◆任地成 孙 鑫 谈 心 屠兴汉 曲 楠

(北方联合广播电视网络股份有限公司 辽宁 110000)

Web网站的网络安全防护策略研究

◆任地成 孙 鑫 谈 心 屠兴汉 曲 楠

(北方联合广播电视网络股份有限公司 辽宁 110000)

信息化让Web网站越来越多的呈现在了大众面前，同时也给网络攻击者进入Web网络的途径，网络攻击者所使用的手段千变万化并且实时更新换代，作为网络安全防护来说困难重重，本文就是牢牢把握住网络攻击的途径和手段，通过构建纵深防御体系，来有效阻断网络攻击者对Web网站的攻击实现Web网站的安全。

网络安全；纵深防护；防护策略

0 引言

随着互联网技术的不断发展，各行各业的信息化建设日趋丰富和多样，其中信息宣传的重要方式就是 Web网站，为了更方便快捷的管理网站，大多数网站都是使用动态语言编写（如ASP、JSP、PHP等），在方便的同时也带来了新的安全问题，由于网站是直接暴露在互联中，这就注定了其需要随时面对各种类型的网络攻击，如何为网站提供安全可靠的安全防护策略，成为提高网站安全性的重要手段。

1 Web网站攻击方式

Web网站的攻击重要来自于互联网，而攻击手段主要分为Web网络攻击和Web服务攻击两大类，其中Web网络攻击包括分布式拒绝服务攻击、渗透攻击等；Web服务攻击包括Http Heads攻击、Cookie攻击等，这些攻击从不同层面对网站进行网络及服务的威胁。

1.1 Web网络攻击

拒绝服务攻击的主要方式是通过某种手段让被攻击设备无法对外提供服务或者资源；其中资源主要有进程、磁盘、内存及带宽等，让合法正常的访问被拒绝；网络资源耗尽攻击的是大家熟知的攻击方式，其实只要能让攻击设备出现死机或者暂停服务的攻击都是拒绝服务攻击的一种，当前网络中出现的较多的拒绝服务攻击类型有SYN FLOOD、ACK FLOOD、ICMP FLOOD、UDP FLOOD 等[1]。

渗透攻击主要是攻击人员利用在网络中的位置不同（内部网络或外部网络）使用各类方式对目标网络进行扫描，通过对目标网络的扫描发现漏洞，并在发现漏洞后通过其他攻击手段来对目标设备造成攻击，常见的渗透攻击方式有SQL注入、目录浏览、溢出、上传、未授权的访问等[2]。

1.2 Web服务攻击

Http Heads攻击是使用IE或其他浏览器来对Web网站进行查看时，Web网站虽然采用各种不同的技术或框架，但是HTTP协议不可能发生变化，而Http协议本身包含的content、Response和header，这三者之间有一个空行，它的含义是content的开始、headers的结束。对于网络上熟知这个含义的攻击者来说，就可以在这个空行上进行攻击，也就是说将任意字符写入到 headers中[3]，如果在其中执行了某些Web脚本则就产生了攻击。

Cookie攻击是通过Web脚本可以对目标网站的cookie进行访问，也就是说通过在IE浏览器的地址栏中输入Web脚本，如果目标站点有cookie的话就可以直接看到其具体内容[4]。Web攻击人员利用这个原理就可以很轻松的获取到用户的关键信息。在网络上存在很多网站是通过cookie方式对用户的身份进行验证，这种攻击方式就可以很简单的获取到用户的身份认证信息。

2 Web网站的网络安全纵深防护

图1 网络安全纵深防护体系

通过分析 Web网站的攻击方式可以看出其攻击手段主要分为两类：网络攻击和 Web服务攻击；而这两类攻击就是从外向内不断攻击推进的过程；先从互联网到路由器，再从路由器到核心交换机，最后从核心交换机到达攻击目标 Web服务器。所以我们的防护策略就是按照攻击的纵深进行逐一防护而构建的网络安全纵深防护体系如图1所示，具体防护手段如下。

2.1 Web网络攻击防护

针对网络攻击中渗透攻击和拒绝服务攻击的原理采用边界防火墙与IPS入侵防御组合防护策略来防御渗透攻击；同时采用抗DDOS系统来专项防护拒绝服务器攻击，同时这三种网络防护设备均支持防护特征库的实时更新功能。

边界防火墙部署在互联网的边界上，通过防火墙的安全区域划分和安全策略配置来实现只允许外网访问 Web服务器的单个IP地址，并且仅仅允许其访问Web服务器对外提供Web服务的端口，这样Web服务器只有一个IP的一个固定端口是对外公开的，这样就避免了网络攻击者通过 Web服务器的其他端口来攻击Web网站服务器的可能；同时禁止掉web服务器对外的所有访问，该种配置方式有效预防了通过 Web服务器主动将数据传给网络攻击者的可能。

IPS入侵防御系统具有海量攻击特征库[5]，并且支持自动更新，这样有效预防了渗透攻击方式，因为渗透攻击方式主要就是通过漏洞数据库进行漏洞扫描后进行的渗透攻击，IPS的攻击特征库包含这些漏洞数据库中的漏洞有效阻断了漏洞扫描，让这些渗透攻击无法找到Web服务器的漏洞，从而保障了Web网站服务器的安全。

抗 DDOS攻击设备是专门针对拒绝服务攻击的安全防护设备，该设备主要有三部分功能组成分别为流量清洗、异常流量监测、异常流量清洗集中管理功能；当异常流量检测设备通过采样的方式发现 DDOS攻击时就会触发流量清洗设备的自动引流功能，将攻击流量引入到流量清洗设备中，由清洗设备根据攻击特征将攻击流量进行清洗，并通过策略路由回注功能将正常的流量重新注入路由器从而实现对后端 Web网站服务器的安全防护功能。

2.2 Web服务攻击防护

服务攻击的手段主要针对内容层面的攻击，根据该类攻击的特点，采用针对内容级别的防护策略是采用 Web防护网关来对网站的服务内容及http协议内容进行专项防护；同时配合网页防篡改功能来加固网站内容的安全，从而保障网站展现内容的不可更改防护。

Web防护网关是对Web网站服务端口的具体内容和协议的安全进行防护[6]，让侥幸通过边界防护墙和躲过了 IPS防御的网络攻击者，仍然无法到达Web服务器，Web防护网关会对任何访问Web网站服务器的http协议和Cookie的访问进行安全防护，同时可以检测网站中的敏感信息防止泄露。

网页防篡改功能是在未经授权和未允许的情况下，不允许任何程序或者进程对受保护的 Web网站的任何文件或文件夹进行修改[7]，这就保障了Web网站的内容安全，避免网络攻击者上传非法文件及木马等恶意文件或插入恶意代码，有效预防了网络攻击者对网站的内容进行删除、插入或修改，防止了黑客入侵从而更有效地对网站网页安全进行保护。

3 结束语

网络攻击方式层出不穷，网络漏洞也是随着时间的推移不断更新，如果仅依靠单一的网络防护手段无法实现对 Web网站的安全防护，并且仅使用静态的防护思路也无法保障明天的安全，所以只有让安全防护特征库不断的更新，才能保障在新漏洞出现后实时的做到安全防护。无论网络攻击者采用何种手段只要能阻断其攻击的路径和攻击手段，有效保障 Web网站服务器的安全性还是可实现的。

[1]任建国．拒绝服务攻击的研究[J]．计算机应用，2001．

[2]陆庆华．渗透攻击技术研究[J]．网络安全技术与应用，2014．

[3]谢逸．应用层HTTP攻击检测关键技术研究[J]．通信与信息系统，2008．

[4]胡忠望，刘卫东．Cookie应用与个人信息安全研究[J]．计算机应用与软件，2007．

[5]吴海燕，蒋东兴，程志锐等．入侵防御系统研究[J]．计算机工程与设计，2007．

[6]李贞．探究基于 WEB防火墙的校园网络安全解决策略[J]．网络安全技术与应用，2016．

[7]张鑫，闪永强．一种新型网页防篡改策略的研究与部署[J]．河南师范大学学报(自然科学版)，2011.