Web安全技術與防火墻

　?。?、概述

　　計算機的安全性歷來都是人們討論的主要話題之一。而計算機安全主要研究的是計算機病毒的防治和系統的安全。在計算機網絡日益擴展和普及的今天，計算機安全的要求更高，涉及面更廣。不但要求防治病毒，還要提高系統抵抗外來非法黑客入侵的能力，還要提高對遠程數據傳輸的保密性，避免在傳輸途中遭受非法竊取。
　　在防治網絡病毒方面，在http傳輸中HTML文件是一般不會存在感染病毒的危險。危險在于下載可執行軟件如：.zip .exe .arj .Z 等文件過程中應特別加以注意。都有潛伏病毒的可能性。
　　對于系統本身安全性，主要考慮服務器自身穩定性、健狀性，增強自身抵抗能力，杜絕一切可能讓黑客入侵的渠道，避免造成對系統的威脅。對重要商業應用，必須加上防火墻和數據加密技術加以保護。
　　在數據加密方面，更重要的是不斷提高和改進數據加密技術，使不法分子難有可乘之機。
　　當然，計算機系統安全是個很大的范疇，本章僅僅討論在構造 web時，可能出現的一些情況，希望能引起重視。

　?。?、WEB在安全上的漏洞

　　WEB 服務器上的漏洞可以從以下幾方面考慮：
　?。?）在web服務器上你不讓人訪問的秘密文件、目錄或重要數據。
　?。?）從遠程用戶向服務器發送信息時，特別是信用卡之類東西時，中途遭不法分子非法攔截。
　?。?） web服務器本身存在的一些漏洞，使得一些人能侵入到主機系統破壞一些重要的數據，甚至造成系統癱瘓。
　?。?）CGI安全方面的漏洞有：
　　　1〕有意或無意在主機系統中遺漏(bugs)給非法黑客創造條件。
　　　2〕用 CGI腳本編寫的程序當涉及到遠程用戶從瀏覽器中輸入表格(form) 并進行象檢索(Search index)或form-mail之類在主機上直接操作命令時，或許會給web主機系統造成危險。
　　因此，從CGI角度考慮WEB的安全性，主要是在編制程序時，應詳細考慮到安全因素。盡量避免CGI程序中存在漏洞。

　　從web服務器版本上分析：
　　在1995年3月發現NCSA1.3以下版本的HTTPD明顯存在安全上的漏洞，即客戶計算機可以任意地執行服務器上面的命令，非常危險。但，NCSA1.4以上版本的服務器就補上了這個漏洞。還有一些簡單的從網上下載WEB服務器，沒有過多考慮到一些安全因素，不能用作商業應用。

　　　因此，不管是配置服務器，還是在編寫 CGI程序時都要注意系統的安全性。盡量堵住任何存在的漏洞，創造安全的環境。在具體服務器設置及編寫 cgi程序時應該注意：

　　管理服務器上
　　1)禁止亂用從其他網中下載的一些工具軟件，并在沒有詳細了解之前盡量不要用root身份注冊執行。以防止某些程序員在程序中設下的陷井，如：程序中加上一兩行 "rm -rf /"或"mail username < /etc/passwd" 之類情況發生。
　　2)在選用 web服務器時，應考慮到不同服務器對安全的要求不一樣。一些簡單的 web服務器就沒有考慮到一些安全的因素，不能把他用作商業應用。只作一些個人的網點。
　　3)在利用WEB中的.htpass來管理和校驗用戶口令時，存在校驗的口令和用戶名不受次數限制。

　?。?、如何在WEB上提高系統安全性和穩定性

　　web服務器安全預防措施：
　　〔1〕限制在web服務器開帳戶，定期刪除一些斷進程的用戶。
　　〔2〕對在web服務器上開的帳戶，在口令長度及定期更改方面作出要求，防止被盜用。
　　〔3〕盡量使ftp, mail等服務器與之分開，去掉ftp,sendmail,tftp,NIS, NFS，finger.netstat等一些無關的應用。
　　〔4〕在web服務器上去掉一些絕對不用的shell等之類解釋器，即當在你的 cgi的程序中沒用到perl時，就盡量把perl在系統解釋器中刪除掉。
　　〔5〕定期查看服務器中的日志logs文件，分析一切可疑事件。在errorlog 中出現rm, login, /bin/perl

原文轉自：http://www.kjueaiud.com