Web服务器系统安全防护

　　服务器是我们互联网业务开展中使用到最广泛的，它是主要是用来存储数据和对数据进行分析处理。但是我们在日常使用的过程中常受到网络攻击的威胁。针对这样的情况，我们在使用过程中如何做好Web服务器系统安全防护?

　　Web服务器系统安全防护

　　想要做好Web服务器系统安全防护，除非自己有专门的安全攻防团队，不然大部分企业都是与安全厂商合作，使用安全防护产品保护服务器主机的安全，这里跟大家介绍一下安全狗的Web服务器系统安全防护产品。

　　比较全能的产品可以试试服务器安全狗这款免费的服务器防御软件，可以比较全面的提升服务器的防护能力，抵抗一定程度的入侵攻击，有需要的朋友可以自行下载使用。

　　付费的产品可以了解下安全狗的云磐产品，用户可以根据自己的需求进行选择相对应的服务和扩充，以下是云磐产品的介绍。

　　免费服务器安全狗：http://free.safedog.cn/server_safedog.html

　　云磐：一站式云安全SaaS平台：http://www.safedog.cn/index/publicCloudIndex.html

　　安全狗以 SECaaS安全即为用户提供一站 式的云安全产品与服务，包括(云)主机安全、WEB 应用安全、网站防篡改、抗 DDoS 云服务、安全大数据态势感知等，同时平台配备 7*24

　　小时的安全专家服务，真 正为用户构建安全即服务模式的纵深防御产品和服务，为业务发展保驾护航。

　　日志分析及态势感知云服务

　　云磐融合大数据分析技术、可视化技术、威胁情报技术于一体，为企业构建的新一代云安全管理平台。

　　安全大数据分析，全方位融合安全数据，进行多维度智能分析

　　可视化大屏展示，提供整体态势感知、攻防对抗态势、流量访问态势、威胁事件态势四屏展示

　　态势预测，可发现威胁态势的走向，预见风险，防范于未然

　　威胁情报驱动，依托于安全狗观鸿威胁情报服务平台

　　Web应用安全云服务

　　云磐通过网络层过滤和主机层应用自保护(RASP)相结合的技术，既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别，达到双层纵深防御的效果。

　　集中管理网站和WAF防护节点

　　通过平台设置各个防护节点安全策略，并下发至防护节点

　　以可视化的形式统计网站的安全状态，展现网站的风险和威胁

　　集中管理网站和WAF防护节点

　　网页防篡改云服务

　　云磐采用第二代密码水印技术+第三代系统驱动级文件保护技术双结合，对网站安全进行双重防护，具有响应速度快、判断准确、资源暂用少及部署灵活等特点。

　　基于内核驱动防护技术，支持单独文件、文件夹及多级文件夹目录内容篡改保护

　　水印技术阻止被篡改网页流出，并自动恢复被篡改文件

　　支持断线状态下阻止篡改内容流出，返回篡改提示页面

　　完全防护技术，支持大规模连续篡改攻击防护

　　(云)主机安全服务

　　云磐采用先进的端点检测及响应(EDR)技术模型及自适应安全架构相结合的理念思路来构建的新一代 ( 云 ) 主机入侵监测及安全管理云服务系统。

　　解决公有云环境中遇到的安全及管理问题

　　解决新安全形势下数据中心安全问题

　　结合威胁情报进行主机终端异常行为捕获及分析

　　满足 ( 云 ) 等保 2.0 对于主机安全的合规性要求

　　抗DDoS云服务

　　云磐提供了高效流量清洗中心，针对从网络层到应用层的攻击流量进行精确清洗。目前可清洗的流量峰值超过500Gbps。采用即用即开的机制，通过敏锐流量监测机制来弹性判断用户是否需要开启抗D服务。

　　快速感知，弹性控制，可快速适应不同流量的攻击

　　全面抵抗CC攻击以及各种纯流量攻击

　　专家全程参与防御，协助做出最正确的响应措施

　　能力强劲，可清洗的流量峰值超过500Gbps

　　Web服务器系统安全防护

　　一、 及时安装系统补丁

　　​不论是Windows还是Linux，任何操作系统都有漏洞，及时地打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。

　　二、 安装和设置防火墙

　　​现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。 安装网络杀毒软件：现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播，同时，在网络杀毒软件的使用中，必须要定期或及时升级杀毒软件，并且每天自动更新病毒库。

　　四、 关闭不需要的服务和端口

　　​服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭。另外，还要关掉没有必要开的TCP端口。

　　五、 定期对服务器进行备份

　　​为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。

　　六、 账号和密码保护

　　​账号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。

　　七、 监测系统日志

　　​通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。

　　八、网站使用验证码

　　​验证码(CAPTCHA)是“可区分电脑与人类的完全自动化公用涂林测试”的缩写。 验证码可以阻止机器人试图自动提交表格或获取电子邮件地址。如果您想保护网站免受虚假注册，验证码就是一个阻止垃圾邮件的好方法，能做到防止恶意注册目的。

　　九、设置复杂密码

　　​在设置网站密码时，尽量设置复杂些，现在密码一般有10个以上字符，且由数字和符号以及大小写字母组合而成，网站密码不要和电子邮箱或社交媒体账户相同。举例，很多人使用WordPress程序建站，喜欢用默认的用户名“admin”。其实，使用简单的用户名和密码，很容易被破解的。

　　十、安装SSL证书

　　​SSL证书通过网站传输加密数据，它可以对网站的数据进行加密传播，不易被黑客所破解。因此，给网站安装SSL证书不仅可以保证数据的安全性，而且提升了网站的信任等级。目前，很多大型网站，例如百度、纽约时报网站等都已陆续的安装SSL证书了。

　　Web服务器系统安全防护

　　Web安全分为两大类：

　　· Web服务器的安全性(Web服务器本身安全和软件配置)。

　　· Web应用程序的安全性(在Web服务器上运行的Java、 ActiveX、PHP、ASP代码的安全)。

　　Web服务器面临的攻击

　　Web服务器攻击利用Web服务器软件和配置中常见的漏洞。这些漏洞包括：

　　· 缓冲区溢出

　　· 文件目录遍历

　　· 脚本权限

　　· 文件目录浏览

　　· Web服务器软件默认安装的示例代码

　　· Web服务器上运行的其他软件中的漏洞，例如SQL数据库软件

　　让我们对上诉漏洞依个进行深入地探讨。

　　1.缓冲区溢出

　　缓冲区溢出允许恶意代码注入到应用程序，它损坏应用程序的堆栈——内存中存储应用程序代码的一个地方——并用不同的代码代替原始代码的一部分来实现攻击者的目的，例如运行特洛伊木马程序或远程控制应用程序。以下是缓冲区溢出漏洞的一个简单示例代码，使用C语言编写：

　　char aTmp[100];

　　scanf("%s",aTmp);

　　在第一行中，程序员声明一个长度为100的数组aTmp。在第二行中，scanf方法从控制台读取数据存到aTmp数组。代码不会检查%s 变量是否能够容纳输入数据的大小。因为程序员编码过程不对输入字符串的大小进行检查，如果给定的输入超过100个字符，就会造成缓冲区溢出。一个精心构造构的输入中可能包含汇编代码，这部分汇编代码能够获得源程序一样的运行权限。

　　2.目录遍历

　　目录遍历是指访问到了不是原先设想或允许的目录(或文件夹)。例如，微软IIS Web站点的默认文件夹为C:\inetpub，攻击者可使用的目录遍历漏洞，在该文件夹之外去读取他们本不该访问的文件。详细来说，假如有一个网址为“www.bad.com”的网站，其服务器代码中包含目录遍历漏洞。攻击者通过输入以下URL就可以利用该漏洞：

　　http://www.bad.com/../autoexec.bat

　　URL中的“.../”告诉服务器上溯一个目录，也就是“C:\”目录(Web 服务器可以将斜杠转换为反斜杠)。所以如果IIS服务器默认目录为“c:\inetpub”，那么该URL会转到“C:\”目录，攻击者将能够看到“c:\autoexec.bat”文件。除非将服务器配置好了避免目录遍历，不然所有目录可能都是可访问的。这种情况下，Web服务器将显示“autoexec.bat”文件的内容，或者攻击者选择的任何其他文件。

　　值得注意的是:我们已经使用 IIS 作为示例;但是，此漏洞的利用不是针对IIS服务器的，在其他的Web 服务器上也有目录遍历漏洞。

　　3.脚本权限

　　为了运行通用网关接口(CGI)、Perl或者其他服务端应用程序，管理员必须授予对服务器端应用程序所在的目录以可执行权限。一些管理员给错误位置授予此权限(通常是因为他们不明白这么做会带来的问题)。让我们看看下面的示例，探讨如果管理员将此权限授予C盘下的所有目录将发生什么。

　　http://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir

　　首先我们来破译这神秘的URL。某些字符如空格和斜杠，不能出现在URL中，因为URL是限于7 -bit编码的ASCII码。然而，某些情况下还是会使用到这些字符。可行的办法是使用其十六进制的字符来表示，或者使用类似ASCII的base 16编码。Base 16 使用字母a、b、c、d、e 和f来表示大于9的数字。举例来说，字母a表示十六进制中的数字10，f表示15，并使用10表示数字16。所以，在前面的示例：

　　· 空格使用ASCII编码表示为十进制的32，使用十六进制则为20，因此变成%20。

　　· 斜杠(/)使用ASCII编码表示为十进制的47，使用十六进制则为2f，因此变成%2f。

　　经Web服务器解析后，就成为下面的URL：

　　../winnt/system32/cmd.exe /c dir

　　这是要执行“cmd.exe”并告诉它执行“dir”命令。“cmd.exe”是位于“C:\winnt\system32”

　　文件夹中的命令外壳。“Dir”命令列出当前目录中的所有文件，并将结果返回给用户。当然，这是只是一个简单的例子，攻击者可以执行更复杂的命令以达到删除、运行或修改Web服务器上数据的目的。

　　图1是IIS目录权限的配置的截屏。最佳做法是只给包含需要执行的服务端应用的文件夹设置可执行的权限，而不是包含可被攻击者利用的软件的文件夹，例如包含“cmd.exe”或者其他内置的操作系统命令。

　　那是用于网站访问者运行的命令，而不是可能援助攻击者的软件，如cmd.exe或其他内置操作系统命令。

　　4.目录浏览

　　通常情况下，目录浏览是禁用的，但是如果启用它，则它显示该目录中的所有文件，并允许浏览的子目录。有时知道一个文件存在可以帮助攻击者利用Web 服务器上文件和程序的漏洞。为此，不建议启用Web 服务器上的目录浏览。

　　5.默认示例

　　默认示例是包含在Web 服务器软件中并在服务器软件安装时默认安装的应用程序。一些默认安装的示例包含安全漏洞。针对这些漏洞保护的最佳办法是不要安装示例，如果已经安装了，最好把它们删除掉。

　　6.其他服务

　　攻击者可以通过攻击在Web服务器上运行的其他服务来攻陷Web服务器。这些服务包括FTP、SMTP、POP3、SQL服务器和NetBIOS服务。防止此类攻击的最佳方法是减少“受攻击面”。关闭所有运行在Web服务器操作系统上不必要的服务并对剩下的服务进行安全地配置。最佳做法是使 Web服务器只有一个Web服务程序，而没有其他的服务。运行数据库和其他的软件应部署在单独的服务器上，这样服务器受防火墙保护，只有Web服务器易受Web攻击。如果攻击者设法利用其他服务的漏洞来攻击服务器，他们也能够干扰或攻陷Web站点。

　　7.Web服务器软件的固有漏洞

　　每个Web服务器软件，包括IIS和Apache，由于缺乏安全的编码技术，该软件的程序员已经提供了内置漏洞。例如，IIS的.htr漏洞，允许攻击者看到驻留在服务器上的文件的内容。几乎每周都会发布主要的Web服务器软件平台中的新漏洞。

　　Web服务器的保护

　　针对上述漏洞最佳做法是遵循以下建议搭建并运行Web服务器。采取下列措施将提高Web服务器的安全性。

　　· 给Web服务器服务或守护程序配置能够使它正常运行最少的权限。这样，即使攻击者控制了Web 服务器，他们只能获得运行该软件对应的用户账户的权限。这样，攻击计算机或网络上的其他软件可行方案就极为有限了。

　　· 安装最新的安全补丁并时刻关注漏洞的最新动态。

　　· 删除默认示例并避免安装类似的示例。

　　· 通过删除不需要的应用程序，安全配置同一台计算机上的其他网络服务，确保操作系统已安装最新的安全补丁来保证承载Web服务器的计算机的安全。

　　· 确保只给需要执行的脚本单独的目录运行的权限。

　　· 在Web服务器上每个目录中，都提供一个index.html文件，以避免需要目录浏览。

　　第三方安全产品

　　商业和免费的产品也可以帮助抵御与Web服务器相关的不同漏洞。主要有以下产品：

　　· 软硬件防火墙

　　· Web应用防火墙(WAFs)

　　· 病毒防御软件

　　· 基于ISAPI的安全产品

　　· 安全日志

　　· 反馈分析软件

　　· 入侵检测系统和入侵检测防御系统

　　· 漏洞扫描软件

　　· 输入验证

　　软硬件防火墙。防火墙过滤掉不属于正常 Web会话的流量。所有Web服务器都应配备技术先进的第四代防火墙。第四代防火墙可以区分出普通的Web浏览器合法的流量和攻击者的恶意攻击流量。直接部署在Web服务器上的防火墙软件可以为服务器提供额外的防护。

　　Web应用防火墙。Web应用防火墙(WAFs)是具有Web流量深度检查功能的设备。WAFs能够提供基于内容的攻击的良好保护，因为他们会解析HTTP会话的实际内容，寻找与正常使用模式不匹配的已知错误或异常行为。这些设备可以是非常有效的防范大多数攻击。

　　病毒防御软件。Web服务器上应该安装防御毒软件。如果攻击者利用安全漏洞企图控制Web 服务器，并且漏洞已知，病毒防御软件能够检测到并阻止。

　　基于ISAPI的安全产品。此类产品截取URL请求，过滤掉可能的攻击，如缓冲区溢出。Web服务器供应商通常会免费提供基于ISAPI的安全产品。

　　反馈分析软件。反馈分析软件解析Web服务器的响应并与已知的正常网站响应进行比较。如果网站含有恶意代码或者被修改，响应将不匹配原始的已知的正常响应，这样能够检测出未经授权的网站更改。

　　入侵检测与防御。入侵检测系统(IDS)一般用于入侵的后期处理，因为系统保留事件的详细记录。而入侵预防系统(IDP)能够阻止某些已知的不良行为。

　　漏洞扫描软件。管理员应运行漏洞扫描程序定期来测试Web服务器的安全性，因为假如扫描仪发现了安全漏洞，攻击者很可能也会发现同样的漏洞。有很多免费或商业的漏洞扫描软件。其中有些是基于Web，有些是硬件程序，剩下的是纯软件。

　　输入验证。输入验证产品检查提交到Web站点每个数据是否存在异常、SQL注入命令或缓冲区溢出攻击代码。

　　安全日志。安全日志可以提供Web服务器攻击入侵的证据。除了存放在在 Web 服务器上，还应该将它们存储网络上安全的位置以防止攻击者更改日志或删除记录。

　　关于Web服务器系统安全防护就介绍到这里，如果您对于服务器防护有更高的需求或者是遇到无法解决的服务器安全问题，可以向安全狗寻求技术支持，我们会安排专业的技术团队为您提供相应的技术解决方案，保证您的服务器安全稳定运行。