|
|
| 来源 |
新浪科技 |
作者 |
公安部公共信息网络安全监察局 中国计算机学会计算机安全专业委员会 |
日期 |
2007-1-29 15:20:00 |
第四部分:防范网络攻击
一.保护WEB服务器的关键是什么
Web服务器自身脆弱性:Web服务器软件自身存在安全问题,如Web服务器软件缺省安装提供了过多的不必要功能,密码过于简单遭到破解,当服务器管理员使用了不安全协议的软件(如telnet)进行管理时,被监听而导致信息外泄。
Web应用程序安全性差:主要是指CGI程序和ASP、PHP脚本等等程序的安全性。这些程序大大扩展了Web服务器的功能,但它们往往只重功能而忽视了安全性。
保护Web服务的方法:
1.用防火墙保护网站,可以有效地对数据包进行过滤,是网站的第一道防线;
2.用入侵监测系统监测网络数据包,可以捕捉危险或有恶意的访问动作,并能按指定的规则,以记录、阻断、发警报等等多种方式进行响应,既可以实时阻止入侵行为,又能够记录入侵行为以追查攻击者;
3.正确配置Web服务器,跟踪并安装服务器软件的最新补丁;
4.服务器软件只保留必要的功能,关闭不必要的诸如FTP、SMTP等公共服务,修改系统安装时设置的默认口令,使用足够安全的口令;
5.远程管理服务器使用安全的方法如SSH,避免运行使用明文传输口令的telnet、ftp等程序;
6.谨慎使用CGI程序和ASP、PHP脚本程序;
7.使用网络安全检测产品对安全情况进行检测,发现并弥补安全隐患。
二.如何防范CGI脚本漏洞
CGI(COMMOM GATE INTERFACE)是外部应用程序与WEB服务器交互的一个标准接口,它可以完成客户端与服务器的交互操作。CGI带来了动态的网页服务,CGI脚本是主页安全漏洞的主要来源,这主要是由于CGI程序设计不当,暴露了未经授权的数据。通过构造特殊字符串给CGI程序就可能得到这种权限。防范CGI脚本漏洞主要是:
1.使用最新版本的Web服务器,安装最新的补丁程序,正确配置服务器;
2.按照帮助文件正确安装CGI程序,删除不必要的安装文件和临时文件;
3.使用C编写CGI程序时,使用安全的函数;
4.使用安全有效的验证用户身份的方法;
5.验证用户的来源,防止用户短时间内过多动作;
6.推荐过滤“& ;` ' \ ” | * ? ~ < > ^ ( ) [ ] { } $ \n \r \t \0 #../;
7.在设计CGI脚本时,其对输入数据的长度有严格限制;
8.实现功能时制定安全合理的策略,CGI程序还应具有检查异常情况的功能,在检查出陌生数据后CGI应能及时处理这些情况。
三.如何保护FTP服务器
1.禁止匿名登录。在Windows 2000/XP/2003系统中,最初安置的ftp服务默认允许匿名登录,它是一种可以让没有用户帐户的人登录你的ftp服务器的方法。允许匿名访问有时会导致被利用传送非法文件。
取消匿名登录,只允许被预定义的用户帐号登录,配置被定义在FTP 主目录的ACLs(访问控制列表)来进行访问控制,并使用NTFS 许可证。
2.设置访问日志。通过访问日志可以准确得到哪些IP地址和用户访问的准确纪录。定期维护日志能估计站点访问量和找出安全威胁和漏洞。
3.强化访问控制列表。采用NTFS 访问许可,运用ACL[访问控制列表] 控制对您的FTP 目录的的访问。
4.设置站点为不可视。如您只需要用户传送文件到服务器而不是从服务器下载文件,可以考虑配置站点为不可视。这意味着用户被允许从FTP 目录写入文件不能读取。这样可以阻止未授权用户访问站点。要配置站点为不可视,应当在“站点”和“主目录”设置访问许可。
5.使用磁盘配额。磁盘配额可能有效地限制每个用户所使用的磁盘空间。授予用户对自己上传的文件的完全控制权。使用磁盘配额可以检查用户是否超出了使用空间,能有效地限制站点被攻破所带来的破坏。并且,限制用户能拥有的磁盘空间,站点将不会成为那些寻找空间共享媒体文件的黑客的目标。
6.使用访问时间限制。Windows 2000/XP/2003系统访问时间限制是从nt4.0继承而来。这个选项限制用户只能在指定的日期的时间内才能登录访问站点。这可以限制在唯一被批准的时间才能访问服务器。如果站点在企业环境中使用,可以限制只有在工作时间才能访问服务请。 下班以后就禁止登录以保障安全。 |
| 上一篇:《信息网络安全保护工作知识手册》(第三部分) |
| 下一篇:《信息网络安全保护工作知识手册》(第五部分) |
|
