返回
网络安全技术之保护web服务器

网络安全技术之保护web服务器

ID:31102951

大小:69.50 KB

页数:3页

时间:2019-01-06

网络安全技术之保护web服务器_第1页
网络安全技术之保护web服务器_第2页
网络安全技术之保护web服务器_第3页
资源描述:

《网络安全技术之保护web服务器》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络安全技术之保护Web服务器摘要:本文向大家介绍的是有关如何保护Web服务器的内容,包括INTERNET或倍息发布服务‘INTERNET/内部网和虚拟专用网VPN,文章从这3个方面进行了介绍,希望对大家有所帮助。INTERNET或信息发布服务这种情况非常普遍,ISP或ICP,企业的网页,在INTERNET上提供息服务或提供数据库服务等。任何一种想提供普遍服务或广而告之的网络行为,必须允许川户能够访问到你提供服务的主机,都属于这种情况。对访问服务行业而言,访问服务提供者必须把要提供服务的服务器主机放在外部用户可以访问的

2、地方,也就是说,主机安全几乎是唯一的保证。除非明确地知道谁会对你的访问惊醍破坏,才可以対出口路山器或出口防火墙惊醒一•些针对性的限制访问控制的设定,否则,访问控制变得毫无意义。主机安全是一个非常有效的手段。所谓的主机安全是一个非常广义的概念,首先是要有一个安全的操作系统,建立在一个不安全、甚至稳定性都很差的操作系统上,是无法作到一个安全的主机。然后是仔细的检杳伤;所提供的服务,如果不是你所必须提供的服务,建议除掉一切你所不需要的进程,对你的服务而言,它们都是你安全上的隐患。可以采用一些安全检测或网络扫描工具来确定你的服

3、务器上到底有伸麽服务,以保证是否有安全漏洞或隐患。最示是对主机确定非常严格的访问限制规则,除了允许提供商愿意提供的服务之外,宣纸并拒绝所有未允许的服务,这是一个非常严格的措施。除了主机安全以外,如果还需要提高服务的安全性,就该考虑釆用网络实时监控和交互式动态防火墙。网络实时监控系统,会自动捕捉网络上所有的通信包,并対英进行分析和解析,并判断出用户的行为和金图。如果发现用户的行为或企图与服务商所允许的服务不同,交互式防火墙立即采取措施,封堵或拒绝用户的访问,将其拒绝在防火墙之外,并报警。网络实时监控系统和交互式防火墙具有

4、很强的审计功能,但成本相对偏高。INTERNET和内部网企业一方面访问INTERNET,得到INTERNET所带來的好处,另一方面,却不希望外部川户去访问企业的内部数据库和网络。企业当然没有办法去建立两套网络來满足这种需求。防火墙的基木思想不是对侮台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对受保护的内部网和不可信任的外界网络Z间建立一道屏障,它可以实施比较惯犯的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。根据金业内部网安全政策的不同,采取防火墙的技术手段也有所不同。1.包过

5、滤防火墙包过滤防火墙的安全性是基于对包的IP地址的校验。在Internet上,所有信息都是以包的形式传输的,信息包中包含发送方的IP地址和接收方的IP地址。包过滤防火墙将所冇通过的信息包屮发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出,并按照预先设定过滤原则过滤信息包。那些不符合规定的1P地址的信息包会被防火墙过滤掉,以保证网络系统的安全。包过滤防火墙是基于访问控制来实现的。它利用数据包的头信息(源IP地址、封装协议、端口号等)判定与过滤规则相匹配与否决定舍取。建立这类防火墙需按如下步骤去做;建立

6、安全策略;写出所允许的和禁止的任务;将安全策略转化为数据包分组字段的逻辑表达式;用相应的句法垂写逻辑表达式并设置Z,包过滤防火墙主要是防止外來攻击,或是限制内部用户访问某些外部的资源。如果是防止外部攻击,针对典型攻击的过滤规则,大体有:对付源1P地址欺骗式攻击(SourceIPAddressSpoofingAttacks)对入侵者假冒内部主机,从外部传输一个源IP地址为内部网络1P地址的数据包的这类攻击,防火墙只需把来口外部端口的使用内部源地址的数据包统统丢弃掉。对付残片攻击(TinyFragmentAttacks)入

7、侵者使用TCP/IP数据包分段特性,创建极小的分段并强行将TCP/IP头信息分成多个数据包,以绕过用户防火墙的过滤规则。黑客期望防火墙只检查笫一个分段而允许其余的分段通过。对付这类攻击,防火墙只需将TCP/IP协议片断位移植(FragmentOffset)为1的数据包全部丢弃即可。包过滤防火墙简单、透明,而R非常行Z冇效,能解决大部分的安全问题,但必须了解包过滤防火墙不能做伸麽和有伸麽缺点。对于采用动态分配端口的服务,如很多RPC(远程过程调用)服务和关联的服务器在系统启动时随机分配端口的,就很难进行有效地过滤。包过滤

8、防火墙只按照规则丢弃数据包而不对其作日志,导致对过滤的IP地址的不同用八,不具备用户身份认证功能,不具备检测通过高层协议(如应用层)实现的安全攻击的能力。1.代理防火墙包过滤防火墙从很大意义上像-•场战争,黑客想攻击,防火墙坚决了以拒绝。而代理服务器则是另外一种方式,能回避就凹避,甚至干脆隐藏起来。代理服务器接收客户请求后会检查验

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。