摘 要 在互聯(lián)網(wǎng)高速發(fā)展的今天，Web服務(wù)器已經(jīng)成為互聯(lián)網(wǎng)不可或缺的一部分。隨著Web應(yīng)用越來(lái)越廣泛，攻擊者也將攻擊目標(biāo)瞄準(zhǔn)了Web服務(wù)器，所以其安全性也越來(lái)越受到人們的重視。本文不僅簡(jiǎn)單的介紹了Web服務(wù)器，還針對(duì)其主要攻擊方法做了一定的防范策略，有效地提高了Web服務(wù)器的安全性。

關(guān)鍵詞 Web服務(wù)；安全防衛(wèi)

中圖分類(lèi)號(hào) TP393 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1673-9671-(2012)071-0144-01

隨著網(wǎng)絡(luò)信息化的發(fā)展，基于Web服務(wù)的應(yīng)用越來(lái)越多，其安全性也越來(lái)越受到人們重視。一旦Web服務(wù)器遭到攻擊，不僅無(wú)法提供正常服務(wù)，而且內(nèi)部信息也會(huì)泄露。本來(lái)針對(duì)Web服務(wù)器主流的攻擊手段做了一些介紹以及防范方法。

1 Web服務(wù)器簡(jiǎn)介

Web服務(wù)器也稱為WWW（WORLD WIDE WEB）服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。WWW是Internet的多媒體信息查詢工具，是Internet上近年才發(fā)展起來(lái)的服務(wù)，也是發(fā)展最快和目前用的最廣泛的服務(wù)。正是因?yàn)橛辛薟WW工具，才使得近年來(lái)Internet迅速發(fā)展，且用戶數(shù)量飛速增長(zhǎng)。

Web服務(wù)器是駐留于因特網(wǎng)上某種類(lèi)型計(jì)算機(jī)的程序。當(dāng)Web瀏覽器（客戶端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類(lèi)型）。服務(wù)器使用HTTP（超文本傳輸協(xié)議）進(jìn)行信息交流，這就是人們常把它們稱為HTTPD服務(wù)器的原因。

Web服務(wù)器不僅能夠存儲(chǔ)信息，還能在用戶通過(guò)Web瀏覽器提供的信息的基礎(chǔ)上運(yùn)行腳本和程序。

2 Web服務(wù)器面臨主要威脅

由于Web服務(wù)器為各種各樣的客戶端提供服務(wù)，用戶也是各種各樣的，使得這些應(yīng)用系統(tǒng)直接的暴漏在了一個(gè)很不安全的環(huán)境中，Web服務(wù)器無(wú)時(shí)無(wú)刻不受到安全威脅，這些威脅主要包括拒絕服務(wù)、分布式拒絕服務(wù)、SQL注入攻擊以及跨站腳本攻

擊等。

2.1 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是通過(guò)某些方法或者手段使得目標(biāo)主機(jī)或者網(wǎng)絡(luò)癱瘓，不能正常提供服務(wù)。其技術(shù)原理簡(jiǎn)單，工具化，往往難以防范。其攻擊方式主要分為三種，消耗有限的物理資源、修改配置信息、物理部件的移除或破壞。

2.2 SQL注入

SQL注人往往是利用數(shù)據(jù)庫(kù)本身的漏洞或者網(wǎng)頁(yè)程序源碼漏洞進(jìn)行的，在此類(lèi)攻擊中，攻擊者會(huì)把SQL命令插入到Web表單的輸人域或頁(yè)面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令。這些命令往往包括忘數(shù)據(jù)庫(kù)中添加惡意信息或者把數(shù)據(jù)庫(kù)中原有的信息刪除等，更有甚者有可能從數(shù)據(jù)庫(kù)中竊取系統(tǒng)管理員的賬號(hào)密碼，從而達(dá)到完全控制整個(gè)網(wǎng)站系統(tǒng)的目的。

2.3 跨站腳本攻擊

攻擊者向Web頁(yè)面中插入惡意腳本沒(méi)有被網(wǎng)站過(guò)濾，當(dāng)用戶瀏覽該頁(yè)面時(shí)，嵌入其中的惡意腳本就會(huì)執(zhí)行，從而達(dá)到攻擊者的特殊目的。

這類(lèi)攻擊一般不會(huì)對(duì)網(wǎng)站主機(jī)本身有任何威脅，攻擊者使用某些語(yǔ)言（腳本）以網(wǎng)站主機(jī)為跳板對(duì)網(wǎng)站使用者進(jìn)行攻擊，所以才被稱為跨站腳本攻擊。

3 Web服務(wù)器安全防護(hù)

3.1 安裝防火墻與反病毒軟件

防火墻是一種有效的網(wǎng)絡(luò)安全系統(tǒng)，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問(wèn)。它是軟硬件系統(tǒng)組成的，能通過(guò)一定策略控制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。

安裝防火墻后，通過(guò)制定一些準(zhǔn)入策略，能防范一些非法的主機(jī)連接服務(wù)器。

3.2 屏蔽不必要的端口

默認(rèn)情況下，WINDOWS有很多端口是開(kāi)放的，這也給網(wǎng)絡(luò)黑客提供了方便。病毒和黑客可以通過(guò)這些開(kāi)放的端口來(lái)侵入服務(wù)器。為了提高服務(wù)器的安全性，除了一些重要的必備的端口，如80端口為WEB網(wǎng)站服務(wù)，21端口為FTP服務(wù)，25端口為SMTP服務(wù)等等其他端口都可以關(guān)閉。

3.3 關(guān)閉不必要的服務(wù)

操作系統(tǒng)往往會(huì)提供許多服務(wù)，但這些服務(wù)也經(jīng)常被攻擊者利用，所以除非確實(shí)需要，最后將這些服務(wù)關(guān)掉，提高安全性。

3.4 合理的訪問(wèn)控制

訪問(wèn)控制機(jī)制是為了保證資源的合法性訪問(wèn)，特定的資源只能被擁有該資源訪問(wèn)權(quán)限的用戶訪問(wèn)，防止非法訪問(wèn)。在Web服務(wù)器中我們可以針對(duì)不同組不同用戶設(shè)定不同的訪問(wèn)權(quán)限，以保證系統(tǒng)安全。訪問(wèn)控制是在身份認(rèn)證基礎(chǔ)上，依據(jù)授權(quán)對(duì)提出的資源訪問(wèn)請(qǐng)求加以控制。即限制已授權(quán)的用戶、程序、進(jìn)程或計(jì)算機(jī)網(wǎng)絡(luò)中其他系統(tǒng)訪問(wèn)本系統(tǒng)資源的過(guò)程。

一般實(shí)現(xiàn)方式有訪問(wèn)控制表，訪問(wèn)能力表，授權(quán)關(guān)系表。

3.5 腳本安全維護(hù)

很多攻擊者喜歡編寫(xiě)一些程序?qū)GI程序或者PHP腳本實(shí)施攻擊。我們使用網(wǎng)站時(shí)，需要向Web服務(wù)器傳遞一些必要的參數(shù)，才能夠正常訪問(wèn)。這個(gè)參數(shù)可以分為兩類(lèi)，一個(gè)是值得信任的參數(shù)，另外一類(lèi)是不值得信任的參數(shù)。在編寫(xiě)腳本的時(shí)候，我們要留心傳入的參數(shù)。我們可以加一些判別條件看參數(shù)是否合法，規(guī)范化，不合要求的一律不準(zhǔn)傳入，并且返回錯(cuò)誤讓系統(tǒng)管理員知道有人在嘗試攻擊，并及時(shí)采取防范措施。

3.6 啟用事件日志

啟用日志服務(wù)可以記錄黑客的行蹤，管理員可以通過(guò)查看日志發(fā)現(xiàn)入侵者的行蹤，做過(guò)什么手腳，留下什么后門(mén)，以及給系統(tǒng)造成了哪些破壞及隱患，服務(wù)器到底還存在哪些安全漏洞等，以便有針對(duì)性地實(shí)施維護(hù)。

4 結(jié)束語(yǔ)

本文介紹了Web服務(wù)器的概念，以及面臨的主要威脅和防范方法，隨著互聯(lián)網(wǎng)的不斷發(fā)展，Web服務(wù)器已經(jīng)成為不可或缺的一部分，但正因如此，Web服務(wù)器也成為眾多攻擊者的主要目標(biāo)之一，為了防范主流的攻擊，文章簡(jiǎn)單介紹了主要防范方法，維護(hù)Web安全是一項(xiàng)艱巨的任務(wù)，但是我們?nèi)匀豢梢宰鲆恍┝λ芗暗墓ぷ鱽?lái)保證Web服務(wù)安全。

參考文獻(xiàn)

[1]姚瀅，陸建新.網(wǎng)站文件保護(hù)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，28(6):1300-1302.

[2]張洪揚(yáng)，唐學(xué)文.用Modsecurity增強(qiáng)Web應(yīng)用安全[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007(5):75-77.

[3](美)Marclew M H，Waymire R.Windows2000安全web應(yīng)用程序設(shè)計(jì)[M].王建華譯.北京:機(jī)械工業(yè)出版社，2001.

[4]張捍衛(wèi)，余升.ASP開(kāi)發(fā)Web應(yīng)用程序的安全問(wèn)題及對(duì)策口[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2008(23):167-168.