2008年第22期 (总第244期) 企业科技与发展 Enterprise Science And Technology&Development (Cumulatively NO.244) 构建安全Web网站的策略 萍 (江苏省溧阳市职业教育中心,江苏溧阳213300) 【摘要】文章分析了常用的几种网络安全技术,提出了构建安全Web网站的策略。 【关键词】网络安全;Web网站;构建策略 【中图分类号】TP393.08 【文献标识码】A 【文章编号】1674—0688(2008)22-01 17—02 Measures to Build Web Network Security SHI Ya——ping I Ji gsu Province Liyang VoeationM Education Center,Liyang Ji 喾sll 213300) 【Abstract】The article analyzes severa1 common techniques for network security,proposes the related measu t0 build web network security. 【Keywords】network secIJrity;web netw0Tk;measures 随着因特网的小断发腮,Web网站提供的www服务成 为囚特网中应用范同最广、最受欢迎的服务,Web网站的内 的内部用户的攻击。另外,防火墙也不能防止受到病毒感染的 软件或文件的传输。 容已经涉及现实世界的方方面面,成为互联网上最重要的资 源。与此同时,web网站也面临着前所未有的安全威胁,黑 1.2入侵检测技术 入侵检测(IDS)是近年来发展起来的一种防范技术。它能 客的非法入侵、病毒的蔓延、网页篡改、服务瘫痪、漏洞非法 利用等严重影响Web网站的安伞、稳定运行。本文讨论了常 够监控网络和计算机系统是否出现被入侵或滥用的征兆,能对 网络资源和计算机系统的恶意使用行为进行实时检测和识别, 包括来自系统外部的入侵行为和来自内部用户的非授权行为, 用的几种网络安全技术,提出了构建安全Web网站的策略。 1网络安全技术综述 日前,常用的网络安全技术包括:防火墙、入侵检测、虚 拟专网、刚络防病毒、日志审计等,下面就这些网络安全技术 做个综述,分析它们的长处和不足,为将儿大网络安全技术有 机结合构建一个安全的Web网站打下基础。 能检查系统的配置和漏洞,评估重要的系统和数据文件的完整 性,识别违反授权的用户活动,对异常行为进行统计分析,识 别攻击类型,并向网络管理人员报警。 入侵检测系统要解决两个最基本的问题是:如何充分并可 靠地提取描述行为特征的数据,如何根据特征数据,高效并准 确地判断行为的性质。对入侵检测而言,入侵特征的收集十分 重要,囚此,它对于已经存在的入侵手段能起到较好的防范作 1.1防火墙技术 防火墙处于不同网络之间(如企业内部网络和外部因特网) 或不同网络安全区域之间,它是不同网络之问或不同网络安令 用,而对于新的入侵手段则有很大的局限性。 1.3虚拟专网技术 虚拟专网(VPN)被定义为通过一个公用网络(如因特网)建 立一个临时的、安全的连接,是一条穿过混乱的公用网络的安 区域之间信息交流的唯一出入【],它能根据事先设置好的过滤 规则对跨越它的信息流进行监测、限制、更改,能对外部屏蔽 内部网络的IP地址、网络结构细节等,能文现内部网络与外 部网络(如因特网)之 或内部网络不同安全区域之间的隔离与 访问控制,有效地防止外来的入侵,为内部网络建立起一道安 全屏障。 防火墙把内部网络当成可信任网络,把外部网络当成小 可信网络, 此,它可以控制外部用户对内部网络的访问,但 小能控制内部用户访问外部网络,也不能防范来向防火墙内侧 全、稳定的隧道。它利用不可靠的公用网络作为信息传输媒 介,通过附加安全隧道、用户认证、访问控制等技术实现与专 用网络类似的安全性能。它可以帮助远程用户、公i 分支机 构、商业伙伴及供应商同公司的内部网络之间建立可信的安全 连接,并保证数据的安全传输。 虚拟专网技术是具有价格优势的很有前途的新兴通信手段 之一,利用凶特网建立VPN连接,可以使企业减少对昂贵租 【作者简介】石亚萍(1966一),女,江苏溧阳人,江苏省溧阳市职业教育中心教师,研究方向:计算机应用与管理。 1 1 7 用线路和复杂远程访问方案的依赖性。 1.4网络防病毒技术 网络病毒感染一般是从用户I:作站开始的,而删络服务器 是病毒潜在的攻击H标,也是网络病毒潜藏的重要场所。网络 服务器一 被感染病毒后,可能造成服务器瘫痪;也可能成为 病毒传播的代理人,在lr作站之间迅速传播与蔓延病毒。因 此,网络防病毒婴采用多层防御系统,在刚关、服务器、个人 桌面计算机卜均使用防病毒软件。网络防病毒软件可以对服务 器和丁作站进行查毒扫描、检查、隔离、报警,当发现病毒时 清除病毒。 入侵柃测类似,网络防病毒技术只能对已有病毒、已有 病毒的部分变种有良好的防护作用,而对于新型病毒还尢有效 的解决 法,需要及时升级特征库。 1_5 日志审计系统 日志文件是包含火于系统消息的文件,这些消息通常来自 操作系统内核、运行的服务和程序。臼忠文件包括系统【_I志、 安全H忠、应用日志等。日志审计系统通过一些特定的、预先 定义的规则来发现甘志巾潜在的问题。现在的Windows、1J— NIX和Linux操作系统都提供r较完善的Ⅱ志系统。 Lj志市汁町以用来事后亡羊补牢,也可以用来对网络安全 攻击进行取证。显然它是一种被动的、事后的防护或事巾跟踪 的手段,很难住事前发挥作用。 2 web网站的安全策略 通过对常用的几大网络安全技术分析可知,一个发伞的 Web网站想靠一种网络安伞技术来实现是/卜现实的,因此, 必须将多种网络安仝技术有机地结合起来,发挥它们各自的长 处,弥补它们各自的不足,从而构筑起一个完整的安全体系。 2.1 使用防火墙构筑第一道安全屏障 防火墙技术是安令领域中最重婴的技术之一,它应是一个 安伞体系中的核心环 。事实卜,现在很多企业和政府机构的 Web网站架构都建立在这种以防火墙为核心的安全保障机制 卜。利用防火墙的网络地址转换,让内部网络的服务器只配旨 外部网络几法访问的内部IP地址,将内部网络与外部网络严 格隔离开来,并根据企业的安全需要制定严密的防火墙过滤规 则,限制、控制lLH入内部网络的信息流,过滤掉不安伞的服 务,进一步增强开放服务的安伞性。 2.2利用IDS构筑第二道安全屏障 利用IDS监控、分析用户和Web网站系统的行为,检查 出来闩系统外部的入侵行为和来自内部用户的非授权行为,柃 测出任何损害或企 损害系统机密性、完整性或可用性的行 为,榆查出Web网站系统的配置和漏洲,埘系统进行审计、 跟踪管理,对危险和恶意访问进行阻断、报警等,增强整个 Web 站系统的安伞性。 2.3建立完整的安全模型 前面通过对虚拟专网VPN的分析,不难得出一个结论, 将VPN技术纳入到Web网站安仝体系架构中来,形成一・个以 防火墙为核心结合IDS技术、VPN技术、防病毒技术等完整 的安全模型。模型图如图1所示。 1 1 8 机 图1 在防火墙与内部交换机之间增加一条VPN通道,使得从 防火墙到内部网络具有2条通道。增加了一条通道并没有使整 个系统的安伞性降低,反而L川为有了这条VPN通道,使得内 部网络与外部网络更好地隔离。我们可以将另一条通道的安全 规则定得更苛刻些(如禁止从外部刚络商接登陆、远程管理配 置服务器等);可以通过这条安全的VPN通道登录到内部网络 的服务器卜,再通过内部网络服务器登陆到防火墙或交换机卜 进行远程管 ,就像内部用户访问1人J部刚络巾的所有资源一 样。这样既可实现埘Web网站的远程管理,又可提高整个系 统的安伞性。 2.4构筑立体交叉防病毒系统 在网关、服务器和桌面计算机上部署多层防病毒系统,在 尽可能多的点安装儿种防病毒软件进行交叉杀毒。定期更新防 病毒定义文件和引擎,使其病毒定义文件保持最新版本。一般 更新是自动进行的,但应定期检查日志文件以确保是 正确地 执行了更新工作。重要的网络文件和网络数据要定期备份,一 病毒破坏了用户的数据,用户可以利用备份档案恢复相关文 件。通过使用最新病毒定义文件,对所有数据进行全面、随机 扫捕,确保档案中没有任何受感染文件蒙混过火。 2.5审查日志防患于未然 详细地审查系统日忠文件,可以了解系统是如何被侵入的, 入侵过稗中攻击者执行了哪些操作,以及哪些远程主机访问了 本网站。通过这些信息,能够埘入侵者有更加清晰的了解。 3结语 构建一个安全的Web网站,还要结合一身Web系统的功 能、特点以及对于安全的具体需求来制定构建方案,在满足网 站功能和需求的前提下,配合以 组网安全策略构建一个完整 的安伞体系,从而最大限度地保障weh网站的安伞。固 参 考文献 [1]张友生.系统分析师考试论文试题分类分析与范文『M].北京: 电子工业出版社,2005. f2]姚小兰,李保奎,董宁.网络安全管理与技术防护『M].北京: 北京理工大学出版社. 3谢杨.虚拟专用网VPN系统讲座[ 计算机世界,2002(1). [责任编辑:梁凡]