過程中也沒有過多考慮到安全的問題,這使得程序本身存在很多漏洞,諸如緩沖區溢出、SQL注入等等流行的應用層攻擊,這些都屬於在軟體研發過程中疏忽了對安全的考慮所致。
另一方面,個人用戶由於好奇心,被攻擊者利用木馬或病毒程序進行攻擊,攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費軟體等文件中,然後將這些文件置於某些網站當中,再引誘用戶去單擊或下載運行,或通過電子郵件附件和QQ、MSN等即時聊天軟體,將這些捆綁了木馬或病毒的文件發送給用戶,讓用戶打開或運行這些文件。
Web安全的三個細分
Web安全主要分為:1、保護伺服器及其數據的安全。2、保護伺服器和用戶之間傳遞的信息的安全。3、保護Web應用客戶端及其環境安全這三個方面。
Web應用防火牆
Web應用安全問題本質上源於軟體質量問題。但Web應用相較傳統的軟體,具有其獨特性。Web應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;
需要頻繁地變更以滿足業務目標,從而使得很難維持有序的開發周期;需要全面考慮客戶端與服務端的復雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單,缺乏經驗的開發者也可以勝任。
Web應用安全,理想情況下應該在軟體開發生命周期遵循安全編碼原則,並在各階段採取相應的安全措施。
然而,多數網站的實際情況是:大量早期開發的Web應用,由於 歷史 原因,都存在不同程度的安全問題。對於這些已上線、正提供生產的Web應用,由於其定製化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改周期。
這種現狀,專業的Web安全防護工具是一種合理的選擇。WEB應用防火牆(以下簡稱WAF)正是這類專業工具,提供了一種安全運維控制手段:基於對HTTP/HTTPS流量的雙向分析,為Web應用提供實時的防護。
Web應用漏洞的防禦實現
對於常見的Web應用漏洞,應該從3個方面入手進行防禦:
1、對 Web應用開發者而言
大部分Web應用常見漏洞都是在Web應用開發中,由於開發者沒有對用戶輸入的參數進行檢測或者檢測不嚴格造成的。所以,Web應用開發者應該樹立很強的安全意識,開發中編寫安全代碼;
對用戶提交的URL、查詢關鍵字、HTTP頭、POST數據等進行嚴格的檢測和限制,只接受一定長度范圍內、採用適當格式及編碼的字元,阻塞、過濾或者忽略其它的任何字元。通過編寫安全的Web應用代碼,可以消除絕大部分的Web應用安全問題。
2、對Web網站管理員而言
作為負責網站日常維護管理工作Web管理員,應該及時跟蹤並安裝最新的、支撐Web網站運行的各種軟體的安全補丁,確保攻擊者無法通過軟體漏洞對網站進行攻擊。
除了軟體本身的漏洞外,Web伺服器、資料庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟體配置進行仔細檢測,降低安全問題的出現可能。
此外,Web管理員還應該定期審計Web伺服器日誌,檢測是否存在異常訪問,及早發現潛在的安全問題。
3、使用網路防攻擊設備
前兩種都是預防方式,相對來說很理想化。在現實中,Web應用系統的漏洞仍舊不可避免:部分Web網站已經存在大量的安全漏洞,而Web開發者和網站管理員並沒有意識到或發現這些安全漏洞。
由於Web應用是採用HTTP協議,普通的防火牆設備無法對Web類攻擊進行防禦,因此需要使用入侵防禦設備來實現安全防護。
E. web應用防火牆(WAF)的基本原理是什麼
WAF,又名Web應用防火牆,能夠對常見的網站漏洞攻擊進行防護,例如SQL注入、XSS跨站等;目前WAF最基本的防護原理為特徵規則匹配,將漏洞特徵與設備自身的特徵庫進行匹配比對,一旦命中,直接阻斷,這種方法能夠有效防範已知的安全問題,但是需要一個強大的特徵庫支持,特徵庫需要保證定期更新及維護;但是對於零日漏洞(未經公開的漏洞),就需要設備建立自學習機制,能夠根據網站的正常狀態自動學習建立流量模型,以模型為基準判斷網站是否遭受攻擊。
F. 基於web的安全防範措施的研究與應用
一、計算機網路攻擊的常見手法
互聯網發展至今,除了它表面的繁榮外,也出現了一些不良現象,其中黑客攻擊是最令廣大網民頭痛的事情,它是計算機網路安全的主要威脅。下面著重分析黑客進行網路攻擊的幾種常見手法及其防範措施。
(一)利用網路系統漏洞進行攻擊
許多網路系統都存在著這樣那樣的漏洞,這些漏洞有可能是系統本身所有的,如WindowsNT、UNIX等都有數量不等的漏洞,也有可能是由於網管的疏忽而造成的。黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。
對於系統本身的漏洞,可以安裝軟體補丁;另外網管也需要仔細工作,盡量避免因疏忽而使他人有機可乘。
(二)通過電子郵件進行攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。黑客可以使用一些郵件炸彈軟體或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時,還有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓,這一點和後面要講到的「拒絕服務攻擊(DDoS)比較相似。
對於遭受此類攻擊的郵箱,可以使用一些垃圾郵件清除軟體來解決,其中常見的有SpamEater、Spamkiller等,Outlook等收信軟體同樣也能達到此目的。
(三)解密攻擊
在互聯網上,使用密碼是最常見並且最重要的安全保護方法,用戶時時刻刻都需要輸入密碼進行身份校驗。而現在的密碼保護手段大都認密碼不認人,只要有密碼,系統就會認為你是經過授權的正常用戶,因此,取得密碼也是黑客進行攻擊的一重要手法。取得密碼也還有好幾種方法,一種是對網路上的數據進行監聽。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而黑客就能在兩端之間進行數據監聽。但一般系統在傳送密碼時都進行了加密處理,即黑客所得到的數據中不會存在明文的密碼,這給黑客進行破解又提了一道難題。這種手法一般運用於區域網,一旦成功攻擊者將會得到很大的操作權益。另一種解密方法就是使用窮舉法對已知用戶名的密碼進行暴力解密。這種解密軟體對嘗試所有可能字元所組成的密碼,但這項工作十分地費時,不過如果用戶的密碼設置得比較簡單,如「12345」、「ABC」等那有可能只需一眨眼的功夫就可搞定。
為了防止受到這種攻擊的危害,用戶在進行密碼設置時一定要將其設置得復雜,也可使用多層密碼,或者變換思路使用中文密碼,並且不要以自己的生日和電話甚至用戶名作為密碼,因為一些密碼破解軟體可以讓破解者輸入與被破解用戶相關的信息,如生日等,然後對這些數據構成的密碼進行優先嘗試。另外應該經常更換密碼,這樣使其被破解的可能性又下降了不少。
(四)後門軟體攻擊
後門軟體攻擊是互聯網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外,同時也可以進行對方桌面抓圖、取得密碼等操作。這些後門軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程序登陸上已安裝好伺服器端程序的電腦,這些伺服器端程序都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小游戲並運行時,後門軟體的伺服器端就安裝完成了,而且大部分後門軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。
當在網上下載數據時,一定要在其運行之前進行病毒掃描,並使用一定的反編譯軟體,查看來源數據是否有其他可疑的應用程序,從而杜絕這些後門軟體。
(五)拒絕服務攻擊
互聯網上許多大網站都遭受過此類攻擊。實施拒絕服務攻擊(DDoS)的難度比較小,但它的破壞性卻很大。它的具體手法就是向目的伺服器發送大量的數據包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對伺服器進行拒絕服務攻擊的進攻。它們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。
對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作,所以大家在上網時一定要安裝好防火牆軟體,同時也可以安裝一些可以隱藏IP地址的程序,怎樣能大大降低受到攻擊的可能性。
二、計算機網路安全的防火牆技術
計算機網路安全是指利用網路管理控制和技術措施,保證在一個網路環境里,信息數據的保密性、完整性和可使用性受到保護。網路安全防護的根本目的,就是防止計算機網路存儲、傳輸的信息被非法使用、破壞和篡改。防火牆技術正是實現上述目的一種常用的計算機網路安全技術。
(一)防火牆的含義
所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路,防止他們更改、拷貝、毀壞你的重要信息。
(二)防火牆的安全性分析
防火牆對網路的安全起到了一定的保護作用,但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究,作者對防火牆的安全性有如下幾點認識:
1.只有正確選用、合理配置防火牆,才能有效發揮其安全防護作用
防火牆作為網路安全的一種防護手段,有多種實現方式。建立合理的防護系統,配置有效的防火牆應遵循這樣四個基本步驟:
a.風險分析;
b.需求分析;
c.確立安全政策;
d.選擇准確的防護手段,並使之與安全政策保持一致。
然而,多數防火牆的設立沒有或很少進行充分的風險分析和需求分析,而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆,這樣的防火牆能否「防火」還是個問題。
2.應正確評估防火牆的失效狀態
評價防火牆性能如何,及能否起到安全防護作用,不僅要看它工作是否正常,能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡,而且要看到一旦防火牆被攻破,它的狀態如何? 按級別來分,它應有這樣四種狀態:
a.未受傷害能夠繼續正常工作;
b.關閉並重新啟動,同時恢復到正常工作狀態;
c.關閉並禁止所有的數據通行;
d. 關閉並允許所有的數據通行。
前兩種狀態比較理想,而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證,無法確定其失效狀態等級,因此網路必然存在安全隱患。
3.防火牆必須進行動態維護
防火牆安裝和投入使用後,並非萬事大吉。要想充分發揮它的安全防護作用,必須對它進行跟蹤和維護,要與商家保持密切的聯系,時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞,就會盡快發布補救(Patch) 產品,此時應盡快確認真偽(防止特洛伊木馬等病毒),並對防火牆軟體進行更新。
4.目前很難對防火牆進行測試驗證
防火牆能否起到防護作用,最根本、最有效的證明方法是對其進行測試,甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大,主要原因是:
a.防火牆性能測試目前還是一種很新的技術,尚無正式出版刊物,可用的工具和軟體更是寥寥無幾。據了解目前只有美國ISS公司提供有防火牆性能測試的工具軟體。
b.防火牆測試技術尚不先進,與防火牆設計並非完全吻合,使得測試工作難以達到既定的效果。
c.選擇「誰」進行公正的測試也是一個問題。
可見,防火牆的性能測試決不是一件簡單的事情,但這種測試又相當必要,進而提出這樣一個問題:不進行測試,何以證明防火牆安全?
5.非法攻擊防火牆的基本「招數」
a. IP地址欺騙攻擊。許多防火牆軟體無法識別數據包到底來自哪個網路介面,因此攻擊者無需表明進攻數據包的真正來源,只需偽裝IP地址,取得目標的信任,使其認為來自網路內部即可。IP地址欺騙攻擊正是基於這類防火牆對IP地址缺乏識別和驗證的機制而得成的。
b.破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能,處於失效狀態。
c.防火牆也可能被內部攻擊。因為安裝了防火牆後,隨意訪問被嚴格禁止了, 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息,個別人會對防火牆不滿進而可能攻擊它、破壞它,期望回到從前的狀態。這里,攻擊的目標常常是防火牆或防火牆運行的操作系統,因此不僅涉及網路安全,還涉及主機安全問題。
(三)防火牆的基本類型
實現防火牆的技術包括四大類:網路級防火牆(也叫包過濾型防火牆)、應用級網關、電路級網關和規則檢查防火牆。
1.網路級防火牆
一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
先進的網路級防火牆可以判斷這一點,它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容,把判斷的信息同規則表進行比較,在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。其次,通過定義基於TCP或UDP數據包的埠號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
下面是某一網路級防火牆的訪問控制規則:
(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1;
(2)允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口)到主機150.0.0.2上;
(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;
(4)允許任何WWW數據(80口)通過;
(5)不允許其他數據包進入。
網路級防火牆簡潔、速度快、費用低,並且對用戶透明,但是對網路的保護很有限,因為它只檢查地址和埠,對網路更高協議層的信息無理解能力。
2.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣, 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號,過濾進出的數據包。它也象電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣, 可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合公司網路的安全規則。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務機模式來分析應用層的數據, 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種演算法來識別進出的應用層數據,這些演算法通過已知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
目前在市場上流行的防火牆大多屬於規則檢查防火牆,因為該防火牆對於用戶透明,在OSI最高層上加密數據,不需要你去修改客戶端的程序,也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則檢查防火牆。
從趨勢上看,未來的防火牆將位於網路級防火牆和應用級防火牆之間,也就是說,網路級防火牆將變得更加能夠識別通過的信息,而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊稽查系統,可保護數據以加密方式通過,使所有組織可以放心地在節點間傳送數據。
(四)防火牆的配置
防火牆配置有三種:Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間,這個Dual-omedGateway又稱為bastionhost。 這種結構成本低,但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力,而它往往是受「黑客」攻擊的首選目標,它自己一旦被攻破,整個網路也就暴露了。Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost,並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost,只要有一個失敗,整個網路就暴露了。Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。 在公共網路和私有網路之間構成了一個隔離網,稱之為"停火區"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火區"內。這種結構安全性好,只有當兩個安全單元被破壞後,網路才被暴露,但是成本也很昂貴。
(五)防火牆的安全措施
各種防火牆的安全性能不盡相同。這里僅介紹一些一般防火牆的常用安全措施:
1.防電子欺騙術
防電子欺騙術功能是保證數據包的IP地址與網關介面相符,防止通過修改IP地址的方法進行非授權訪問。還應對可疑信息進行鑒別,並向網路管理員報警。
2.網路地址轉移
地址轉移是對Internet隱藏內部地址,防止內部地址公開。這一功能可以克服IP定址方式的諸多限制,完善內部定址模式。把未注冊IP地址映射成合法地址,就可以對Internet進行訪問。
3.開放式結構設計
開放式結構設計使得防火牆與相關應用程序和外部用戶資料庫的連接相當容易,典型的應用程序連接如財務軟體包、病毒掃描、登錄分析等。
4.路由器安全管理程序
它為Bay和Cisco的路由器提供集中管理和訪問列表控制。
(六)傳統防火牆的五大不足
1.無法檢測加密的Web流量
如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網路防火牆,根本就不提供數據解密的功能。
2、普通應用程序加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊數據。
但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程序,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設置與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務數據。網路防火牆的防護范圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程序時,由於無法全面控制網路、應用程序和數據流,也無法截獲應用層的攻擊。由於對於整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的數據中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程序;
★ 經常需要增加或更新軟體模塊;
★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。
在這樣動態復雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠數據流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要屏蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程序。
5、無法擴展帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網路性能,這是不行的。
真正的針對所有網路和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議性能;
這些任務,在基於標准PC硬體上,是無法高效運行的,雖然一些網路防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網路的ASIC平台對於新的深度檢測功能是無法支持的。
三、結束語
由於互聯網路的開放性和通信協議的安全缺陷,以及在網路環境中數據信息存儲和對其訪問與處理的分布性特點,網上傳輸的數據信息很容易泄露和被破壞,網路受到的安全攻擊非常嚴重,因此建立有效的網路安全防範體系就更為迫切。實際上,保障網路安全不但需要參考網路安全的各項標准以形成合理的評估准則,更重要的是必須明確網路安全的框架體系、安全防範的層次結構和系統設計的基本原則,分析網路系統的各個不安全環節,找到安全漏洞,做到有的放矢。
G. fscs 9.20中的「瀏覽保護」和「web流量掃描」是干什麼的
瀏覽器保護主要是針對網站的,通過對有害網站進行提示和屏蔽來實現。流量掃描是針對上網路流量的,也包括下載。
H. 基於 Nginx + ModSecurity V3 實現對 web 流量的安全訪問控制
基於 SecRules 的 web 流量處理引擎, 提供了載入/解釋與 ModSecurity SecRules 格式編寫的規則的能力
1、安裝 libmodsecurity 所需依賴庫
2、下載編譯安裝 libmodsecurity v3.05
nginx 和 libmodsecurity 之間的連接器, 其實就是一個第三方 Nginx 模塊, Nginx 可以通過靜態或動態方式載入該模塊
1、Nginx 的編譯安裝
2、添加 modsecurity 相關配置文件 modsecurity.conf, main.conf
3、完整的 Nginx 配置文件如下
OWASP ModSecurity 核心規則集 (CRS) 是一組通用攻擊檢測規則, 用於 ModSecurity 或兼容的 Web 應用程序防火牆; CRS 旨在保護 Web 應用程序免受包括 OWASP 前十名在內的各種攻擊, 同時將錯誤警報降至最低
1、在 Modsecurity 中啟用 OWASP 核心規則集
1、請求參數 x 不包含字元串 test 的請求, 返回狀態 200 http://192.168.31.66/?x=wyun
2、請求參數 x 包含非法字元串 test 的請求, 返回狀態 403 http://192.168.31.66/?x=wyuntest
I. web攻擊有哪些怎麼防護
1、DoS和DDoS攻擊(DoS(Denial of Service),即拒絕服務,造成遠程伺服器拒絕服務的行為被稱為DoS攻擊。其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊)
防範:(1) 反欺騙:對數據包的地址及埠的正確性進行驗證,同時進行反向探測。(2) 協議棧行為模式分析:每個數據包類型需要符合RFC規定,這就好像每個數據包都要有完整規范的著裝,只要不符合規范,就自動識別並將其過濾掉。(3) 特定應用防護:非法流量總是有一些特定特徵的,這就好比即便你混進了顧客群中,但你的行為還是會暴露出你的動機,比如老重復問店員同一個問題,老做同樣的動作,這樣你仍然還是會被發現的。(4) 帶寬控制:真實的訪問數據過大時,可以限制其最大輸出的流量,以減少下游網路系統的壓力。
2、CSRF(Cross Site Request Forgery),即跨站請求偽造,是一種常見的Web攻擊,但很多開發者對它很陌生。CSRF也是Web安全中最容易被忽略的一種攻擊。
防範:(1) 驗證碼。應用程序和用戶進行交互過程中,特別是賬戶交易這種核心步驟,強制用戶輸入驗證碼,才能完成最終請求。在通常情況下,驗證碼夠很好地遏制CSRF攻擊。但增加驗證碼降低了用戶的體驗,網站不能給所有的操作都加上驗證碼。所以只能將驗證碼作為一種輔助手段,在關鍵業務點設置驗證碼。(2) Referer Check。HTTP Referer是header的一部分,當瀏覽器向web伺服器發送請求時,一般會帶上Referer信息告訴伺服器是從哪個頁面鏈接過來的,伺服器籍此可以獲得一些信息用於處理。可以通過檢查請求的來源來防禦CSRF攻擊。正常請求的referer具有一定規律,如在提交表單的referer必定是在該頁面發起的請求。所以通過檢查http包頭referer的值是不是這個頁面,來判斷是不是CSRF攻擊。但在某些情況下如從https跳轉到http,瀏覽器處於安全考慮,不會發送referer,伺服器就無法進行check了。若與該網站同域的其他網站有XSS漏洞,那麼攻擊者可以在其他網站注入惡意腳本,受害者進入了此類同域的網址,也會遭受攻擊。出於以上原因,無法完全依賴Referer Check作為防禦CSRF的主要手段。但是可以通過Referer Check來監控CSRF攻擊的發生。(3) Anti CSRF Token。目前比較完善的解決方案是加入Anti-CSRF-Token,即發送請求時在HTTP 請求中以參數的形式加入一個隨機產生的token,並在伺服器建立一個攔截器來驗證這個token。伺服器讀取瀏覽器當前域cookie中這個token值,會進行校驗該請求當中的token和cookie當中的token值是否都存在且相等,才認為這是合法的請求。否則認為這次請求是違法的,拒絕該次服務。這種方法相比Referer檢查要安全很多,token可以在用戶登陸後產生並放於session或cookie中,然後在每次請求時伺服器把token從session或cookie中拿出,與本次請求中的token 進行比對。由於token的存在,攻擊者無法再構造出一個完整的URL實施CSRF攻擊。但在處理多個頁面共存問題時,當某個頁面消耗掉token後,其他頁面的表單保存的還是被消耗掉的那個token,其他頁面的表單提交時會出現token錯誤。
3、XSS(Cross Site Scripting),跨站腳本攻擊。為和層疊樣式表(Cascading Style Sheets,CSS)區分開,跨站腳本在安全領域叫做「XSS」。
防範:(1) 輸入過濾。永遠不要相信用戶的輸入,對用戶輸入的數據做一定的過濾。如輸入的數據是否符合預期的格式,比如日期格式,Email格式,電話號碼格式等等。這樣可以初步對XSS漏洞進行防禦。上面的措施只在web端做了限制,攻擊者通抓包工具如Fiddler還是可以繞過前端輸入的限制,修改請求注入攻擊腳本。因此,後台伺服器需要在接收到用戶輸入的數據後,對特殊危險字元進行過濾或者轉義處理,然後再存儲到資料庫中。(2) 輸出編碼。伺服器端輸出到瀏覽器的數據,可以使用系統的安全函數來進行編碼或轉義來防範XSS攻擊。在PHP中,有htmlentities()和htmlspecialchars()兩個函數可以滿足安全要求。相應的JavaScript的編碼方式可以使用JavascriptEncode。(3) 安全編碼。開發需盡量避免Web客戶端文檔重寫、重定向或其他敏感操作,同時要避免使用客戶端數據,這些操作需盡量在伺服器端使用動態頁面來實現。(4) HttpOnly Cookie。預防XSS攻擊竊取用戶cookie最有效的防禦手段。Web應用程序在設置cookie時,將其屬性設為HttpOnly,就可以避免該網頁的cookie被客戶端惡意JavaScript竊取,保護用戶cookie信息。(5)WAF(Web Application Firewall),Web應用防火牆,主要的功能是防範諸如網頁木馬、XSS以及CSRF等常見的Web漏洞攻擊。由第三方公司開發,在企業環境中深受歡迎。
4、SQL注入(SQL Injection),應用程序在向後台資料庫傳遞SQL(Structured Query Language,結構化查詢語言)時,攻擊者將SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。
防範:(1) 防止系統敏感信息泄露。設置php.ini選項display_errors=off,防止php腳本出錯之後,在web頁面輸出敏感信息錯誤,讓攻擊者有機可乘。(2) 數據轉義。設置php.ini選項magic_quotes_gpc=on,它會將提交的變數中所有的』(單引號),」(雙引號),\(反斜杠),空白字元等都在前面自動加上\。或者採用mysql_real_escape()函數或addslashes()函數進行輸入參數的轉義。(3) 增加黑名單或者白名單驗證。白名單驗證一般指,檢查用戶輸入是否是符合預期的類型、長度、數值范圍或者其他格式標准。黑名單驗證是指,若在用戶輸入中,包含明顯的惡意內容則拒絕該條用戶請求。在使用白名單驗證時,一般會配合黑名單驗證。
5、上傳漏洞在DVBBS6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。該漏洞允許用戶上傳任意文件可能會讓攻擊者注入危險內容或惡意代碼,並在伺服器上運行。
防範: (1)檢查伺服器是否判斷了上傳文件類型及後綴。 (2) 定義上傳文件類型白名單,即只允許白名單裡面類型的文件上傳。 (3) 文件上傳目錄禁止執行腳本解析,避免攻擊者進行二次攻擊。 Info漏洞 Info漏洞就是CGI把輸入的參數原樣輸出到頁面,攻擊者通過修改輸入參數而達到欺騙用戶的目的。
J. Web流量安全方法有哪三種方法。各自有何優點。
有全面法,片面法,和小間法。
全面法即對網頁進行全面的瀏覽,而片面法則指對某一斷落或某一小段進行仔細觀察,小間法而是只看行中間標紅的句子。
三種方法各有千秋,網頁瀏覽者可以根據自己的喜好來選擇利用哪一種。