我們知道WEB服務(wù)器可以分為三層結(jié)構(gòu)，而其中任何一層出現(xiàn)問(wèn)題就可能會(huì)導(dǎo)致整個(gè)網(wǎng)站的安全受到威脅。所以企業(yè)安全管理人員在部署WEB服務(wù)器安全策略是應(yīng)當(dāng)全面的構(gòu)建企業(yè)Web安全防護(hù)網(wǎng)。才可以真正有效的做到web安全防護(hù)。

構(gòu)建企業(yè)Web安全防護(hù)一：每一層都可能存在安全漏洞

在這里筆者要告訴大家一個(gè)非常不幸的消息。在Web服務(wù)器的三層架構(gòu)中，任何一層都有或大或小的漏洞。在操作系統(tǒng)層面，無(wú)論采用Windows操作系統(tǒng)還是采用Linux操作系統(tǒng)，都不時(shí)的會(huì)有黑客可以遠(yuǎn)程利用的安全漏洞被發(fā)現(xiàn)。相比之下，Linux操作系統(tǒng)要比Windows操作系統(tǒng)安全一點(diǎn)。而中間層，如IIS、ASP、SQLServer也不時(shí)的有“漏洞門”的問(wèn)題。最上層的網(wǎng)頁(yè)程序，漏洞更是不少。如著名的SQL注入式攻擊漏洞就是出現(xiàn)在網(wǎng)頁(yè)程序?qū)又小?/P>

雖然現(xiàn)在有比較多的安全防護(hù)產(chǎn)品，但是比較可惜的是，他們往往都只是針對(duì)一個(gè)特定的層面。或者說(shuō)目前很多Web網(wǎng)站的防護(hù)技術(shù)并不過(guò)硬。如不少企業(yè)在Web服務(wù)器外面都會(huì)部署一個(gè)防火墻。但是因?yàn)獒槍?duì)Web服務(wù)器的攻擊，很多是直接對(duì)應(yīng)用層的漏洞發(fā)起的攻擊行為，他們可以直接通過(guò)80端口來(lái)完成攻擊的行為。在這種情況下，即使采用了防火墻也無(wú)濟(jì)于事。當(dāng)任何一層被攻破，那么其它兩層即使保護(hù)的再好，最后的結(jié)果都只有一個(gè)，那就是失敗。

總之，Web服務(wù)器的每一層都存在著比較嚴(yán)重的漏洞。如果要確保Web服務(wù)器的安全，那么必須要構(gòu)建一個(gè)立體的防護(hù)網(wǎng)。

構(gòu)建企業(yè)Web安全防護(hù)二：利用IPS構(gòu)建一個(gè)立體的Web防護(hù)網(wǎng)

IPS(入侵防御系統(tǒng))是一個(gè)集成入侵防御與檢測(cè)、病毒過(guò)濾、帶寬管理和URL過(guò)濾等功能的一個(gè)綜合性的防御系統(tǒng)。對(duì)于Web服務(wù)器來(lái)說(shuō)，其基本上涵蓋了上中下三個(gè)層面的內(nèi)容。為此借助IPS技術(shù)，就可以為Web服務(wù)器構(gòu)建一個(gè)立體的Web防護(hù)網(wǎng)。

眾所周知，防火墻等設(shè)備，其主要關(guān)注的是網(wǎng)絡(luò)層的基礎(chǔ)安全，而不會(huì)涉及到應(yīng)用層。而像SQL注入式攻擊等等基本上都發(fā)生在應(yīng)用層。為此對(duì)于Web服務(wù)器的安全貢獻(xiàn)不是很大。而IPS技術(shù)與防火墻不同，其可以深入到應(yīng)用層面。IPS防御系統(tǒng)會(huì)檢測(cè)從報(bào)文頭到報(bào)文負(fù)載的每一個(gè)字節(jié)，將數(shù)據(jù)流流與攻擊特征字節(jié)進(jìn)行對(duì)比，從而有效的發(fā)現(xiàn)隱藏在正常數(shù)據(jù)流中的攻擊報(bào)文?？梢?jiàn)通過(guò)IPS系統(tǒng)可以為Web服務(wù)器構(gòu)建一個(gè)立體的防護(hù)網(wǎng)。

IPS防御系統(tǒng)的理論知識(shí)大家可以去查看具體的書籍，這不是筆者這里要重點(diǎn)討論的內(nèi)容。筆者這里需要強(qiáng)調(diào)的是，在部署IPS系統(tǒng)時(shí)需要注意的內(nèi)容。

構(gòu)建企業(yè)Web安全防護(hù)三：IPS選購(gòu)時(shí)要選品牌、看技術(shù)實(shí)力

IPS與普通的安全產(chǎn)品不同，其核心的內(nèi)容就是技術(shù)。具體的說(shuō)，就是檢測(cè)引擎。雖然現(xiàn)在市面上提供IPS產(chǎn)品的廠商有很多。但是根據(jù)筆者的了解，其效果是層次不齊。有些IPS產(chǎn)品，雖然打著ISP旗號(hào)，但是基本上起不到IPS的功能。這主要是因?yàn)闄z測(cè)引擎等核心技術(shù)，各個(gè)廠商都非常的看重。有些技術(shù)實(shí)力稍微薄弱一點(diǎn)的企業(yè)，就無(wú)法研發(fā)完善的檢測(cè)引擎。而由于缺乏這個(gè)核心的技術(shù)，則IPS功能就只成了一個(gè)擺設(shè)。

為此企業(yè)在選購(gòu)IPS防御系統(tǒng)的時(shí)候，主要需要關(guān)注的是廠商的技術(shù)實(shí)力。簡(jiǎn)單的說(shuō)，就是需要選品牌的。國(guó)內(nèi)有幾家廠商的技術(shù)實(shí)力還比較雄厚，對(duì)于檢測(cè)引擎的升級(jí)也比較快。能夠在最短的時(shí)間內(nèi)，發(fā)現(xiàn)可疑的攻擊行為。

構(gòu)建企業(yè)Web安全防護(hù)四：IPS選購(gòu)時(shí)需要關(guān)注其涉及的層面

在文章一開始，筆者就談到過(guò)，Web服務(wù)器從上到下可以分為三層。如果任何一層出現(xiàn)漏洞，那么都會(huì)給服務(wù)器帶來(lái)致命的打擊。為此我們?cè)谶x擇IPS防御系統(tǒng)的時(shí)候，也需要關(guān)注，其選擇的產(chǎn)品到底是否能夠?qū)@個(gè)三個(gè)層面構(gòu)成一個(gè)立體的防御體系。

如針對(duì)Web網(wǎng)頁(yè)程序的攻擊，管理員需要評(píng)估產(chǎn)品是否會(huì)分析網(wǎng)頁(yè)程序ud每一個(gè)HTTP請(qǐng)求，并根據(jù)常見(jiàn)的網(wǎng)頁(yè)漏洞原理對(duì)每個(gè)客戶端提交的HTTP請(qǐng)求進(jìn)行攻擊特征匹配。如果發(fā)現(xiàn)有可疑的請(qǐng)求，能夠自動(dòng)將攻擊報(bào)文阻斷并報(bào)警。

而對(duì)于中間層來(lái)說(shuō)，需要IPS防御系統(tǒng)能夠分析跟蹤Web服務(wù)器中間層組建的攻擊特點(diǎn)以及常見(jiàn)的漏洞，并在IPS系統(tǒng)中實(shí)現(xiàn)核心的防護(hù)措施。如對(duì)于SQLServer數(shù)據(jù)庫(kù)服務(wù)器來(lái)說(shuō)，IPS系統(tǒng)需要根據(jù)已有的信息，來(lái)判斷SQLServer服務(wù)器是否存在可以被攻擊的漏洞等等。

對(duì)于底層的操作系統(tǒng)來(lái)說(shuō)，需要IPS系統(tǒng)能夠?qū)ζ涮峁┓雷o(hù)。如系統(tǒng)需要分析常見(jiàn)操作系統(tǒng)的每一個(gè)可以被遠(yuǎn)程利用的漏洞，分析漏洞的原因和利用這個(gè)漏洞發(fā)生攻擊的常見(jiàn)手段。并從歷史的攻擊案例中分析出攻擊的特征。然后將這個(gè)結(jié)果與現(xiàn)有的數(shù)據(jù)流進(jìn)行匹配，以判斷是否有可以的攻擊行為。

在選型時(shí)，安全技術(shù)人員需要評(píng)估IPS能否在以上三個(gè)層面提供足夠安全的技術(shù)保障。如果不能股從技術(shù)層面進(jìn)行測(cè)試的話，那么至少要看看其是否通過(guò)了相關(guān)的國(guó)際認(rèn)證。如對(duì)于操作系統(tǒng)層的防火，可以考察其是否通過(guò)了微軟的MAPP認(rèn)證。因?yàn)橹灰ㄟ^(guò)了這個(gè)認(rèn)證，那么廠商就可以提前獲得微軟的漏洞信息(在微軟正式發(fā)布漏洞聲明之前)。對(duì)于安全防護(hù)來(lái)說(shuō)，有時(shí)候時(shí)間就是生命。提早一步知道系統(tǒng)的漏洞，那么就可以在攻擊者發(fā)起攻擊之前就采取防護(hù)措施。

另外有些廠商提供的IPS防御系統(tǒng)，其關(guān)注的內(nèi)容并不是很全面。如只管住中間層和Web網(wǎng)頁(yè)程序?qū)拥膬?nèi)容。他們認(rèn)為操作系統(tǒng)層的安全可以有系統(tǒng)管理員來(lái)負(fù)責(zé)或者由微軟的Update服務(wù)來(lái)實(shí)現(xiàn)。雖然這也有一定的道理，但是其會(huì)增加管理人員的工作量。需要同時(shí)從多個(gè)平臺(tái)上來(lái)可以Web服務(wù)器的安全。這不是很理想。

構(gòu)建企業(yè)Web安全防護(hù)五：根據(jù)Web服務(wù)器的規(guī)模來(lái)選擇不同規(guī)格的產(chǎn)品

Web服務(wù)器是一個(gè)很特殊的應(yīng)用。其客戶多則有上億，而少則可能只有幾百個(gè)(如一個(gè)B/S架構(gòu)的OA應(yīng)用)。這就對(duì)IPS的選型提出了一個(gè)額外的挑戰(zhàn)。因?yàn)樗械耐ㄐ哦夹枰?jīng)過(guò)IPS系統(tǒng)的檢測(cè)。為此對(duì)于其性能肯定會(huì)造成一定程度的影響。

當(dāng)Web服務(wù)的并發(fā)性訪問(wèn)數(shù)量比較高時(shí)，這個(gè)負(fù)面影響會(huì)非常的嚴(yán)重。此時(shí)對(duì)于IPS服務(wù)器就需要采用比較高的配置，以縮短檢測(cè)過(guò)程所占用的時(shí)間。而對(duì)于規(guī)模比較小的應(yīng)用，其流量本身就不是很大，此時(shí)采用的配置可以底一點(diǎn)。畢竟一分錢一分貨。高配置與低配置在最后的結(jié)果上可能沒(méi)有多少的差異，但是在性能上會(huì)相差很多。當(dāng)然在價(jià)格上，也是一個(gè)天上、一個(gè)地下。

總之，在選擇IPS防御系統(tǒng)的時(shí)候，要根據(jù)自己企業(yè)的Web規(guī)模來(lái)選擇合適的規(guī)格。此時(shí)主要是從IPS的吞吐量，即性能角度進(jìn)行考慮。一個(gè)基本的原則，就是盡可能的減少由于采用了IPS系統(tǒng)而給用戶帶來(lái)的負(fù)面影響。

【編輯推薦】

1. 黑客使用Web攻擊的八條原因
2. 防止入侵從Web應(yīng)用安全漏洞做起
3. 社交網(wǎng)絡(luò)時(shí)代下的企業(yè)Web安全
4. 概述網(wǎng)頁(yè)掛馬原理與危害
5. 網(wǎng)頁(yè)掛馬之我的前生今世