对外网站安全设计.docVIP

对外网站安全设计 　　【 摘 要 】 如今网络已经成为我们日常生活中重要的组成部分，而且随着网络的迅猛发展，人们越来越离不开网络。但是由于网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。如何防范网络风险已经成为一个我们必须要面对和解决的问题。本文将通过建设一个对外网站的实践，探索如何进行网站安全设计。 　　【 关键词 】 防火墙；入侵检测系统；应用防火墙；流量清洗设备；网页防篡改软件 　　Security Design of A Website 　　Zeng Xiao-bin 　　（Zhaoqing Power Supply Bureau， Guangdong Power Grid Company GuangdongZhaoqing 526060） 　　【 Abstract 】 Nowadays Internet has played an important part of our daily life. And as Internet grows rapidly， people more and more rely on Internet. But security threats always exist， because the Internet environment is complicate， varied and the information systems are fragile， opened and vulnerable. How to guard against Internet threats has become an issue which needs to be faced and solved. Through the experience of building a website， this article will explore how to proceed website security design. 　　【 Keywords 】 firewall； intrusion detection systems； web application firewall； defensepro； website anti-distort system 　　1 引言 　　根据调研公司Forrester Research发布的调研报告，2013年全球网民数量达到22亿，其中17%来自中国。中国已经成为上网人数最多的国家。网络已经成为我们生活离不开的工具，经济、文化、军事和社会活动都强烈地依赖于网络。网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时，网络安全问题也日渐突出、形势日益严峻。 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。 　　本文是从一个实际的应用出发，对现有的网络安全设备进行比较分析，充分利用设备特性搭建安全稳定的网络环境，同时在软件设计上加强安全控制，希望能为大家提供有益的经验借鉴。 　　2 现有安全设备的特点及不足 　　目前市面上的安全设备种类不少，它们各有所长能有效防御某一类型的病毒，但都无法做到面面俱到。 　　防火墙（Firewall）：防火墙是部署在网络边界的安全设备，它能够抵御一部分网络攻击，如端口扫描、恶意代码、IP欺骗等。但防火墙只是网络层设备，它不能够抵御应用层的各种攻击。 　　入侵检测系统IDS（Intrusion Detection Systems）：入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。如果发现系统正遭受网络攻击，IDS会发出警告。通过更新特征库，入侵检测设备可以有效发现入侵行为，但不足之处在于IDS是一种事后告警。 　　应用防火墙WAF（Web Application Firewall）： Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 　　流量清洗设备DP（DefensePro）：流量清洗工具，通过设定阀值和设备的自我学习，抵御分布式拒绝服务攻击（DDOS）攻击。 　　网页防篡改软件：通过水印比对技术确保目标文件与备份文件完全一致，达到防止网页被恶意篡改的目的。 　　3 系统建设目标 　　本文将通过