Web安全與防火墻技術分析

◆陳曉海

（廣東農工商職業技術學院 廣東 510507）

Web安全與防火墻技術分析

◆陳曉海

（廣東農工商職業技術學院 廣東 510507）

伴隨著網絡技術的發展和計算機的普及，計算機的安全系統始終是相關工作者和用戶關注的重點問題。本文在分析了Web系統安全現狀的基礎上，對在Web上如何提高系統安全性和穩定性提出一些針對性的措施。

Web；防火墻；服務器

1 Web安全概述

計算機安全指的是防治計算機病毒和系統安全的研究。并且隨著網絡技術的發展和計算機的普及應用，計算機的安全防范也在不斷擴大。除了病毒的防治，還要保證系統能夠抵抗外來非法黑客的入侵，保證對遠程傳送數據的保密性，避免數據在傳輸的過程中被竊取。可以說，計算機安全是一個很大的課題，涉及到諸多方面，本文的內容重點在于對計算機安全中 Web安全技術的分析和措施的制定。

1.1 Web安全現狀

Web作為一種超文本信息系統，具有超鏈接、超媒體的特性，因此許多領域都會在通過在以 Web 應用為基礎的平臺中對主要工作進行處理，如電子政務、電子商務、網上銀行、和網上報名等。

在Web 應用越來越廣泛并且多樣的同時，Web所創造的巨大經濟利益也讓它開始變成了網絡攻擊主要目標，以網頁篡改、網頁掛馬、SQL 注入等為代表的多種惡意網絡攻擊形式發生頻率越來越高。雖然被攻擊的網絡系統已經安裝了入網絡防火墻、侵檢測系統（IDS）、入侵防御系統（IPS）或其他防病毒產品，但這并不代表著安全，在被攻擊時仍然不能為自身的網絡提供有效的保護。

1.2 Web安全上的漏洞

1.2.1 Web服務器上的漏洞

在分析 Web服務器上漏洞的過程中，可以從以下幾方面進行分析：

（1）在Web服務器上用戶禁止別人訪問的秘密文件、目錄或重要數據。

（2）在遠程用戶向服務器發送信息時,特別是涉及信用卡等相關信息時，發送信息的過程中信號被不法分子非法攔截；

（3）Web服務器原本就存在的一些漏洞，致使被非法利用后侵入到主機系統，輕則破壞數據庫中的重要的數據,嚴重則會導致系統癱瘓；

（4）CGI方面存在安全漏洞，其中一些現象是普遍存在的，比如：在操作主機系統的過程中會有意無意地造成系統漏洞，就是俗稱的Bugs，給非法黑客的入侵帶來可乘之機、用CGI腳本編寫的程序在涉及到遠程用戶通過瀏覽器輸入表格并進行象檢索之類，需要在主機上親自接操作的命令時,很容易給Web主機系統帶來危險。

1.2.2 Web服務器版本上漏洞

目前的 NCSAI.4以及以上的更高級的版本服務器并沒有什么明顯的安全漏洞，但在1995年3月發現NCSA3以下版本的HTTPD卻存在著明顯存在的安全漏洞，用戶的計算機安全存在很大的風險。當然，這并不意味著，現在的服務器版本就沒有安全漏洞，只是有可能尚未發現而已。當然要注意到，網絡上還有一些過于簡單的 Web服務器版本，要盡量少地使用，并且要保重不能夠用于商業運作，一旦出現問題，將會造成極大的損失。

1.2.3 管理服務器上漏洞

（1）用戶在從其他網上下載工具軟件時，可能在沒有詳細了解之前就用 root身份注冊執行,導致其在不知不覺中已掉入某些程序員在程序中設下的陷井。

（2）在選用Web服務器時,并未關注不同服務器的安全標準及要求存在一定的差異，因此導致選擇了沒有安全設施的簡單的Web服務器。

（3）在通過Web中的.htpass來管理和校驗用戶口令時,沒有對校驗的口令和用戶名實行次數上的限制，使得這種管理和校驗作用大大降低。

2 在Web上提高系統安全性和穩定性的措施

2.1 加強Web服務器安全預防的措施

針對 Web服務器安全預防的加強措施是需要從多方面同時著手的，這樣才能夠更好地構建 Web服務器安全預防體系，其中需要實行加強措施的工作具體如以下的幾點：

（1）首先是要加強Web服務器中用戶賬戶的管理，需要做到一方面加強對在Web服務器開通的賬戶總量進行限制和管理，定期刪除一些已經停止或中斷進程的用戶；另一方面要加強對在Web服務器上開通賬戶的登錄管理，對用戶的登錄口令、長度及定期更改等作出強制性的要求，避免用戶賬號被篡改。

（2）要選擇合適的硬件和應用，不適合的可將其去除。在條件允許的情況下要使用 ftp,mail等服務器和 Web服務器相分離。并且在Web服務器上將一些根本用不到的shell等解釋器去掉。同樣，可以去掉ftp、NIS、NFS、finger、netstat等一些無關的應用。如果用戶在cgi的程序中用不到perl時，最好也將perl從系統解釋器中刪掉。

（3）再次，需要加強對服務器的日志管理，對服務器中的日志logs文件定期查看，重點放在出現的可疑事件上，并且要注意到一般在錯誤日志中出現rm、login、/bin/perl、bin/sh等記錄時，用戶的服務器可能已經或正在受到一些黑客的非法入侵；

（4）要加強服務器的權限管理，一方面要設置好Web服務器上系統文件的權限和屬性,將所有可讓人訪問的文檔統一分配到公用的組如:www,而且分配給它的權利只有只讀權，也可以把www組當做所有的HTML文件歸屬，并且由Web管理員直接對www組進行管理，當然，僅有Web管理員對Web的配置文件有寫的權利；另一方面也要通過對訪問用戶IP或DNS進行限制許可，減少非法黑客的網絡入侵頻率。

（5）做好Web服務器的目錄制定工作，在一些Web服務器將Web的文檔目錄和FTP目錄指在同一目錄時，應該要確保避免把FTP的目錄與CGI-BIN指定在一個目錄之下。

2.2 從CGI編程角度提高安全性的措施（1）相比于解釋語言，采用編譯語言會更安全。同時要注意到，必須將CGI程序放在CGI- BIN下，與HTML存放目錄相獨立的，這種做法是為了避免一些非法訪問者在瀏覽器端取得解釋性語言的原代碼，隨后再從系統中尋找漏洞。

（2）在編寫程序時要使用規范的編程語言。在使用C語言來編寫CGI程序時要盡可能地少用popen()、system()和所有涉及/bin/sh的shell命令。同時，在Perl中system()、exec()、open()、eval()等exec或eval之類命令。在由用戶填寫的form還回cgi時,不要直接調用sys-tem()之類函數。

3 防火墻技術

3.1 防火墻的概念

防火墻，英文稱作 firewall，是指由軟件或硬件設備共同組合形成，存在局部網絡計算機和外界公共網絡之間的通道中,對外界用戶訪問內部網絡進行限制并且對內部用戶訪問外界網絡的管理權限。

3.2 防火墻的防范措施

防火墻的防范措施有很多種，但總體來說，是基于兩大原理：

（1）分組過濾:在網絡層和傳輸層中間發揮作用,它以分組包源地址、目的地址和端口號、協議類型等標志為根據，判斷數據包是否有通過的資格。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。

（2）應用代理：也被稱作應用網關，它的裝置處于在應用層，具有“完全阻隔”了網絡通信流的特點，將每種應用服務通過編制專門的代理程序，針對性地實現監視和控制的作用。

3.3 防火墻的類型劃分

防火墻的類型劃分依據是以防火墻的技術措施原理為基礎的，主要有以下的幾種類型：

（1）分組過濾型防火墻：是一種應用普遍，價格低廉，安全性良好的一種防火類型，以上的特點就體現著這類防火墻可以通用于大部分計算機，不需要特殊處理，應用成本低廉，并且能滿足大部分企業和用戶的安全防護需求。

（2）應用代理型防火墻：相當于內外網之間的隔離點，可以在應用層起著監視和隔絕通信流的作用。同時也常結合過濾器的功能，因此，掌握著應用系統中可用作安全決策的全部信息。

（3）復合型防火墻：是指將包過濾的方法與基于應用代理的方法結合起來的復合型防火墻產品。相對于以上兩種單純的防火墻體系，復合型的防火墻能夠滿足更高安全性的要求，常見的兩種復合型防火墻體系結構，包括屏蔽主機防火墻體系結構和屏蔽子網防火墻體系結構。

4 結束語

綜上所述，Web安全和防火墻技術是計算機的安全的重要部分，始終做好 Web安全和防火墻工作，有利于保證計算機用戶的隱私和安全，為重要數據的儲存和處理提供安全可靠的環境，進而在網絡經濟中維護好自身的利益。

[1]邊娜.Web安全技術與防火墻[J].山西財經大學學報，2000.