資源描述:
《網(wǎng)站安全整體方案》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)����。
1、前言在網(wǎng)絡(luò)應(yīng)用越來(lái)越多的今天,對(duì)于一個(gè)ICP(Internet內(nèi)容供應(yīng)商)來(lái)說(shuō)���,擁有大量的訪問(wèn)量和用戶是ICP的目標(biāo)�����,但這樣��,又會(huì)帶來(lái)系統(tǒng)安全、網(wǎng)絡(luò)帶寬與服務(wù)器處理能力的大量需求�。從為了建立一個(gè)能夠正常運(yùn)行的網(wǎng)站系統(tǒng)的角度出發(fā),結(jié)合目前網(wǎng)絡(luò)安全方面的諸多問(wèn)題和現(xiàn)狀��,我在這里為您提供一個(gè)有關(guān)網(wǎng)站方面的安全防護(hù)的簡(jiǎn)單的方案�,希望能對(duì)您將來(lái)在這方面的工作提供一定的幫助。分析與解決方案一個(gè)網(wǎng)站的建立���,是必須有以下的前提做為基礎(chǔ)的�����,其中包括:1.網(wǎng)站程序所在的高性能服務(wù)器�����。2.能夠被網(wǎng)上其他用戶所訪問(wèn)的域名或IP地址���。3.能夠保證擁有足夠流量的網(wǎng)絡(luò)帶寬��。這里�����,我們拋開(kāi)網(wǎng)頁(yè)開(kāi)發(fā)
2�、時(shí)網(wǎng)頁(yè)系統(tǒng)本身編寫(xiě)過(guò)程中出現(xiàn)的漏洞不提����,只對(duì)以上所提到的部分進(jìn)行必要的安全防護(hù)方面的整體分析。首先�����,高性能的服務(wù)器是建立一個(gè)網(wǎng)站所必要的組成部分���,一個(gè)網(wǎng)站的訪問(wèn)量如果很大的話�,甚至還包括視頻類的服務(wù)�,那么,不使用高性能的服務(wù)器是很容易造成網(wǎng)站癱瘓的���。所以����,如果要建立一個(gè)好的網(wǎng)站,一個(gè)高性能的服務(wù)器是必不可少的��。當(dāng)擁有了網(wǎng)站所使用的高性能服務(wù)器之后�,還需要做的事情就是為這些網(wǎng)站服務(wù)器的操作系統(tǒng)盡量打上所有的安全補(bǔ)丁。因?yàn)樵诰W(wǎng)絡(luò)安全界里有這樣的一種說(shuō)法�����,當(dāng)你將一臺(tái)電腦的操作系統(tǒng)的所有補(bǔ)丁都打全的時(shí)候��,你甚至是不需要任何的殺毒軟件和防火墻的��。當(dāng)然這是一種夸大的說(shuō)法�����,但是這
3���、也足以說(shuō)明打補(bǔ)丁對(duì)于安全防護(hù)的重要性。在了解了打補(bǔ)丁的重要性之后就是具體工作的部分��,因?yàn)橐话愕南到y(tǒng)所存在的漏洞有很多,我們可以借助一些工具來(lái)查找當(dāng)前系統(tǒng)中所存在的漏洞��,然后在借助該工具進(jìn)行打補(bǔ)丁的工作�����。當(dāng)然���,少量的機(jī)器我們可以采取挨個(gè)打補(bǔ)丁的辦法���,當(dāng)電腦和服務(wù)器數(shù)量比較大的時(shí)候,我們還可以借助一些專門(mén)的軟件來(lái)進(jìn)行這樣的工作�。在說(shuō)完了基于系統(tǒng)自身的安全防護(hù)來(lái)說(shuō),現(xiàn)在需要說(shuō)明的是基于數(shù)據(jù)備份方面的問(wèn)題��。在上面�����,如果將網(wǎng)站服務(wù)器的安全補(bǔ)丁打的很全����,可以保證它能夠順利的運(yùn)行的情況下,那么是不是就是可以高枕無(wú)憂呢����?答案是否定的���。就如這個(gè)世界上沒(méi)有不會(huì)被攻破的城市一樣,絕對(duì)安全
4�、的服務(wù)器是不存在的,操作系統(tǒng)的漏洞����,代碼的不安全,操作人員的失誤�����,甚至是突然的斷電等都可能造成具有寶貴數(shù)據(jù)的服務(wù)器的崩潰��。所以我們必須要經(jīng)常的對(duì)網(wǎng)站系統(tǒng)的數(shù)據(jù)進(jìn)行備份�����。這里所說(shuō)的備份與我們常說(shuō)的用刻盤(pán)的方式來(lái)進(jìn)行的備份是不同的�����,一個(gè)網(wǎng)站系統(tǒng)所擁有的數(shù)據(jù)量是不允許我們以這樣的方式來(lái)進(jìn)行備份的�����。那么�����,我們可以通過(guò)使用專門(mén)的安全產(chǎn)品來(lái)做這樣的工作��,它能夠自動(dòng)的將您的數(shù)據(jù)備份到磁帶機(jī)上���,便于您在遇到重大的事故的時(shí)候能夠及時(shí)的找回重要數(shù)據(jù)�����,減少損失��。在服務(wù)器上的準(zhǔn)備工作做完之后���,我們可以將網(wǎng)站的服務(wù)器接到網(wǎng)絡(luò)上,從這里開(kāi)始��,服務(wù)器就必須要開(kāi)始承受來(lái)自外部的攻擊和訪問(wèn)�����,那么它的
5、安全措施將更加復(fù)雜化��,一般來(lái)說(shuō)�,它的網(wǎng)絡(luò)拓?fù)鋱D大致是下面這個(gè)樣子的:從上面的圖上可以看到,一個(gè)網(wǎng)站的系統(tǒng)建立大致是以上的情形�����,外部網(wǎng)接入以后��,內(nèi)部擁有很多臺(tái)電腦來(lái)從事網(wǎng)站系統(tǒng)的服務(wù)工作���,可能有多臺(tái)WEB服務(wù)器�����,還可能有一些POP3�,SMTP郵件服務(wù)器�,而如何使這些重要的機(jī)器不被來(lái)自外部的機(jī)器隨便訪問(wèn)和控制甚至攻擊呢?就需要借助一些網(wǎng)關(guān)類的安全產(chǎn)品�����,包括:防火墻���,入侵檢測(cè)���,防病毒網(wǎng)關(guān)等等。作為一個(gè)擁有靜態(tài)IP地址的服務(wù)器����,如果這臺(tái)服務(wù)器沒(méi)有任何的防護(hù)的話,網(wǎng)上的使用者可以很容易的訪問(wèn)到這臺(tái)服務(wù)器上�,如果其中包含惡意的用戶,那么他們很可能就會(huì)更改這臺(tái)服務(wù)器的設(shè)置����,從而將
6、網(wǎng)站“黑”掉���。防火墻就可以很好的解決來(lái)自外部的非法訪問(wèn)��。首先��,先說(shuō)明一下防火墻的功能:1.防火墻是網(wǎng)絡(luò)安全的屏障��,防火墻(作為阻塞點(diǎn)�����、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性�,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻��,所以網(wǎng)絡(luò)環(huán)境變得更安全��。2.對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)�,如果所有的訪問(wèn)都經(jīng)過(guò)防火墻,那么����,防火墻就能記錄下這些訪問(wèn)并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)���。當(dāng)發(fā)生可疑動(dòng)作時(shí)�����,防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警����,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息�。另外����,收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的����。首先的理由是可以
7�����、清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊���,并且清楚防火墻的控制是否充足��。3.防止內(nèi)部信息的外泄�,通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分�,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響���。再者���,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題,一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣�����,甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger�,DNS等服務(wù)。一般來(lái)說(shuō)���,在服務(wù)器的外面架設(shè)一臺(tái)硬件防火墻就能很好的阻止外部的不良訪問(wèn)���。做到讓服務(wù)器處在一個(gè)比較安全的地方。但是�,在網(wǎng)關(guān)處單單使用一臺(tái)
