三利器保障WEB服务器安全

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 本文讲的是三利器保障WEB服务器安全,安全的话题永远是网民关心的焦点,今天服务器被黑,明天网站被下马,这都能让管理员触目惊心。

本文讲的是三利器保障WEB服务器安全,【IT168 资讯】安全的话题永远是网民关心的焦点,今天服务器被黑,明天网站被下马,这都能让管理员触目惊心。那么对于现在的黑客,有没有办法阻止呢?今天来说下WEB服务器的安全问题。
  WEB服务器主要是面向互联网的。所以,其是企业众多信息化应用中最容易受到攻击的。现在企业的WEB应用越来越多,特别是其也逐渐在成为其他信息化应用的进口。如笔者企业,把OA系统、邮箱系统的入口都捆绑在WEB服务器上。故WEB服务器安全是笔者众多工作中的重中之重。
  为了提高WEB服务器的安全性,有众多的方法。在这里,笔者要向大家推荐的主要是三种方法。如果只想通过这三种方法来保障WEB服务器的安全当然是远远不够的。但是,若企业信息化管理人员若疏忽了这三个方面的内容,则WEB服务器的安全性是很难保障的。
  利器一:为WEB应用建立独立的服务器。
  由于WEB服务器可能遭受到的攻击,比ERP系统、办公自动化系统等应用服务器的几率高的多。所以,若把这些应用放在WEB应用同一个服务器中,则弱WEB服务器遭受到攻击,则很有可能殃及到ERP等关键应用。
  笔者企业中虽然把OA系统的接口绑定在WEB服务器上,但是,OA系统与WEB应用仍然在不同的应用服务器上。这主要是为了方便员工从企业外部访问OA系统。如此的好处,就是当WEB服务遭受到攻击不能使用时,最多员工无法从企业外部访问OA系统;而不影响企业内部员工的正常访问。
  不过,笔者以前就犯过类似的错误。那时,企业由于资金紧张,就把WEB服务器与ERP系统服务器部署在同一个服务器上。突然有一天企业的WEB服务器遭受到了不明身份的人的攻击。他们可能只是出于好玩吧,没有对WEB服务器产生多大的危害。只是CPU与内存的使用率居高不下。当把WEB服务器跟外网断开好,就恢复正常了。但是,这就使得同一个服务器上的ERP应用无法运作。企业员工每次输入一张销售订单,从原来的3分钟变为现在的30分钟。这么慢的速度显然很难让人接受。从这个事件中,让笔者懂得了一个真理,把企业内部应用放在WEB服务器上是一个非常不明智的做法。由于WEB服务器其面向的是互联网,所以,其很容易遭受到别人的恶意攻击。殃及池鱼,受到攻击后,连企业内部的应用服务都会受到牵连。
  所以,笔者第一个要提醒大家的就是,在部署服务器的时候,做好让WEB等面向互联网的应用服务跟其他面向内部的应用服务在不同的服务器上部署。这在保障WEB服务器安全的同时,也提高了企业其他应用服务的安全性。
  利器二:事务日志,让你对WEB运行状况了如指掌。
  其实,WEB服务器只要采取一定的保护措施,则攻击就需要一个过程,不是说在一个短时间内就可以完成的。通常情况下,这个攻击的过程往往会在WEB服务器的事务日志中留下蛛丝马迹。如非法攻击者视图通过密码字典破解工具,尝试网站管理员的口令与密码的时候,就会在WEB服务器的日志中留下纪录。如果我们在事务审核中,设置当用户密码最多输入错误次数的话,则当超过这个最大次数的时候,服务器就会在自己的日志中纪录这条信息。此时,若网站管理人员可以看到这条信息,则他们就可以及时的采取措施,如更改复杂密码等手段,来提高服务器的安全性。
  所以,每一个WEB服务器的管理人员都必须要重视事务日志的重要性。同时,为了让事务日志发挥更大的作用,往往需要启用审核功能。通过审核事件跟系统日志结合起来,可以让日志服务器纪录一些常见的攻击行为。从而给企业安全人员提供参考。否则的话,企业安全人员都不知道那里受到攻击了,那么他们也就根本无法进行及时的应对。
  不过话说话来,有些高手攻击企业WEB服务后,不会再事务日志上留下任何痕迹。这并不是说事务日志不管用了。而是因为他们在结合攻击后,会修改事务日志的信息。如某个攻击者窃取了管理员用户与密码后访问企业网站中的机密信息。一般情况下,这个访问纪录会在事务日志中有所显示。但是,一些高手会在推出之前修改事务日志。删除这些访问信息,或者更改访问者。让企业安全管理人员无从查起。为了让他们无法更改事务日志文件,则最好的方法就是更改事务日志文件的路径,并对其进行及时的备份。由于不知道路径的真确位置,所以,及时不法攻击者想攻击想修改日志隐藏自己的踪迹,都不可能。
  笔者现在的做法是,更改WEB服务器的日志的默认路径。并且每隔三个小时对事务日志进行异地备份。同时,结合事件审核功能,当日志服务器捕捉到一些异常信息时,如某个用户一直在试图登陆WEB服务器的管理站时,就会像企业管理人员递交这个异常信息。通过日志的管理,可以把WEB服务器的一些安全隐患及时的告知给管理人员。
  所以笔者这里要向大家推荐的第二把利器就是WEB服务器的日志管理 。管理员为了提高日志的安全性,要修改服务器日志的默认路径,并且定时对其进行异地备份。同时,要跟其他的功能,如安全审核、账户安全策略等工具,结合使用,可以起到事半功倍的作用。
  利器三:代码,影响WEB服务器安全的最大杀手。
  对于WEB服务器来说,代码是其安全的最大杀手之一。很多WEB服务器被攻破,大部分是由于代码设计不当所引起的。故管理好WEB服务器的代码,是保障WEB服务器安全的首要任务。
  为了提高代码的安全性,网站开发者要养成一些好的代码编写习惯。
  一是不要直接采用网络上的代码。
  有些开发者为了工作上的便利,会直接拷贝其他网友提供的代码。但是,不幸的是,天下没有白吃的午餐。有些人免费提供这些代码往往带有不可告人的秘密。如现在网络上提供的一些电子商务平台与网站论坛代码,代码提供者很有可能会在代码中预留一个后门。当他觉得有必要的话,则就可以很轻易的采用这个后门对其进行攻击。所以,若企业要在WEB服务器上实现一些关键应用,如客户在线下单等等,则最好不要采用网络上现成的编码。只可以借鉴,不可以抄袭。最好的话,自己开发。
  二是增加的新功能不要在WEB服。
  企业在发展,WEB应用也逐渐在完善。企业市场会提出一些新的需求。当开发者在开发某个功能的时候,最好不要直接在WEB服务器上直接进行测试。有条件的企业,最好专门配置一个测试服务器,以方便程序开发人员测试新功能。特别是若把这个程序开发外包给外面的企业的话,不能够为了贪图方便,直接让对方在现用的WEB服务器上进行测试。俗话说,知人知面不知心。对方很可能在你不知情的情况下,植入一个木马都说不定。所以,防人之心不可无。企业在新功能的开发测试上还是要小心为妙。
  三是尽量不要采用不安全的控件。
  企业WEB应用跟娱乐网站不同。企业门户网站强调的是快速、稳定、安全;而娱乐网站则强调的是美观、靓丽、特效。为了吸引眼球,提高点击率,娱乐网站往往会采用比较多的特效。为此,他们会在WEB服务上采用比较多的控件来达到这个效果。但是,这些控件往往都有安全漏洞,跟WEB服务器的安全背道而驰。如FLASH控件等等。针对这种控件的攻击,互联网上可能每天都在发生。还说不定哪一天就落到企业的头上了。所以,企业网站只追求稳定、安全,没有必要过多的采用控件来实现特技效果。
  笔者向大家推荐的第三把利器就是要做好代码的安全设计,尽量减少采用不安全的控件。企业网站应该追求稳定、反映速度等等。而过多的采用控件,跟这两个目标都是背道而驰的。

原文发布时间为:2009-07-14
本文作者: IT168.com
本文来自云栖社区合作伙伴IT168,了解相关信息可以关注IT168。
原文标题:三利器保障WEB服务器安全

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
1天前
|
人工智能 安全 Linux
安全体检 | 服务器的终极卫士
阿里云的安全体检是为用户提供的一项免费安全检测工具,旨在通过调用云安全中心和配置审计中的安全检测能力,汇总检测结果,涵盖病毒攻击、风险配置和服务器漏洞三方面。该服务帮助用户及时发现并解决潜在的安全问题,提升云上安全水平。与云服务诊断不同,安全体检更侧重于深层次的安全检测,确保服务器的安全稳定运行。
安全体检 | 服务器的终极卫士
|
6天前
|
安全 大数据 数据挖掘
课时9:阿里云Web应用防火墙:全面保障网站的安全与可用性
阿里云Web应用防火墙(WAF)基于阿里巴巴十年攻防经验,提供全面的网站安全防护。它通过Web应用防护、CC攻击防护和业务风控,有效应对各类网络威胁,确保网站的安全与可用性。智能双引擎技术降低误报率,实时数据分析和虚拟补丁更新保障系统安全。WAF已成功护航多个重大活动,为企业提供高效、简便的安全解决方案。
|
22天前
|
人工智能 Linux iOS开发
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
45 12
Burp Suite Professional 2025.2 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
|
1月前
|
存储 弹性计算 安全
阿里云服务器购买后设置密码、安全组、基础安全服务、挂载云盘等流程简介
对于初次选购阿里云服务器的用户来说,通过阿里云推出的各类活动买到心仪的云服务器仅仅是第一步。为了确保云服务器能够正常运行并承载您的应用,购买之后还需要给云服务器设置远程登录密码、设置安全组规则、设置基础安全、购买并挂载云盘等操作之后,我们才能使用并部署自己的应用到云服务器上。本文将详细介绍在阿里云的活动中购买云服务器后,您必须完成的几个关键步骤,助您快速上手并充分利用云服务器的强大功能。
|
2月前
|
云安全 监控 安全
服务器的使用安全如何保障
德迅卫士主机安全软件,采用自适应安全架构,有效解决传统专注防御手段的被动处境,精准捕捉每一个安全隐患,为您的主机筑起坚不可摧的安全防线
|
2月前
|
弹性计算 安全 搜索推荐
阿里云国际站注册教程:阿里云服务器安全设置
阿里云国际站注册教程:阿里云服务器安全设置 在云计算领域,阿里云是一个备受推崇的品牌,因其强大的技术支持和优质的服务而受到众多用户的青睐。本文将为您介绍阿里云国际站的注册过程,并重点讲解如何进行阿里云服务器的安全设置。
|
3月前
|
存储 弹性计算 运维
端到端的ECS可观测性方案,助力云上业务安全稳定
本文介绍了云原生时代保障业务系统可靠性的方法和挑战,重点探讨了阿里云ECS在提升业务稳定性、性能监控及自动化恢复方面的能力。文章分为以下几个部分:首先,阐述了业务可靠性的三个阶段(事前预防、事中处理、事后跟进);其次,分析了云上业务系统面临的困难与挑战,并提出了通过更实时的监测和自动化工具有效规避风险;接着,详细描述了ECS实例稳定性和性能问题的解决方案;然后,介绍了即将发布的ECS Lens产品,它将全面提升云上业务的洞察能力和异常感知能力;最后,通过具体案例展示了如何利用OS自动重启和公网带宽自适应调节等功能确保业务连续性。总结部分强调了ECS致力于增强性能和稳定性的目标。
|
3月前
|
缓存 安全 搜索推荐
阿里云先知安全沙龙(北京站) ——浅谈Web快速打点
信息收集是网络安全中的重要环节,常用工具如Hunter、Fofa和扫描工具可帮助全面了解目标系统的网络结构与潜在漏洞。遇到默认Nginx或Tomcat 404页面时,可通过扫路径、域名模糊测试、搜索引擎缓存等手段获取更多信息。AllIN工具(GitHub: P1-Team/AllIN)能高效扫描网站路径,发现敏感信息。漏洞利用则需充分准备,以应对突发情况,确保快速拿下目标站点。 简介:信息收集与漏洞利用是网络安全的两大关键步骤。通过多种工具和技术手段,安全人员可以全面了解目标系统,发现潜在漏洞,并制定有效的防御和攻击策略。
|
3月前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
3月前
|
弹性计算 运维 Serverless
产品测评 | ECS的健康保障新助手——云服务诊断
本文评测了阿里云的云服务诊断工具,该工具旨在帮助运维工程师和开发者快速定位和解决云资源问题。工具提供了“健康状态”和“诊断”两大核心功能,能够实时监控云资源状态,排查如网站无法访问、ECS故障等多种问题,并给出修复建议。该工具显著提升了排障效率,但在文档清晰度、功能描述准确性及部分功能实现上仍有改进空间。总体而言,该工具值得推荐给其他用户或团队使用。

热门文章

最新文章