太仓广电网站的安全策略.docVIP

太仓广电网站的安全策略 太仓市网络中心 周健 吴盛华 目前，黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破各种加密关口和防火墙，攻入Web网站的内部，窃取信息。黑客可以仅凭借浏览器和几个技巧，即套取Web网站的客户信用卡资料和其它保密信息。 　　随着防火墙和补丁管理已逐渐走向规范化，各类网络设施应该是比以往更完全。但不幸的是，道高一尺，魔高一丈，黑客们已开始直接在应用层面对Web网站下手。为了增强Web网站的安全性，我们在建设网站的前期，就对网络的安全性、可靠性进行了大量的研究和论证，提出了行之有效的五大安全策略，并制定出了完善的日常管理方案，为网站日后的正常运行提供了有力的保障。 策略一：Web网站使用SSL加密 Windows网络操作系统内置的IIS是大家最常用的Web服务器。但在系统默认配置下，IIS使用的是“HTTP协议”以明文形式传输数据，没有采用任何加密手段，传输的重要数据很容易被窃取。这对于一些安全性要求高的网站来说，是远远不够的。为了保证重要数据的万无一失，IIS也提供了SSL安全加密机制。 　　SSL安全加密机制 　　SSL(Security Socket Layer)的中文全称是“加密套接字协议层”，是由Netscape公司推出的一种安全通信协议，它位于HTTP协议层和TCP协议层之间，能够对信用卡和个人信息提供较强的保护。SSL在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL安全加密机制功能是依靠使用数字证书来实现的。 　　应用了SSL加密机制后，IIS服务器的数据通信过程如下：首先客户端与IIS服务器建立通信连接，接着IIS把数字证书与公用密钥发给客户端。然后使用这个公共密钥对客户端的会话密钥进行加密后，传递给IIS服务器，服务器端接收后用私人密钥进行解密，这时就在客户端和IIS服务器间创建了一条安全数据通道，只有被IIS服务器允许的客户才能与它进行通信。 　　要对网站进行SSL加密，首先必须生成证书请求文件，然后就可以申请IIS网站证书。但这个过程需要证书服务(Certificate Services)的支持。 我们在安装好Certificate Server后，给自己的Web Server发一张证书，安全站点已经建立起来了。 一切都已经就绪，当我们进入我们的安全网页时，在IE的状态栏里应该有一个小锁，双击这个小锁能看到站点证书信息，同时也能看到整个证书链。现在也许有人会问那么现在怎么用SSL加密数据呢？，实际上现在浏览器和Web服务器之间交换的所有信息都已经被加密，SSL是工作在网络层与会话层之间的协议，它在TCP/IP和HTTP之间增加了一个加密层，所以对于工作在HTTP协议以上的用户而言，加密是完全透明的，所以请忘记用SSL加密这句话。 策略二：Web网站使用了防火墙 在构建安全的网络环境的过程中，防火墙作为第一道安全防线，对我们的网站的安全性起到十分关键的作用。众所周知，防火墙是一种将内部网和公众网如 Internet分开的方法。它能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作。防火墙可以作为不同网络或网络安全域之间信息的出入口，能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、网络地址转换——NAT技术、代理技术等。? 因此，我们在购买网络安全设备时，把防火墙放在首位。 由于我们网站的路由器已确定的型号是Cisco 3600，因此我们在配置防火墙的时候将路由器和防火墙综合规划。通过严密的分析和论证，我们最终确定使用Cisco IOS 防火墙为我们的web网站进行安全把关。 Cisco IOS软件运行于80%以上的Internet骨干网路由器中。Cisco IOS软件提供全面的网络服务，并启动网络化的应用程序。Cisco IOS安全服务为建立Internet、内部网及远程访问网络的提供安全解决方案，进而提供端到端网络安全。 整个安全解决方案的一个关键部分是网络防火墙，负责监视穿过网络周边的通信及根据安全策略加以限制。周边路由器可见于任何网络边界，例如专用网络、内部网、外部网或Internet之间。防火墙分离内部(专用)和外部(公共)网络。Cisco IOS防火墙特性集作为Cisco IOS软件的一个选项上市，提供一个先进的安全解决方案，保护网络，防止安全违规。这种集成化路由器安全解决方案提供Cisco Systems安全解决方案系统中的一个部件。 Cisco IOS防火墙特性集是三个Cis