Web網站的網絡安全防護策略研究

◆任地成 孫 鑫 談 心 屠興漢 曲 楠

(北方聯合廣播電視網絡股份有限公司 遼寧 110000)

Web網站的網絡安全防護策略研究

◆任地成 孫 鑫 談 心 屠興漢 曲 楠

(北方聯合廣播電視網絡股份有限公司 遼寧 110000)

信息化讓Web網站越來越多的呈現在了大眾面前，同時也給網絡攻擊者進入Web網絡的途徑，網絡攻擊者所使用的手段千變萬化并且實時更新換代，作為網絡安全防護來說困難重重，本文就是牢牢把握住網絡攻擊的途徑和手段，通過構建縱深防御體系，來有效阻斷網絡攻擊者對Web網站的攻擊實現Web網站的安全。

網絡安全；縱深防護；防護策略

0 引言

隨著互聯網技術的不斷發展，各行各業的信息化建設日趨豐富和多樣，其中信息宣傳的重要方式就是 Web網站，為了更方便快捷的管理網站，大多數網站都是使用動態語言編寫（如ASP、JSP、PHP等），在方便的同時也帶來了新的安全問題，由于網站是直接暴露在互聯中，這就注定了其需要隨時面對各種類型的網絡攻擊，如何為網站提供安全可靠的安全防護策略，成為提高網站安全性的重要手段。

1 Web網站攻擊方式

Web網站的攻擊重要來自于互聯網，而攻擊手段主要分為Web網絡攻擊和Web服務攻擊兩大類，其中Web網絡攻擊包括分布式拒絕服務攻擊、滲透攻擊等；Web服務攻擊包括Http Heads攻擊、Cookie攻擊等，這些攻擊從不同層面對網站進行網絡及服務的威脅。

1.1 Web網絡攻擊

拒絕服務攻擊的主要方式是通過某種手段讓被攻擊設備無法對外提供服務或者資源；其中資源主要有進程、磁盤、內存及帶寬等，讓合法正常的訪問被拒絕；網絡資源耗盡攻擊的是大家熟知的攻擊方式，其實只要能讓攻擊設備出現死機或者暫停服務的攻擊都是拒絕服務攻擊的一種，當前網絡中出現的較多的拒絕服務攻擊類型有SYN FLOOD、ACK FLOOD、ICMP FLOOD、UDP FLOOD 等[1]。

滲透攻擊主要是攻擊人員利用在網絡中的位置不同（內部網絡或外部網絡）使用各類方式對目標網絡進行掃描，通過對目標網絡的掃描發現漏洞，并在發現漏洞后通過其他攻擊手段來對目標設備造成攻擊，常見的滲透攻擊方式有SQL注入、目錄瀏覽、溢出、上傳、未授權的訪問等[2]。

1.2 Web服務攻擊

Http Heads攻擊是使用IE或其他瀏覽器來對Web網站進行查看時，Web網站雖然采用各種不同的技術或框架，但是HTTP協議不可能發生變化，而Http協議本身包含的content、Response和header，這三者之間有一個空行，它的含義是content的開始、headers的結束。對于網絡上熟知這個含義的攻擊者來說，就可以在這個空行上進行攻擊，也就是說將任意字符寫入到 headers中[3]，如果在其中執行了某些Web腳本則就產生了攻擊。

Cookie攻擊是通過Web腳本可以對目標網站的cookie進行訪問，也就是說通過在IE瀏覽器的地址欄中輸入Web腳本，如果目標站點有cookie的話就可以直接看到其具體內容[4]。Web攻擊人員利用這個原理就可以很輕松的獲取到用戶的關鍵信息。在網絡上存在很多網站是通過cookie方式對用戶的身份進行驗證，這種攻擊方式就可以很簡單的獲取到用戶的身份認證信息。

2 Web網站的網絡安全縱深防護

圖1 網絡安全縱深防護體系

通過分析 Web網站的攻擊方式可以看出其攻擊手段主要分為兩類：網絡攻擊和 Web服務攻擊；而這兩類攻擊就是從外向內不斷攻擊推進的過程；先從互聯網到路由器，再從路由器到核心交換機，最后從核心交換機到達攻擊目標 Web服務器。所以我們的防護策略就是按照攻擊的縱深進行逐一防護而構建的網絡安全縱深防護體系如圖1所示，具體防護手段如下。

2.1 Web網絡攻擊防護

針對網絡攻擊中滲透攻擊和拒絕服務攻擊的原理采用邊界防火墻與IPS入侵防御組合防護策略來防御滲透攻擊；同時采用抗DDOS系統來專項防護拒絕服務器攻擊，同時這三種網絡防護設備均支持防護特征庫的實時更新功能。

邊界防火墻部署在互聯網的邊界上，通過防火墻的安全區域劃分和安全策略配置來實現只允許外網訪問 Web服務器的單個IP地址，并且僅僅允許其訪問Web服務器對外提供Web服務的端口，這樣Web服務器只有一個IP的一個固定端口是對外公開的，這樣就避免了網絡攻擊者通過 Web服務器的其他端口來攻擊Web網站服務器的可能；同時禁止掉web服務器對外的所有訪問，該種配置方式有效預防了通過 Web服務器主動將數據傳給網絡攻擊者的可能。

IPS入侵防御系統具有海量攻擊特征庫[5]，并且支持自動更新，這樣有效預防了滲透攻擊方式，因為滲透攻擊方式主要就是通過漏洞數據庫進行漏洞掃描后進行的滲透攻擊，IPS的攻擊特征庫包含這些漏洞數據庫中的漏洞有效阻斷了漏洞掃描，讓這些滲透攻擊無法找到Web服務器的漏洞，從而保障了Web網站服務器的安全。

抗 DDOS攻擊設備是專門針對拒絕服務攻擊的安全防護設備，該設備主要有三部分功能組成分別為流量清洗、異常流量監測、異常流量清洗集中管理功能；當異常流量檢測設備通過采樣的方式發現 DDOS攻擊時就會觸發流量清洗設備的自動引流功能，將攻擊流量引入到流量清洗設備中，由清洗設備根據攻擊特征將攻擊流量進行清洗，并通過策略路由回注功能將正常的流量重新注入路由器從而實現對后端 Web網站服務器的安全防護功能。

2.2 Web服務攻擊防護

服務攻擊的手段主要針對內容層面的攻擊，根據該類攻擊的特點，采用針對內容級別的防護策略是采用 Web防護網關來對網站的服務內容及http協議內容進行專項防護；同時配合網頁防篡改功能來加固網站內容的安全，從而保障網站展現內容的不可更改防護。

Web防護網關是對Web網站服務端口的具體內容和協議的安全進行防護[6]，讓僥幸通過邊界防護墻和躲過了 IPS防御的網絡攻擊者，仍然無法到達Web服務器，Web防護網關會對任何訪問Web網站服務器的http協議和Cookie的訪問進行安全防護，同時可以檢測網站中的敏感信息防止泄露。

網頁防篡改功能是在未經授權和未允許的情況下，不允許任何程序或者進程對受保護的 Web網站的任何文件或文件夾進行修改[7]，這就保障了Web網站的內容安全，避免網絡攻擊者上傳非法文件及木馬等惡意文件或插入惡意代碼，有效預防了網絡攻擊者對網站的內容進行刪除、插入或修改，防止了黑客入侵從而更有效地對網站網頁安全進行保護。

3 結束語

網絡攻擊方式層出不窮，網絡漏洞也是隨著時間的推移不斷更新，如果僅依靠單一的網絡防護手段無法實現對 Web網站的安全防護，并且僅使用靜態的防護思路也無法保障明天的安全，所以只有讓安全防護特征庫不斷的更新，才能保障在新漏洞出現后實時的做到安全防護。無論網絡攻擊者采用何種手段只要能阻斷其攻擊的路徑和攻擊手段，有效保障 Web網站服務器的安全性還是可實現的。

[1]任建國．拒絕服務攻擊的研究[J]．計算機應用，2001．

[2]陸慶華．滲透攻擊技術研究[J]．網絡安全技術與應用，2014．

[3]謝逸．應用層HTTP攻擊檢測關鍵技術研究[J]．通信與信息系統，2008．

[4]胡忠望，劉衛東．Cookie應用與個人信息安全研究[J]．計算機應用與軟件，2007．

[5]吳海燕，蔣東興，程志銳等．入侵防御系統研究[J]．計算機工程與設計，2007．

[6]李貞．探究基于 WEB防火墻的校園網絡安全解決策略[J]．網絡安全技術與應用，2016．

[7]張鑫，閃永強．一種新型網頁防篡改策略的研究與部署[J]．河南師范大學學報(自然科學版)，2011.