首页 > 网站建设 >

大型网站怎样解决服务器的安全问题?(防火墙的应用)

发布时间:2018-11-16 作者:深圳网站建设

大型网站怎样解决服务器的安全问题?(防火墙的应用)
一、网站建设安全维护之Web应用防火墙
  网站面临的安全问题复杂多样,各种攻击手段日新月异,新型漏洞不断被报告。如果有款产品能够统拦截请求,过滤恶意参数,自动消毒、添加Token,并且能够根据最新攻击和漏洞情报,不断升级对策,处理掉大多数令人头痛的网站攻击,就是件很美妙的事了。深圳网站建设公司告诉您真的有这样的产品ModSecurity。
  ModSecuritv是一个开源的Web应用防火墙,探测攻击并保护Web应用程序,既可以嵌入到Web应用服务器中,也可以作为一个独立的应用程序启动。   ModSecurity最早只是Apache的个模块,现在已经有Java、NET多个版本,并支持Nginx。
  ModSecurity采用处理逻辑与攻击规则集合分离的架构模式。处理逻辑(执行引擎)负责请求和响应的拦截过滤,规则加载执行等功能。而攻击规则集合则负责描述对具体攻击的规则定义、模式识别、防御策略等功能。处理逻辑比较稳定,规则集合需要不断针对漏洞进行升级,这是种可扩展的架构设计,如图8-5所示。
网站建设安全维护知识服务器防墙应用示意图8-5 ModSecurity架构原理
  除了开源的ModeSecurity,还有些商业产品也实现Web应用防火墙功能,如NEC的SiteShell。
二、网站安全漏洞扫描
  和计算机安全漏洞扫描一样,网站也需要安全漏洞扫描,网站安全漏洞扫描工具是根据内置规则,构造具有攻击性的URL请求,模拟黑客攻击行为,用以发现网站安全漏洞的工具。许多大型网站的安全团队部有自己开发的漏洞扫描工具,不定期地对网站的服务器进行扫描,查漏补缺。市场上也有很多商用的网站安全漏洞扫描平台。
1.信息加密技术及密钥安全管理
  某年12月被曝的CSDIV密码泄露事故中,网站安全措施不力,导致用户数据库被黑客“拖库”并不稀奇,令人错愕的是数据库中的用户密码居然是明文保存,导致密码泄露,成为地下黑市交易的商品。
  通常,为了保护网站的敏感数据,应用需要对这些信息进行加密处理,信息加密技术可分为三类:单项散列加密、对称加密和非对称加密。
2.单向散列加密方法
  单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息,如图8-6所示。
网站建设安全防护知识示意图8-6单向散列加密
  利用单向散列加密的这个特性,可以进行密码加密保存,即用户注册时输入的密码不直接保存到数据库,而是对密码进行单向散列加密,将密文存入数据库,用户登录时,进行密码验证,同样计算得到输入密码的密文,并和数据库中的密文比较,如果致,则密码验证成功,具体过程如图8-7所示。
网站建设安全防护知识示意图之8-7密码保存与验证
  这样保存在数据库中的是用户输入的密码的密文,而且不可逆地计算得到密码的明文,因此即使数据库被“拖库”,也不会泄露用户的密码信息。
  虽然不能通过算法将单向散列密文反算得到明文,但是由于人们设置密码具有定的模式,因此通过彩虹表(人们常用密码和对应的密文关系表)等手段可以进行猜测式破解。为了加强单同散列计算的安全性,还会给散列算法加点盐(salt) salt相当于加密的密钥,增加破解的难度
  常用的单向散列算法有MD5、SHA等。单向散列算法还有个特点就是输入的任何微小变化都会导致输出的完全不同,这个特性有时也会被用来生成信息摘要、计算具有高离散程度的随机数等用途。
3.对称加密
  所谓对称加密是指加密和解密使用的密玥是同一个密钥(或昔可以互相推算).如图8-8所示。
网站建设安全防护知识之示意图8-8对称加密。
  对称加密通常用在信息需要安全交换或存储的场合,如Cookie加密、通信加密等。对称加密的优点是算法简单,加解密效率高,系统开销小,适合对大量数据加密。缺点是加解密使用同一个密钥,远程通信的情况下如何安全的交换密钥是个难题,如果密钥丢失,那么所有的加密信息也就没有秘密可言了。
  常用的对称加密算法有DES算发、RC算法等。对称加密是种传统加密手段,也是最常用的加密手段,适用于绝大多数需要加密的场合。
4.非对称加密
  不同于对称加密,非对称加密和解密使用的密钥不是同密钥,其中个对外界公开,被称作公钥,另一个只有所有者知道,被称作私钥。用公钥加密的信息必须用私钥才能解开.反之,用私钥加密的信息只有用公钥才能解开,如图8-9所示。理论上说,不可能通过公钥计算获得私钥。
网站建设安全防护知识示意图8-9非对称加密
  非对称加密技术通常用在信息安全传输,数字签名等场合。信息发送者A通过公开渠道获得信息接收者B的公钥,对提交信息进行加密,然后通过非安全传输通道将密文信息发送给B,B得到密文信息后,用自己的私钥对信息进行解密,获得原始的明文信息。即使密文信息在传输过程中遭到窃取,窃取者没有解密密钥也无法还原明文。
  数字签名的过程则相反,签名者用自己的私钥对信息进行加密,然后发送给对方,接收方用签名者的公钥对信息进行解密,获得原始明文信息,由于私钥只有签名者拥有,因此该信息是不可抵赖的,具有签名的性质。
    在实际应用中,常常会混合使用对称加密和非对称加密。先使用非对称加密技术对对称密钥进行安全传输,然后使用对称加密技术进行信息加解密与交换。而有时,对同个数据两次使用非对称加密,可同时实现信息安全传输与数字签名的目的。非对称加密的常用算法有RSA算法等。HTTPS传输中浏览器使用的数字证书实质上是经过权威机构认证的非对称加密的公钥。
5.密钥安全管理
  前述的几种加密技术,能够达到安全保密效果的个重要前提是密钥的安全。不管是单向散列加密用到的salt、对称加密的密钥、还是非对称加密的私钥,一旦这些密钥泄露出去,那么所有基于这些密钥加密的信息就失去了秘密性。
  信息的安全是靠密钥保证的。但在实际中经常看到有的工程师把密钥直接写在源代码中.稍好点的写在配置文件中,线上和开发环境配置不同的密钥。总之密钥本身是以明文的方式保存并且很多人可以接触到,至少在公司内部,密钥不是秘密。实践中,改善密钥蚕全性的手段有两种。
 一种方案是把密钥和算法放在个独立的服务器上,甚至做成个专用的硬件设施,对外提供加密和解密服务,应用系统通过调用这个服务,实现数据的加解密。由于密钥和算法独立部署,由专人维护使得密钥泄露的概率大大降低。但是这种方案成本较高,而且有可能会成为应用的瓶颈,每次加密、解密部需要进行一次远程服务调用,系统性能开销也较大。
  另一种方案是将加解密算法放在应用系统中,密钥则放在独立服务器中,为了提高密钥的安全性,实际存储时,密钥被切分成数片,加密后分别保存在不同存储介质中,兼顾密钥安全性的同时又改善了性能,如图8-10所示。
  应用程序调用密钥安全管理系统提供的加解密服务接口对信息进行加解密,该接口实现了常用的加密解密算法并可根据需求任意扩展。加解密服务接口通过密钥服务器的密钥服务取得加解密密钥,并缓存在本地(定时更新)。而密钥服务器中的密钥则来自多个密钥存储服务器,一个密钥分片后存储在多个存储服务器中,每个服务器都有专人负责管理。密钥申请者、密钥管理者、安全审核人员通过密钥管理控制台管理更新密钥,每个人各司其事,没有人能查看完整的密钥信息。好了,网站建设公司关于网站安全防护方面的经验分享本文就到这里,希望能给你的网站安全维护工作带来帮助,谢谢关注,博纳网络编辑整理。
文章标题:大型网站怎样解决服务器的安全问题?(防火墙的应用)
本文地址:https://www.198bona.com/news/1730.html
如果您觉得案例还不错请帮忙分享:

网站建设

网络推广

解决方案

域名主机

建站行业资讯