Web入侵防御系統的設計與實現

吳林樺

摘要：互聯網時代，人們均將大量的個人信息或企業信息存儲到計算機當中，所以計算機的安全性是用戶較為關注的事情，假如計算機安全性能不強，則對用戶或者企業造成大量的風險。在計算機安全當中，首當其沖的是Web服務器安全，本文首先對幾種Web常見的威脅進行分析，以此為導向，進行Web入侵防御系統的設計，提升用戶的網絡安全性能，降低信息泄露風險。

關鍵詞：計算機：Web服務器：網絡安全：防御系統

隨著計算機革命的逐步深入，不斷提升生活的便捷性，但是網絡安全也逐漸引起了人們的重視，如何確保每臺連接網絡的計算機均不受到黑客或者病毒的侵襲，是每個在計算機領域研究者的重任，在互聯網時代，其風險程度往往超越傳統環境風險，Web服務器也受到風險。黑客或者病毒侵襲web所用的方式基本是基于HTTP協議衍生的，傳統的防火墻已經不能為web提供安全程度較高的保護，本文正是基于此，提出提升web服務器安全的保護系統，并將之設計與實現。

一、Web服務器常見的威脅

1.緩沖區溢出

緩沖區溢出這種攻擊方式主要是利用溢出漏洞進行攻擊，最為簡單的解釋就是通過輸送龐大的數據包沖擊緩沖劑容量，從而讓合法數據遭到溢出數據的覆蓋，然后威脅Web服務器的安全。并且這種攻擊方式較為常用，也很難杜絕，在Web服務器運行的時候，無法對所有進入數據均實行安全性能檢測，因此就不能杜絕這種緩沖區溢出攻擊方式。

2.SQL注入攻擊

這種方式的攻擊通常是黑客的常用手段，主要攻擊方式是針對數據庫，在系統設計的時候，受限于程序編寫人員的經驗和水平，促使在程序編譯過程當中，缺乏對用戶數據輸入時是否合法進行效驗和判斷，提高了該種攻擊方式的隱患。

3.基于腳本的DDos攻擊

Ddos主要是通過大量的“僵尸主機”發送網絡包給予受害主機，讓受害主體的網絡出現堵塞，最終出現網絡癱瘓現象。

二、Web入侵防御系統的措施

在互聯網系統當中，面臨攻擊最多的是Web，最為薄弱的也是Web，所以成為大多數黑客入侵的重點災害區，如何防御這些惡意攻擊，就需要設計較為完善的防御系統，本文主要通過注定策略用以效驗和檢測他人訪問Web的行為，規避他人利用權限問題進行入侵，有效避免Web受到非法攻擊，保障Web服務器的安全。

1.主動防御措施

IDS是入侵檢測系統，本文主要是防御入侵，所以重點在于IPS，入侵防御系統。IPS能夠對網絡進行實時監控，包括網絡數據傳輸行為進行管控，從而提高網絡的安全性能，并且該系統能夠在發現危險時，進行中斷，或者隔離一些存在威脅的數據或者流量傳輸。IPS主要是通過監管網絡流量而產生工作，實現防御功能，其主要的流程如下：首先通過網絡端口接收外來數據或者流量，然后進行安全檢查，確定其中無可疑數據之后，才進行數據傳輸。最后將安全的數據信息通過端口發送至內部系統當中，在檢測過程當中，將富含可疑數據的信息進行清除或隔離，以此來提升網絡的安全性。

2.運用IWSA有效防止病毒及間諜軟件的入侵

IWSA不是軟件產品，而是歸屬于硬件產品，IWSA能夠獨立運行，為網絡提供安全程度較多，靈活度較強的防御策略。其主要的工作方式是通過目前較為主流的“云”技術，利用“云”對通過Web的數據進行掃描，優點較多，同時還能防御釣魚軟件，進行過濾操作，是目前企業網絡當中，最為常用的方案。針對這種情況，還設計了一款專門用于防御Web攻擊的SWSA5000，為企業提供實時、動態的網絡安全保護，通過周密的檢測，為企業剔除不安全數據源，清楚惡意程序，提升內部網絡的安全性。

3.應用層防火墻技術的運用

Iwall是應用層防火墻技術的佳作，能夠保護Web應用的安全，當通過利用Http進行數據操作時，進行數據操作分析和檢測，幫助用戶規避操作失誤引發的網絡威脅，抵御主觀操作導致的惡意攻擊，通過訪問時提示或報警引起用戶的警惕。Iwall能夠杜絕非法腳本、源代碼泄露以及敏感文件訪問等攻擊行為，為網絡安全提供周密的防護效果。

4.系統體系結構的設計

在網絡系統搭建的過程當中，存在兩種，一種采取的多層結構，另外一種是單層結構。多層結構主要通過層與層之間的模塊進行區分，在層與層進行數據傳輸時，利用兩者的通用接口進行，而單層系統，是相互交叉使用，兩種方式各有利弊，多層結構主要提升了系統的擴展性，單層結構能夠提升系統的效率，因為本文設計的系統需要滿足多種情況下運行，所以采用多層結構方式。Web防御入侵系統主要存在三層：第一層為解析及響應、第二層為策略引擎、第三層為數據管理。

其中第一層解析及響應層，主要是對用戶的主觀行為進行防御，用戶通過http進行網絡訪問時，將用戶的訪問進行解析和響應。當用戶進行數據庫的訪問時，通過調用策略引擎介入，以此提升客戶端訪問信息的檢測，從而將用戶的操作進行響應，因為這一層主要是調用其他層次進行防御，所以可進行封裝處理。第二層是策略引擎層，主要是調度策略，在通過上一層獲取到用戶的操作，將用戶的操作數據進行分析，并通過與數據管理層的緊密合作，完成策略的加載工作。第三層為數據管理層，其主要的工作就是對策略腳本進行解析，同時對配置管理進行分析和管控，所有有關數據處理的操作，均交由第三層進行處理。在系統設計過程當中，每一層的防御處理均能夠相互獨立運行，在運行的過程當中，其他層次發生改變時，只要相互之間的接口無變化，就不會影響其他層次的運行，提升了該系統的擴展性和安全性。

三、結論

在研究過程當中，首先將目前Web服務器主要面臨的威脅進行分析，以此為導向，設計了該Web入侵防御系統，系統設計過程較為便捷，存在部分地方未進行涉及，這將是今后研究和設計的主要方向。網絡安全技術是目前較為關鍵點，是網絡工作者需要重視的問題，不能夠僅僅依靠防火墻進行安全防御，在安全性提升方面方面還需要考慮系統的整體性。

參考文獻：

[1]姚琳琳，基于分布式對等架構的Web應用防火墻的設計與實現[J].桂林：桂林電子科技大學，2012.

[2]魏林.基于日志的網站安全監控與審計的研究[D].北京郵電大學，2015.