◆任地成 孫 鑫 談 心 屠興漢 曲 楠

(北方聯(lián)合廣播電視網(wǎng)絡(luò)股份有限公司 遼寧 110000)

Web網(wǎng)站的網(wǎng)絡(luò)安全防護(hù)策略研究

◆任地成 孫 鑫 談 心 屠興漢 曲 楠

(北方聯(lián)合廣播電視網(wǎng)絡(luò)股份有限公司 遼寧 110000)

信息化讓W(xué)eb網(wǎng)站越來越多的呈現(xiàn)在了大眾面前，同時(shí)也給網(wǎng)絡(luò)攻擊者進(jìn)入Web網(wǎng)絡(luò)的途徑，網(wǎng)絡(luò)攻擊者所使用的手段千變?nèi)f化并且實(shí)時(shí)更新?lián)Q代，作為網(wǎng)絡(luò)安全防護(hù)來說困難重重，本文就是牢牢把握住網(wǎng)絡(luò)攻擊的途徑和手段，通過構(gòu)建縱深防御體系，來有效阻斷網(wǎng)絡(luò)攻擊者對(duì)Web網(wǎng)站的攻擊實(shí)現(xiàn)Web網(wǎng)站的安全。

網(wǎng)絡(luò)安全；縱深防護(hù)；防護(hù)策略

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，各行各業(yè)的信息化建設(shè)日趨豐富和多樣，其中信息宣傳的重要方式就是 Web網(wǎng)站，為了更方便快捷的管理網(wǎng)站，大多數(shù)網(wǎng)站都是使用動(dòng)態(tài)語言編寫（如ASP、JSP、PHP等），在方便的同時(shí)也帶來了新的安全問題，由于網(wǎng)站是直接暴露在互聯(lián)中，這就注定了其需要隨時(shí)面對(duì)各種類型的網(wǎng)絡(luò)攻擊，如何為網(wǎng)站提供安全可靠的安全防護(hù)策略，成為提高網(wǎng)站安全性的重要手段。

1 Web網(wǎng)站攻擊方式

Web網(wǎng)站的攻擊重要來自于互聯(lián)網(wǎng)，而攻擊手段主要分為Web網(wǎng)絡(luò)攻擊和Web服務(wù)攻擊兩大類，其中Web網(wǎng)絡(luò)攻擊包括分布式拒絕服務(wù)攻擊、滲透攻擊等；Web服務(wù)攻擊包括Http Heads攻擊、Cookie攻擊等，這些攻擊從不同層面對(duì)網(wǎng)站進(jìn)行網(wǎng)絡(luò)及服務(wù)的威脅。

1.1 Web網(wǎng)絡(luò)攻擊

拒絕服務(wù)攻擊的主要方式是通過某種手段讓被攻擊設(shè)備無法對(duì)外提供服務(wù)或者資源；其中資源主要有進(jìn)程、磁盤、內(nèi)存及帶寬等，讓合法正常的訪問被拒絕；網(wǎng)絡(luò)資源耗盡攻擊的是大家熟知的攻擊方式，其實(shí)只要能讓攻擊設(shè)備出現(xiàn)死機(jī)或者暫停服務(wù)的攻擊都是拒絕服務(wù)攻擊的一種，當(dāng)前網(wǎng)絡(luò)中出現(xiàn)的較多的拒絕服務(wù)攻擊類型有SYN FLOOD、ACK FLOOD、ICMP FLOOD、UDP FLOOD 等[1]。

滲透攻擊主要是攻擊人員利用在網(wǎng)絡(luò)中的位置不同（內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)）使用各類方式對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描，通過對(duì)目標(biāo)網(wǎng)絡(luò)的掃描發(fā)現(xiàn)漏洞，并在發(fā)現(xiàn)漏洞后通過其他攻擊手段來對(duì)目標(biāo)設(shè)備造成攻擊，常見的滲透攻擊方式有SQL注入、目錄瀏覽、溢出、上傳、未授權(quán)的訪問等[2]。

1.2 Web服務(wù)攻擊

Http Heads攻擊是使用IE或其他瀏覽器來對(duì)Web網(wǎng)站進(jìn)行查看時(shí)，Web網(wǎng)站雖然采用各種不同的技術(shù)或框架，但是HTTP協(xié)議不可能發(fā)生變化，而Http協(xié)議本身包含的content、Response和header，這三者之間有一個(gè)空行，它的含義是content的開始、headers的結(jié)束。對(duì)于網(wǎng)絡(luò)上熟知這個(gè)含義的攻擊者來說，就可以在這個(gè)空行上進(jìn)行攻擊，也就是說將任意字符寫入到 headers中[3]，如果在其中執(zhí)行了某些Web腳本則就產(chǎn)生了攻擊。

Cookie攻擊是通過Web腳本可以對(duì)目標(biāo)網(wǎng)站的cookie進(jìn)行訪問，也就是說通過在IE瀏覽器的地址欄中輸入Web腳本，如果目標(biāo)站點(diǎn)有cookie的話就可以直接看到其具體內(nèi)容[4]。Web攻擊人員利用這個(gè)原理就可以很輕松的獲取到用戶的關(guān)鍵信息。在網(wǎng)絡(luò)上存在很多網(wǎng)站是通過cookie方式對(duì)用戶的身份進(jìn)行驗(yàn)證，這種攻擊方式就可以很簡(jiǎn)單的獲取到用戶的身份認(rèn)證信息。

2 Web網(wǎng)站的網(wǎng)絡(luò)安全縱深防護(hù)

圖1 網(wǎng)絡(luò)安全縱深防護(hù)體系

通過分析 Web網(wǎng)站的攻擊方式可以看出其攻擊手段主要分為兩類：網(wǎng)絡(luò)攻擊和 Web服務(wù)攻擊；而這兩類攻擊就是從外向內(nèi)不斷攻擊推進(jìn)的過程；先從互聯(lián)網(wǎng)到路由器，再?gòu)穆酚善鞯胶诵慕粨Q機(jī)，最后從核心交換機(jī)到達(dá)攻擊目標(biāo) Web服務(wù)器。所以我們的防護(hù)策略就是按照攻擊的縱深進(jìn)行逐一防護(hù)而構(gòu)建的網(wǎng)絡(luò)安全縱深防護(hù)體系如圖1所示，具體防護(hù)手段如下。

2.1 Web網(wǎng)絡(luò)攻擊防護(hù)

針對(duì)網(wǎng)絡(luò)攻擊中滲透攻擊和拒絕服務(wù)攻擊的原理采用邊界防火墻與IPS入侵防御組合防護(hù)策略來防御滲透攻擊；同時(shí)采用抗DDOS系統(tǒng)來專項(xiàng)防護(hù)拒絕服務(wù)器攻擊，同時(shí)這三種網(wǎng)絡(luò)防護(hù)設(shè)備均支持防護(hù)特征庫(kù)的實(shí)時(shí)更新功能。

邊界防火墻部署在互聯(lián)網(wǎng)的邊界上，通過防火墻的安全區(qū)域劃分和安全策略配置來實(shí)現(xiàn)只允許外網(wǎng)訪問 Web服務(wù)器的單個(gè)IP地址，并且僅僅允許其訪問Web服務(wù)器對(duì)外提供Web服務(wù)的端口，這樣Web服務(wù)器只有一個(gè)IP的一個(gè)固定端口是對(duì)外公開的，這樣就避免了網(wǎng)絡(luò)攻擊者通過 Web服務(wù)器的其他端口來攻擊Web網(wǎng)站服務(wù)器的可能；同時(shí)禁止掉web服務(wù)器對(duì)外的所有訪問，該種配置方式有效預(yù)防了通過 Web服務(wù)器主動(dòng)將數(shù)據(jù)傳給網(wǎng)絡(luò)攻擊者的可能。

IPS入侵防御系統(tǒng)具有海量攻擊特征庫(kù)[5]，并且支持自動(dòng)更新，這樣有效預(yù)防了滲透攻擊方式，因?yàn)闈B透攻擊方式主要就是通過漏洞數(shù)據(jù)庫(kù)進(jìn)行漏洞掃描后進(jìn)行的滲透攻擊，IPS的攻擊特征庫(kù)包含這些漏洞數(shù)據(jù)庫(kù)中的漏洞有效阻斷了漏洞掃描，讓這些滲透攻擊無法找到Web服務(wù)器的漏洞，從而保障了Web網(wǎng)站服務(wù)器的安全。

抗 DDOS攻擊設(shè)備是專門針對(duì)拒絕服務(wù)攻擊的安全防護(hù)設(shè)備，該設(shè)備主要有三部分功能組成分別為流量清洗、異常流量監(jiān)測(cè)、異常流量清洗集中管理功能；當(dāng)異常流量檢測(cè)設(shè)備通過采樣的方式發(fā)現(xiàn) DDOS攻擊時(shí)就會(huì)觸發(fā)流量清洗設(shè)備的自動(dòng)引流功能，將攻擊流量引入到流量清洗設(shè)備中，由清洗設(shè)備根據(jù)攻擊特征將攻擊流量進(jìn)行清洗，并通過策略路由回注功能將正常的流量重新注入路由器從而實(shí)現(xiàn)對(duì)后端 Web網(wǎng)站服務(wù)器的安全防護(hù)功能。

2.2 Web服務(wù)攻擊防護(hù)

服務(wù)攻擊的手段主要針對(duì)內(nèi)容層面的攻擊，根據(jù)該類攻擊的特點(diǎn)，采用針對(duì)內(nèi)容級(jí)別的防護(hù)策略是采用 Web防護(hù)網(wǎng)關(guān)來對(duì)網(wǎng)站的服務(wù)內(nèi)容及http協(xié)議內(nèi)容進(jìn)行專項(xiàng)防護(hù)；同時(shí)配合網(wǎng)頁(yè)防篡改功能來加固網(wǎng)站內(nèi)容的安全，從而保障網(wǎng)站展現(xiàn)內(nèi)容的不可更改防護(hù)。

Web防護(hù)網(wǎng)關(guān)是對(duì)Web網(wǎng)站服務(wù)端口的具體內(nèi)容和協(xié)議的安全進(jìn)行防護(hù)[6]，讓僥幸通過邊界防護(hù)墻和躲過了 IPS防御的網(wǎng)絡(luò)攻擊者，仍然無法到達(dá)Web服務(wù)器，Web防護(hù)網(wǎng)關(guān)會(huì)對(duì)任何訪問Web網(wǎng)站服務(wù)器的http協(xié)議和Cookie的訪問進(jìn)行安全防護(hù)，同時(shí)可以檢測(cè)網(wǎng)站中的敏感信息防止泄露。

網(wǎng)頁(yè)防篡改功能是在未經(jīng)授權(quán)和未允許的情況下，不允許任何程序或者進(jìn)程對(duì)受保護(hù)的 Web網(wǎng)站的任何文件或文件夾進(jìn)行修改[7]，這就保障了Web網(wǎng)站的內(nèi)容安全，避免網(wǎng)絡(luò)攻擊者上傳非法文件及木馬等惡意文件或插入惡意代碼，有效預(yù)防了網(wǎng)絡(luò)攻擊者對(duì)網(wǎng)站的內(nèi)容進(jìn)行刪除、插入或修改，防止了黑客入侵從而更有效地對(duì)網(wǎng)站網(wǎng)頁(yè)安全進(jìn)行保護(hù)。

3 結(jié)束語

網(wǎng)絡(luò)攻擊方式層出不窮，網(wǎng)絡(luò)漏洞也是隨著時(shí)間的推移不斷更新，如果僅依靠單一的網(wǎng)絡(luò)防護(hù)手段無法實(shí)現(xiàn)對(duì) Web網(wǎng)站的安全防護(hù)，并且僅使用靜態(tài)的防護(hù)思路也無法保障明天的安全，所以只有讓安全防護(hù)特征庫(kù)不斷的更新，才能保障在新漏洞出現(xiàn)后實(shí)時(shí)的做到安全防護(hù)。無論網(wǎng)絡(luò)攻擊者采用何種手段只要能阻斷其攻擊的路徑和攻擊手段，有效保障 Web網(wǎng)站服務(wù)器的安全性還是可實(shí)現(xiàn)的。

[1]任建國(guó)．拒絕服務(wù)攻擊的研究[J]．計(jì)算機(jī)應(yīng)用，2001．

[2]陸慶華．滲透攻擊技術(shù)研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014．

[3]謝逸．應(yīng)用層HTTP攻擊檢測(cè)關(guān)鍵技術(shù)研究[J]．通信與信息系統(tǒng)，2008．

[4]胡忠望，劉衛(wèi)東．Cookie應(yīng)用與個(gè)人信息安全研究[J]．計(jì)算機(jī)應(yīng)用與軟件，2007．

[5]吳海燕，蔣東興，程志銳等．入侵防御系統(tǒng)研究[J]．計(jì)算機(jī)工程與設(shè)計(jì)，2007．

[6]李貞．探究基于 WEB防火墻的校園網(wǎng)絡(luò)安全解決策略[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016．

[7]張?chǎng)危W永強(qiáng)．一種新型網(wǎng)頁(yè)防篡改策略的研究與部署[J]．河南師范大學(xué)學(xué)報(bào)(自然科學(xué)版)，2011.