Web服务器安全策略

1、Web服务器安全策略计算机网络安全2022/7/26 11:16:27Web安全2Web服务器安全策略1.1 定制安全政策1.2 认真组织Web服务器1.3 跟踪最新安全指南1.4 意外事件的处理2022/7/26 11:16:27Web安全31.1 定制安全政策1 定义安全资源，进行重要等级划分2 进行安全风险评估3 制定安全策略的基本原则4 建立安全培训制度5 具有意外事件处理措施2022/7/26 11:16:27Web安全41.2 认真组织Web服务器服务器的安全策略，有很多内容，简单说明几个必须的内容:2022/7/26 11:16:27Web安全51 认真选择Web服务器设备和相关

2、软件对于Web服务器，最显著的性能要求是响应时间和吞吐率。其中，典型的功能包括： 提供静态页面和多种动态页面的能力； 接受和处理用户信息的能力； 提供站点搜索服务的能力； 远程管理的能力。而典型的安全方面的要求包括：在已知的Web服务器漏洞中，针对该类型的最少；对服务器的管理操作只能由授权用户执行； 拒绝通过Web访问不公开的信息； 能够禁止内嵌的不必要的网络服务； 能够控制各种形式的可执行程序的访问； 能对某些Web操作进行日志记录，便于执行入侵监测和入侵企图分析； 能够具有一定的容错性。2022/7/26 11:16:27Web安全62 仔细配置Web服务器（1） 将Web服务器与内部网络

3、分隔开来（2） 维护安全的Web站点的拷贝（3） 合理配置主机系统（4） 合理配置Web服务器软件2022/7/26 11:16:27Web安全7（1） 将Web服务器与内部网络分隔开来Web服务器被入侵的时候，可能的危害有： Web服务器系统被破坏甚至崩溃； 入侵者收集敏感信息，如用户名，口令等； 入侵者借助入侵的服务器为基础，进一步破坏其他网络。所以，为了避免上述情况，我们应当把Web服务器隔离开来，可以采用： 使用智能HUB或者二层交换机隔离； 所有内部网络的交换信息都采用加密方式； 使用防火墙包过滤功能将Web服务器和内部网络隔离； 使用带有防火墙功能的三、四层交换机。2022/7/2

4、6 11:16:27Web安全8（2） 维护安全的Web站点的拷贝备份系统是系统管理员的法宝。所以，一般情况下，Web服务器都采用多台备份机器在服务。但是要保证两点：首先，备份的内容是真实可靠的；其次，备份存储的地方是非常可靠的，安全的。2022/7/26 11:16:27Web安全9（3） 合理配置主机系统主机的操作系统是Web的直接支撑者，合理地配置主机系统，能够为Web服务器提供强健的安全支持。可以从两个方面考虑：仅仅提供必要的服务配置软件简单，只需考虑一种Web服务； 管理人员单一，便于管理； 用户访问方式单一，便于管理； 访问日志文件较少，便于审计； 避免多种服务之间的故障冲突。选择

5、使用必要的辅助工具选择辅助工具，简化主机安全管理:UNIX系统的tcp_wrapper 工具，对系统起到一定的安全保护作用。2022/7/26 11:16:27Web安全10（4） 合理配置Web服务器软件在设置Web服务器访问控制规则的时候，要注意一些事项，Web服务器一般提供如下几种类型的访问控制方法： 通过IP地址、子网域名来控制。这种方法要尽量避免 “欺骗”。 通过用户名/口令限制控制访问。这种方法要尽量避免口令被窃取。 通过公用密钥加密的方法控制访问。对于Web服务器的有关目录必须设置权限。具体设置在此不详细描述。谨慎使用安全性比较脆弱的Web服务器功能，比如，自动目录列表功能，符号

6、连接功能，用户维护目录功能，等等。把服务限制在有限的文件空间范围内。配置好Web服务器的管理功能。尽量禁止远程管理等功能。要记录Web服务器的安全状态信息。2022/7/26 11:16:27Web安全113 谨慎组织Web服务器的相关内容Web服务器的相关内容必须谨慎组织，以保证网站的信誉。其内容主要包括以下几个方面：（1） 联接检查，检查源程序，察看联接URL和相应的内容是否图文一致，察看URL所提供的内容是否和网页的描述一致；（2） CGI程序检测，防止非法用户的恶意使用CGI程序，造成破坏。2022/7/26 11:16:27Web安全124 安全管理Web服务器Web服务器的安全管理

7、不是一劳永逸的，需要认真维护。（1） 更新Web服务器内容尽量采用安全方式，比如，尽可能的避免网络更新，而是采用本地方式；（2） 经常审查有关日志记录。按照HTTP协议的规定;（3） 进行必要的数据备份;（4） 定期对Web服务器进行安全检查。（5）使用 辅助工具。2022/7/26 11:16:27Web安全13常用的Web服务器响应代码有： 200：用户请求被正确响应； 302：URL被重定向到其他文件； 400：用户请求有错误； 401：所访问的文件要求进行身份认证； 403：所请求的文件被禁止访问； 404：所请求的文件没找到； 500：服务器内部错误； 501：Web服务器没安装所请

8、求的应用方法； 503：服务器资源不足。2022/7/26 11:16:27Web安全14（3） 进行必要的数据备份。备份是对付任何意外事故的保留方法，是系统的最后的安全防线。2022/7/26 11:16:27Web安全15（4） 定期对Web服务器进行安全检查。安全检查的目的有两个： 及时发现Web服务器系统的安全缺陷；及时发现入侵踪迹。2022/7/26 11:16:27Web安全16（5） 辅助工具SSH，是一个网络远程登录的工具，在认证机制和加密传输的基础上提供执行命令，拷贝文件等功能，可以防止IP欺骗，DNS欺骗等。免费的运行于UNIX系统的Tripe Wire，能够帮助管理员发现被非法篡改的文件。入侵检测工具，如SATAN；日志审计工具，如Analog。2022/7/26 11:16:27Web安全171.3 跟踪最新安全指南1 及时更新系统软件和应用软件的版本，避免已存在漏洞的仍旧使用；2 了解最新发现的安全漏洞和新的攻击工具的特点，以便做好预防；3 了解、掌握最新的安全保护技术和工具；4 修订原来的安全策略，引进必要的安全工具。由于各个网站安全需求不同，遭受攻击的几率和手段不尽相同，因此系统的安全工作要结合系统本身特点来进行。2022/7/26