大家论坛

 找回密码
 注册
查看: 818|回复: 0

web服务器的安全防御如何得到保障,看招!

[复制链接]

8

主题

8

帖子

26

金币

大家网小学二年级

Rank: 3

积分
88
发表于 2017-12-17 11:14 | 显示全部楼层 |阅读模式

近年来云计算、大数据、物联网、工业互联网等新兴技术的不断涌现和发展,我们也迎来了一个全新的网络应用环境。网络攻击也开始由过去黑客炫技的个人行为,发展成有组织的犯罪或者攻击行为,呈现出手段专业化、目的商业化、源头国际化、载体移动化等几大趋势。那么,在网络环境如此严峻的情况下,如何保障web服务器的安全防御?

1、选择记录良好的软件

并非所有软件产品与供应商都是提供同等优良的服务。分析几种不同的服务器产品的最近历史可以发现,他们在存在的严重漏洞数量、供应少修复这些漏洞是否及时以及发布的补丁在随后测试过程中表现的适应性等方面存在着明显的差异。在选择何种web服务器软件之前,应该研究这些差异,并考虑如果所在的组织采用了选择的软件,它在近几年将会如何运转。

2、应用供应商发布的补丁

任何有责任的软件供应商必须定期发布安全更新。有时,这些补丁能够解决供应商自身在内部发现的问题。其他情况下,软件问题由一名独立的研究员上报,但无法确定他是否保留了一些信息。其他漏洞因为被攻击者广泛利用,因而引起供应商的注意。但是,无论上述哪一种情况,一旦供应商发布补丁,任何强大的逆向工程方法都能立即查明他所有解决的为题所在,使得攻击者能够着手设计利用这个问题攻击。因此,如果可行,应尽可能及时地应用安全补丁。

3. 实施安全强化

大多数Web服务器都拥有大量的配置选项,可控制在其中激活哪些功能,同时控制它们的运行状态。如果无用的功能仍然被激活,那么只要攻击者在这项功能中发现新的漏洞,服务器就会受到严重的攻击威胁。所以,需要考虑采用以下这些常用的强化步骤。

禁用任何不需要的内置功能,配置剩下的功能尽可能严格地运行,与商业需求保持一致。这包括删除映射的文件扩展名、Web服务器模块和数据库组件。可以使用IIS Lockdown等工具迅速完成这项任务。

可以对需要保留的许多功能与资源进行重命名,为防止攻击者利用它们实施另一层障碍。即使技术熟练的攻击者仍然能够发现重命名后的名称,但这种模糊处理可以阻止攻击者新手与自动化蠕虫。

在整个技术栈中应用最低权限原则。例如,应配置Web服务器进程使用最低权限的操作系统账户。还可以在UNIX系统上使用chrooted环境进一步限制任何攻击的影响范围。

4. 监控新的漏洞

应指派一名组织职员负责监控 Bugtraq与Full Disclosure等资源,查找与所使用的软件中新发现的漏洞有关的公告与讨论。还可以预订各种私人服务,由他们提供软件中已经发现但尚未公开披露的最新漏洞通知。通常,如果了解与某个漏洞有关的技术细节,就可以在供应商发布完整的补丁前,有效地修改这个漏洞。

5. 使用深层防御

应该始终实施几层保护,减轻基础架构组件中的任何安全违反造成的影响。可以采取各种措施,将针对Web服务器的成功攻击的影响限制在局部范围内。即使Web服务器被完全攻破,这些措施也让用户有足够的时间防止任何严重的数据泄露。

可以限制Web服务器访问其他自治的应用程序组件。例如,应只允许应用程序使用的数据库账户INSERT访问用于保存审计日志的表。这意味着,即使攻击者攻破Web服务器,他也无法删除已经创建的任何日志记录。

可以对进出Web服务器的流量实施严格的网络级过滤。还可以使用一个入侵检测系统确定任何表明发生安全违反的反常网络活动。攻破Web服务器后,许多攻击者会立即尝试建立反向连接,侵入因特网,或者扫描DMZ网络中的其他主机。高效的入侵检测系统将实时通知这些事件,以便用户采取措施阻止黑客攻击。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则



诚聘英才|移动端|Archiver|版权声明|大家论坛 ( 京ICP备06071611号,京公网安备11010802018363号 )

GMT+8, 2018-7-22 11:18 , Processed in 0.224441 second(s), 22 queries .

Powered by Discuz!

© Comsenz Inc.

快速回复 返回顶部 返回列表