浅谈校园网络WEB服务器的安全与维护.docVIP

浅谈校园网络WEB服务器的安全与维护 　　摘要： 国内许多的高校都组建了校园网络，并提供了各类的网络教学资源。随着选择接入校园网的教师和学生的增加，校园网络提供的各类服务器如WEB服务器将面临的各种攻击威胁，网络管理员需针对WEB服务器做好各种安全策略的管理。 　　关键词：WEB服务器；网站安全策略；网络管理 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)11-2544-02 　　随着国内各高校的校园网网络资源建设的不断增加，大量的校内信息将通过校内主网站和各系部的二级网站发布，学生和教师通过浏览校内网站获取学校的各类信息。由于WEB服务器面向所有的访客，一旦服务器遭受到病毒或校内外的黑客攻击，造成的校园网络的负面影响，因而如何做好WEB服务器的安全策略和WEB站点的安全管理将是管理人员需要思考的问题。 　　1 目前WEB服务器所知的安全威胁 　　1.1 拒绝服务(DOS) 　　DoS 攻击是指单一的DOS攻击。它通过一台客户端的主机向WEB服务器提出握手请求，这种攻击会使服务器的硬件性能下降，如服务器硬件配置较低和网络带宽小时，遇到DOS攻击将会使WEB服务器的CPU负荷加大、大量占用内存的空间和将带宽阻塞,它的攻击效果是非常明显的。随着网络技术的不断发展，现在已经出现了万兆级网络配置，DOS的攻击困难加大，所产生的攻击效果将会受到影响，但不能对此掉以轻心。 　　1.2 分布式拒绝服务(DDOS) 　　分布式拒绝服务（DDoS）攻击是DOS的升级版，攻击的目标和DoS 一样，但它的规模更大，也更加复杂，更加恶劣，攻击性更强。在DDoS 攻击中，攻击者不是通过一个系统攻击另一个系统，而是在黑客控制下使用多个主机系统攻击WEB服务器系统，有时这种发出攻击的系统甚至多达十几万个以上。服务器系统遭受到DDOS攻击后马上造成访问站点的网络瘫痪，严重干扰正常的服务器网络运行。 　　1.3 SQL注入式攻击 　　SQL注入式攻击是从网络服务的80端口进行访问的，它和一般的网页访问没有什么区别，一般的防火墙是无法测出SQL注入攻击，它利用数据库本身的漏洞或者网页编写源代码的漏洞进行攻击，获取网站数据库的信息和数据库管理员的权限，进而再取得WEB服务器系统管理员的权限，使服务器成为其操控的对象，严重威胁服务器的安全运行使用。 　　1.4 嵌入式网站攻击(Iframe) 　　Iframe是HTML的嵌套框架之一，原身是用于编写网页代码作为跳转链接的标签。一个浏览器窗体可以通过几个页面的组合来显示，重载页面时不需要重载整个页面，只需要重载页面中的一个框架页。但一些黑客却利用服务器系统的后门和网站代码的漏洞通过Iframe形式嵌入到网页文件代码中如。Iframe嵌入式攻击就是将一段病毒代码以Iframe的形式嵌入到正常的网页中，只要访问这种网页，网页自然跳接到病毒代码所指向的链接病毒网页，即原本想访问一个正常的网站，但一打开后却自动链接到另一个带病毒的网站，一旦链接病毒网站，客户端的主机将遭到病毒网站所附带的病毒入侵致使系统瘫痪。近年来此类攻击在校园网络屡见不鲜，严重影响校内网络资源的正常使用。 　　2 如何应对WEB服务器的安全问题 　　面对目前WEB服务器遇到的网络安全威胁，对服务器系统只提供保护是远远不够的，应从整个校园局域网络架构的安全角度去对WEB服务器系统进行安全的保护。 　　2.1 防火墙 　　防火墙是隔离校园内网络与校外网络的一道防御闸门。一般用于校园局域网与外部广域网之间，通过在防火墙的安全设置有效地限制外部网络用户以各种非法手段来访问校内WEB系统资源，来达到保护服务器的安全。根据防火墙的安全规则，防火墙对任何外部网络访问校园内部网络的的行为进行管理，一般将有安全隐患的服务端口进行屏蔽，有限的开放需要使用的服务器端口，例如www端口，并在防火墙记录外部网络访问WEB服务器的安全日志。 　　2.2 访问控制列表ACL 　　目前二层或三层的智能交换机都带有访问控制列表(ACL)功能，由于校内的客户机系统可以不经过防火墙直接路由访问WEB服务器，就会使有些好奇心学生会在网络上找一些破解服务器密码系统的软件尝试去获取服务器的管理权限，控制服务器。已达到某种程度的满足感。一般我们在WEB服务器接一台带有ACL功能智能交换机，在交换机内设置ACL访问控制列表。根据ACL列表规则，从第一条开始匹配，只有达到满足ACL认定的开放的端口才被获取访问，不能匹配数据包将视为被拒绝而被丢弃的，这样做一方面减少访问服务器的无效数据包堵塞，有效了利用网络带宽资源，另一方面也大大的提高服务器的安全。 　　2.3 WEB服务器的各项安全设置 　　2.3.1 系统安全配置 　　在服务器