摘要：由于Web安全問題會(huì)影響其應(yīng)用效果和服務(wù)器性能，因此做好相應(yīng)的防護(hù)設(shè)計(jì)必不可少。文章分析了Web安全及其防護(hù)技術(shù)的研究現(xiàn)狀，介紹了幾種常用防護(hù)技術(shù)。

關(guān)鍵詞：防護(hù)技術(shù);Web服務(wù)器;安全

中圖法分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A

Analysis of Web security and its protection technology

HU Hengbo

（Sichuan Technology and Business University，Chengdu 611745，China）

Abstract：Because Web security issues will affect its application effect and server performance， it is essential to do a good job of corresponding protection design. By analyzing the research status of Web security and its protection technology， this paper introduces several commonly used protection technologies.

Key words：protection technology， Web server，security

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web 服務(wù)器遭受惡意攻擊的情況越來越多，因此相關(guān)安全防護(hù)技術(shù)受到人們的重視。Web 平臺(tái)常常會(huì)出現(xiàn)漏洞，給外部攻擊者提供可乘之機(jī)，在開展安全防護(hù)工作時(shí)，也須基于漏洞的實(shí)際情況。

1背景

企事業(yè)單位建立內(nèi)部業(yè)務(wù)系統(tǒng)和對(duì)外信息發(fā)布平臺(tái)都要用到 Web 應(yīng)用技術(shù)，該技術(shù)在為用戶提供便利同時(shí)，也為信息服務(wù)商提供了構(gòu)建信息系統(tǒng)的標(biāo)準(zhǔn)技術(shù)。隨著 Web 平臺(tái)的普及，針對(duì) Web 的攻擊越來越多。傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)難以高效處理數(shù)據(jù)，不能有效防御 Web 應(yīng)用程序的攻擊，所以有必要研究 Web 安全防護(hù)技術(shù)，以保障 Web 應(yīng)用程序安全[1]。

2現(xiàn)狀與意義

采用 HTTP 協(xié)議發(fā)起的 Web 應(yīng)用攻擊所用到的技術(shù)是對(duì) Web 服務(wù)器功能進(jìn)行擴(kuò)展，在 Web 服務(wù)器的軟件內(nèi)增加安全防護(hù)模塊，并在 Web 服務(wù)器未處理請(qǐng)求數(shù)據(jù)前做好安全檢查，以區(qū)分用戶與攻擊者，這就是 Web 服務(wù)器擴(kuò)展技術(shù)。面對(duì)安全威脅，國(guó)內(nèi)外科研機(jī)構(gòu)開始參與 Web 安全防護(hù)技術(shù)的研究，如中創(chuàng)軟件商用中間件股份有限公司基于“國(guó)家863技術(shù)成果”研發(fā) Info Guard Web 防篡改中間件。隨著 Web 攻擊方式的演化，推出新的防護(hù)策略顯得尤為重要。研究 Web 安全防護(hù)技術(shù)對(duì)保障 Web 應(yīng)用平臺(tái)穩(wěn)定運(yùn)行有著重要意義。

3綜述

3.1 Web 服務(wù)器的漏洞類型

Web 安全漏洞指的是 Web 系統(tǒng)在設(shè)計(jì)與實(shí)現(xiàn)過程中存在的安全缺陷，非法用戶充分利用漏洞獲得高級(jí)系統(tǒng)權(quán)限，使自己在未經(jīng)過授權(quán)的情況下登錄系統(tǒng)，降低了 Web 的安全性與穩(wěn)定性。

Web 服務(wù)器的漏洞類型包括：（1）用戶訪問 Web 時(shí)，出現(xiàn)請(qǐng)求遭拒的問題，此時(shí)用戶接收不到 Web 服務(wù)器響應(yīng)消息。（2）公共網(wǎng)關(guān)接口是 Web 信息服務(wù)和外部應(yīng)用程序的接口，具有數(shù)據(jù)交換的作用，支持瀏覽器內(nèi)用戶交互，但該環(huán)節(jié)也容易發(fā)生安全問題。（3）用戶遠(yuǎn)程向 Web 服務(wù)器發(fā)送信息時(shí)，信息被攻擊者攔截，使用 simple Box 與 secret Box 工具，聯(lián)合固態(tài)加密算法，可建立安全性較高的 Web 服務(wù)。

3.2 Web 應(yīng)用系統(tǒng)存在的漏洞

Web 應(yīng)用系統(tǒng)的漏洞類型主要包括高危漏洞、中危漏洞以及低危漏洞。其中，高危漏洞體現(xiàn)于跨站點(diǎn)腳本，這是一種 html 注入攻擊，常見的有反射型與存儲(chǔ)型兩種，惡意用戶將 JavaScript，VBScript，ActiveX， HTML 或 Flash 注入應(yīng)用程序，企圖欺騙用戶并在這些程序內(nèi)采集數(shù)據(jù)，隨后攻擊者竊取會(huì)話 Cookie 來冒充用戶完成操作，甚至接管用戶的賬戶，修改頁面內(nèi)容，最終導(dǎo)致/nav/項(xiàng)目受到影響。中危漏洞一般指缺乏 CSRF 保護(hù)的 HTML 表單，這類警告有可能屬于假陽性，要求用戶手動(dòng)確認(rèn)，攻擊者利用用戶身份來操作對(duì)方賬戶，由于 Web 具有隱式身份驗(yàn)證機(jī)制，攻擊者會(huì)采用這樣的攻擊方式，導(dǎo)致用戶 Web 系統(tǒng)中的/message.asp 項(xiàng)目受到影響。

4 Web 安全及防護(hù)技術(shù)

4.1 Web 防篡改技術(shù)

外部攻擊者對(duì) Web 相關(guān)頁面進(jìn)行惡意篡改是比較常見的安全問題。當(dāng) Web 被攻擊、篡改時(shí)，常常會(huì)導(dǎo)致其閱讀量和點(diǎn)擊量上升、信息傳播速度加快，帶來的不利影響一般難以恢復(fù)，這種攻擊是不容易防范的安全問題，對(duì) Web 的應(yīng)用產(chǎn)生很大威脅，為此，我們需要應(yīng)用 Web 防篡改技術(shù)。

在 Web 防篡改技術(shù)中，實(shí)際上是借助了信息恢復(fù)技術(shù)以及監(jiān)控技術(shù)。若 Web 信息數(shù)據(jù)遭到惡意改動(dòng)，或是部分內(nèi)容存在異常情況，則可通過信息恢復(fù)技術(shù)恢復(fù)系統(tǒng)信息、數(shù)據(jù)以及內(nèi)容，確保其達(dá)到良好運(yùn)行狀態(tài)。監(jiān)控技術(shù)則負(fù)責(zé)對(duì) Web 的實(shí)時(shí)運(yùn)行動(dòng)態(tài)加以監(jiān)控，防范各種問題。但目前我們所應(yīng)用的 Web 防篡改技術(shù)還有許多不完善之處，其也在不斷更新。比如，應(yīng)用某 Web 防篡改技術(shù)后，服務(wù)器的性能會(huì)發(fā)生改變，整體管理變得更加復(fù)雜，同時(shí)部分動(dòng)態(tài)頁面的防護(hù)仍舊存在漏洞，也須投入額外的技術(shù)成本，若負(fù)責(zé)防止篡改Web的內(nèi)部系統(tǒng)遭到外部攻擊，則其便會(huì)失去 Web 防護(hù)能力。除此之外，大部分 Web 防篡改技術(shù)具有局限性，只能夠在靜態(tài)頁面防護(hù)中發(fā)揮良好作用，這也是需要注意的問題[2]。圖1為iGuard Web 防篡改系統(tǒng)。

4.2密碼安全防護(hù)技術(shù)

實(shí)際上，在應(yīng)用 Web 服務(wù)器的過程中，其系統(tǒng)在安裝的過程中會(huì)將部分內(nèi)容默認(rèn)為開啟狀態(tài)，其開啟的賬號(hào)通常無法起到直接作用，如 Guest 賬號(hào)，若這些賬號(hào)的安全防護(hù)不到位就會(huì)被非法人員竊取和利用。為此，我們還需應(yīng)用密碼安全防護(hù)技術(shù)，加強(qiáng)對(duì)系統(tǒng)賬號(hào)的密碼管理，提升賬號(hào)安全度。比如，在設(shè)置管理員賬戶時(shí)，可以設(shè)置兩個(gè)或兩個(gè)以上的管理員賬戶，若其中一個(gè)管理員賬戶發(fā)生異常或被盜時(shí)，則剩余管理員賬戶也能對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行規(guī)范操作。為了保障賬號(hào)安全，還需對(duì)管理員賬戶加強(qiáng)權(quán)限控制，盡可能避免使用 Windows 默認(rèn)的 administrator 賬戶。對(duì)于管理員賬戶，應(yīng)當(dāng)盡可能提升密碼的復(fù)雜程度，不能讓密碼輕易被破解，設(shè)置密碼設(shè)置權(quán)限時(shí)不允許只使用數(shù)字排列，應(yīng)當(dāng)包含字母，或者添加特殊符號(hào)來組成密碼字符，以有效提升其安全性[3]。

4.3反向代理技術(shù)

反向代理技術(shù)通常是以服務(wù)器形式來應(yīng)用，將反向代理的相關(guān)服務(wù)器看作是目標(biāo)服務(wù)器，讓訪問用戶能夠通過該服務(wù)器獲取資源。對(duì)于 Web 應(yīng)用來說，反向代理還具有加速作用，同時(shí)能夠降低網(wǎng)絡(luò)服務(wù)的實(shí)際負(fù)載，提升用戶訪問效率。Web 服務(wù)器發(fā)揮防護(hù)作用時(shí)，會(huì)將反向代理服務(wù)器設(shè)置在目標(biāo)服務(wù)器之前，用戶之后，當(dāng)用戶發(fā)出訪問請(qǐng)求時(shí)，反向代理服務(wù)器會(huì)進(jìn)行分析并判斷，避免 Web 服務(wù)器遭到攻擊。簡(jiǎn)單來說，這是對(duì)外部用戶的訪問設(shè)置權(quán)限，便于控制和防護(hù)，確保 Web 服務(wù)器能夠正常運(yùn)行，其防護(hù)原理與防火墻十分相似，可有效抵抗外部非法分子的攻擊，利用反向代理服務(wù)器來保護(hù) Web 應(yīng)用安全，阻攔“不友善”的訪問，也能夠避免 Web 內(nèi)容被惡意篡改，并且該技術(shù)對(duì)于服務(wù)器系統(tǒng)的運(yùn)行影響較小，也不會(huì)導(dǎo)致管理變得復(fù)雜。由于可以減少 Web 服務(wù)器的負(fù)荷，因而反向代理技術(shù)還具有優(yōu)化 Web 性能的特點(diǎn)。與 Web 防篡改技術(shù)相比，反向代理技術(shù)更具可靠性，同時(shí)其適用性更強(qiáng)、應(yīng)用范圍更廣，但其也存在投資金額較大的缺點(diǎn)。當(dāng)前，只有一些規(guī)模較大的門戶網(wǎng)站會(huì)應(yīng)用該技術(shù)。

4.4蜜罐技術(shù)

在 Web 安全防護(hù)過程中，也常應(yīng)用蜜罐技術(shù)。該技術(shù)的特點(diǎn)是具有欺騙性，針對(duì)攻擊方設(shè)下陷阱，從而達(dá)到對(duì)系統(tǒng)安全的防護(hù)作用。在設(shè)置蜜罐時(shí)，其本身也應(yīng)當(dāng)擁有一定的漏洞，這樣才能夠引誘攻擊。若黑客攻擊計(jì)算機(jī) Web 系統(tǒng)，則蜜罐技術(shù)會(huì)基于黑客信息來開展分析，反向了解入侵方攻擊的主要手段，還能夠獲取對(duì)方 IP 來源，實(shí)時(shí)跟蹤最新攻擊位置、掌握其攻擊手段與路徑，對(duì)本服務(wù)器的漏洞加以修復(fù)，以免 Web 服務(wù)器再次遭到非法攻擊。

對(duì)于 Web 安全防護(hù)來說，蜜罐技術(shù)的優(yōu)點(diǎn)是做到了監(jiān)控一切外來用戶請(qǐng)求，同時(shí)判斷用戶訪問是否規(guī)范且安全，且應(yīng)用該技術(shù)不會(huì)對(duì) Web 性能產(chǎn)生不利影響。但由于蜜罐技術(shù)具有一定的特殊性，其漏洞屬于“高?！毙问?，管理者稍有不慎就很可能導(dǎo)致系統(tǒng)被破壞，且蜜罐也有被破壞的可能，因此使用該技術(shù)的關(guān)鍵在于用好設(shè)陷技術(shù)[4]。

4.5限制 IP 訪問

對(duì) Web 進(jìn)行訪問的所有用戶端都對(duì)應(yīng)著各自的 IP 地址，從 IP 著手也能夠提升 Web 服務(wù)器的安全水平。比如，在 Web 服務(wù)器的過濾模塊中對(duì) IP 訪問設(shè)限，對(duì)所有訪問者進(jìn)行控制，便于篩選出安全用戶。在該技術(shù)的作用下，HTTP 會(huì)生成一個(gè)認(rèn)證身份的功能，用戶對(duì) Web 服務(wù)器進(jìn)行訪問時(shí)，先會(huì)發(fā)出一個(gè)請(qǐng)求，然后服務(wù)器將身份認(rèn)證信息請(qǐng)求發(fā)出，訪問者輸入用戶名和密碼信息，再經(jīng)由服務(wù)器認(rèn)證這些信息，若用戶符合要求則通過認(rèn)證，允許其繼續(xù)對(duì)Web服務(wù)器進(jìn)行訪問，若不能通過認(rèn)證，則不允許訪問，這在很大程度上增強(qiáng)了 Web 安全防護(hù)能力。

4.6加強(qiáng)客戶端管理

在分析 Web 服務(wù)器和應(yīng)用系統(tǒng)安全時(shí)可以看出，部分漏洞通常是很難避免的，這些漏洞的存在給網(wǎng)絡(luò)攻擊提供了便利，一些黑客和木馬病毒會(huì)借助漏洞攻擊 Web 服務(wù)器，如散播惡性程序代碼，導(dǎo)致其安全性下降。因此，為了保證對(duì)漏洞的有效修復(fù)，避免 Web 服務(wù)器遭受惡意攻擊，還需強(qiáng)化客戶端管理，從根本上做好 Web 安全防護(hù)。比如，將 Web 服務(wù)器中的信息加以備份，但需注意的是，備份操作也會(huì)造成一定的安全隱患，相關(guān)信息容易被黑客盜取，因此可以為備份信息設(shè)置密碼并形成相應(yīng)磁盤，且數(shù)據(jù)要進(jìn)行加密處理，從而有效提升安全防護(hù)水平。

4.7安裝殺毒軟件，設(shè)置防火墻

針對(duì)計(jì)算機(jī)中的病毒或者惡意攻擊，有必要安裝殺毒軟件以及采用防火墻技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全防護(hù)。實(shí)際上，殺毒軟件可以攔截病毒，為保障計(jì)算機(jī)系統(tǒng)安全，用戶每次使用計(jì)算機(jī)或者登陸 Web 之前都要應(yīng)用軟件進(jìn)行殺毒，以便及時(shí)發(fā)現(xiàn)病毒并處理病毒，保證計(jì)算機(jī)正常運(yùn)行。

防火墻技術(shù)是 Web 安全防護(hù)技術(shù)的重要組成部分，在對(duì)其進(jìn)行應(yīng)用時(shí)一般在 Web 系統(tǒng)與計(jì)算機(jī)之間的內(nèi)部網(wǎng)絡(luò)中設(shè)置防火墻，從而提升 Web 的防攻擊能力。設(shè)置防火墻時(shí)一般采用信號(hào)識(shí)別控制法，以識(shí)別系統(tǒng)主機(jī)信號(hào)，排除潛在安全隱患，為 Web 的信息傳輸營(yíng)造良好的環(huán)境。防火墻技術(shù)一般采用遞進(jìn)式信息識(shí)別機(jī)制對(duì) IP 進(jìn)行識(shí)別，同時(shí)屏蔽安全隱患信號(hào)， Web 系統(tǒng)管理人員需要及時(shí)升級(jí)防火墻技術(shù)，同時(shí)編寫系統(tǒng)漏洞檢測(cè)程序，以便更好地利用相應(yīng)防護(hù)技術(shù)。

5結(jié)論

Web 安全防護(hù)問題一直備受關(guān)注，Web 服務(wù)器在運(yùn)行的過程中常常面臨多種形式的攻擊（包括黑客以及木馬病毒的攻擊），在對(duì)其進(jìn)行安全防護(hù)的過程中需要應(yīng)用多種防護(hù)技術(shù)，其中包括 Web 防篡改技術(shù)、密碼安全防護(hù)技術(shù)、反向代理技術(shù)、蜜罐技術(shù)等。

參考文獻(xiàn)：

[1]韋磊，寧玉文，高東懷，等.HTTPS 協(xié)議下的高校 Web 應(yīng)用防火墻部署模式研究[ J].自動(dòng)化與儀器儀表，2021（12）：109?112+124.

[2]劉學(xué)章，黃慶佳，謝靜，等.面向 Web 安全防護(hù)的蜜罐技術(shù)研究[J].保密科學(xué)技術(shù)，2021（2）：28?33.

[3]于金郎.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)技術(shù)分析[J].數(shù)碼世界，2019（11）：258.

[4]陳剛，逯柳.Web 系統(tǒng)安全問題與防護(hù)機(jī)制研究[ J].無線互聯(lián)科技，2019，16（15）：108?109.

作者簡(jiǎn)介：

胡恒搏（2000—），本科，研究方向：物聯(lián)網(wǎng)工程。