什么是 Web安全？Web应用漏洞的防御实现

什么是 Web安全？

Web安全是计算机术语。随着Web20、社交网络等一系列新型的互联网产品诞生问世，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的窥探，接踵而至的就是Web安全威胁的凸显。

黑客利用网站 *** 作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

Web安全的现状及原因

目前，很多业务都依赖于互联网，无论是网上银行、网上购物、还是网络 游戏 等，恶意攻击者们出于各种不良目的，对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是如此，Web业务平台最容易遭受攻击。

而针对Web服务器的攻击也是五花八门，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。

一方面，由于TCP/IP的设计是没有考虑安全问题的，网络上传输的数据是没有任何安全防护。攻击者们可利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。

而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些都属于在软件研发过程中疏忽了对安全的考虑所致。

另一方面，个人用户由于好奇心，被攻击者利用木马或病毒程序进行攻击，攻击者将木马或病毒程序捆绑在一些诱人的、音视频或免费软件等文件中，然后将这些文件置于某些网站当中，再引诱用户去单击或下载运行，或通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，让用户打开或运行这些文件。

Web安全的三个细分

Web安全主要分为:1、保护服务器及其数据的安全。2、保护服务器和用户之间传递的信息的安全。3、保护Web应用客户端及其环境安全这三个方面。

Web应用防火墙

Web应用安全问题本质上源于软件质量问题。但Web应用相较传统的软件，具有其独特性。Web应用往往是某个机构所独有的应用，对其存在的漏洞，已知的通用漏洞签名缺乏有效性；

需要频繁地变更以满足业务目标，从而使得很难维持有序的开发周期；需要全面考虑客户端与服务端的复杂交互场景，而往往很多开发者没有很好地理解业务流程；人们通常认为Web开发比较简单，缺乏经验的开发者也可以胜任。

Web应用安全，理想情况下应该在软件开发生命周期遵循安全编码原则，并在各阶段采取相应的安全措施。

然而，多数网站的实际情况是：大量早期开发的Web应用，由于 历史 原因，都存在不同程度的安全问题。对于这些已上线、正提供生产的Web应用，由于其定制化特点决定了没有通用补丁可用，而整改代码因代价过大变得较难施行或者需要较长的整改周期。

这种现状，专业的Web安全防护工具是一种合理的选择。WEB应用防火墙（以下简称WAF）正是这类专业工具，提供了一种安全运维控制手段：基于对>

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

1、保护网络安全。

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。

2、保护应用安全。

保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。

虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。

3、保护系统安全。

保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、 *** 作系统、各种应用软件等互相关联。

扩展资料：

安全隐患

1、 Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。

2、 Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。

3、 Internet上的通信业务多数使用Unix *** 作系统来支持，Unix *** 作系统中明显存在的安全脆弱性问题会直接影响安全服务。

4、在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。

5、电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。

6、计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。

参考资料来源：百度百科--网络安全

第一步：选择系统平台
1 这里推荐 Windows Server 2003/32位，原因：该版 *** 作系统成熟可靠，可用软件丰富，能支持超大内存；
2 安装 *** 作系统时，请不要安装网上下载的Ghost版或精简版，不能安装有病毒的系统，否则可能前功尽弃。
第二步：部署所需环境
1 安装 *** 作系统后，顺便安装好IIS和FTP，方便建立WEB和FTP用。（如果没有安装IIS，可以下载IIS组件自行安装）；
2 如果需要ASP环境，请开启ASP运行条件；
3 如果需要SQL Server数据库，请安装对应软件，建议SQL Server 2005，根据自己的系统要求进行选择。
4 如果需要Net环境，请下载对应的Net安装包版本安装。
5 安装其他软件，如入侵防护系统，杀毒软件等。
第三步：配置所需安全
1 所需环境部署后，需要设置系统安全，包括磁盘权限和数据库，以及其他组件，这里2 设置磁盘权限，包括系统盘和其他磁盘；
3 变更系统账户，如将 Administrator 重命名，尽可能设置复杂密码。
第四步：配置管理工具
1 安装主机管理系统，建议安装免费，方便开设站点，并可方便备份和恢复的主机管理系统；
2 用主机系统开设站点，绑定域名，部署网页文件，测试能否正常访问；
3 安装其他主机管理软件，比如一些被控端，但注意做好权限设置工作。
第五步：部署运营监控
1 部署远程监控系统，如：代维系统，方便统一监控服务器状况，如IO、CPU、内存、带宽等使用情况，及时预警；
2 查杀网页木马，找出原来存在的网页木马文件，可以用：云查杀系统或入侵防护系统扫描，发现木马文件妥善处理；
3 入侵防护系统可以实时监控网页木马、畸形文件、远程登录、用户提权、防注入、进程限制、防篡改限制、非法内容生成控制等，推荐；
4 如果数据重要，建议安装安全套装，提高安全系数。
第六步：注意事项
1 不建议开启服务器上软件的自动升级功能，比如杀毒软件/输入法等，因为很可能破坏系统的安全体系；
2 不要在服务器安装不必要的软件，比如QQ，以及有些杀毒软件，特别消耗资源；
3 不要轻易在服务器上打开未知软件和客户网站，否则可能造成中毒；
4 其他影响服务器安全的事项。

建议你在Linux平台上搭建web服务。需要安装nginx服务或者Apache（阿帕奇）服务。一般还会用到mysql、redis等服务。具体看你需求。你也可以上云服务器。比如阿里云的ecs以及百度云的bcc；还有腾讯云等；国外有谷歌云，可以申请每年300刀的试用。

wfg的意思是Web Forward Gate，Web服务请求转发软件。

利用此软件您只需进行简单的设置就可以很好的将实际的Web服务器保护起来，并且不影响您的服务器的访问情况进行各种统计。

如果Web服务器是直接连在互联网上的，那么可以在互联网上的另一台机器上安装WFG，启动映射功能，具体设置如下。

目标地址：实际Web服务器的IP地址；目标端口：80或其他，根据实际情况设置；端口类型：>

设置好后，我们在做域名解析的时候只要把域名解析到装有WFG的机器上就行了，当有人通过域名访问我们的网站时，首先是连接到这个装有WFG的机器，然后再由它把访问请求通过映射功能转到真正的服务器，从而实现保护真正Web服务器的目的。

实际应用网络拓扑图，如果Web服务器是在公司内网中，那么更好办了，只要在公司的WFG服务器上直接设置端口映射即可，设置方法参考上面。

WFG转发支持所有的windows系统和linux系统，是市场上最好且最有效的杜绝了网络服务器遭受网络攻击，保证了服务器的正常运行。

Web服务器适合于网站建设的相关应用。

通常建立一个网站，要考虑硬件平台、 *** 作系统、数据库、Web服务器、Web应用软件等的选择问题，根据网站类型、网站规模、资金预算及经验等因素从众多的方案中选出适宜的产品，不是一件简单的事情，

而且还要考虑日后的维护和更新等问题。

选择Web服务器时，不仅要考虑目前的需求，还要考虑将来可能需要的功能，因为更换Web服务器通常要比安装标准软件困难得多，会带来一系列的问题，如页面脚本是否需要更改，应用服务器是否需要更改等等。大多数Web服务器主要是为一种 *** 作系统进行优化的，有的只能运行在一种 *** 作系统上，所以选择Web服务器时，还需要和 *** 作系统联系起来考虑。而且一般的品牌Web服务器都有自己的一套Web服务器系统软件，这就要考虑这套软件所支持的标准、应用（包括数据库应用）和安全协议等。一般要考虑以下几个方面：

◆性能

由于Web服务器为它的客户提供的数据类型通常是机密的。静态Web目录页比大多数根据需要进行更新的动态页对CPU的处理能力要求少，例如象微软的ActiveServerPages(ASP),因此我们首先考虑的优先部件包括“多网卡优化”和“高速磁盘I/O优化”。另外，由于对于Web页的访问还牵扯到文件系统缓存对于服务器内存子系统的影响，以及动态Web页和后挂的数据库之间已经构成标准应用3层架构的前两层，所以我们在制定服务器的的选型方案是需要考虑CPU配置对当前网络带宽的影响、网络资源（包括网络结构）对应用访问的影响、磁盘I/O和随机读写比率的峰值对实际应用中客户端Web点击的影响、优化的网络对提高应用系统的实际效益的影响、并发交易对于系统资源的占用和成功率、可管理性的考虑。Web服务器推荐配置可参考下表。

Web服务器推荐配置表（点击看大图）

◆所支持的并发用户数

这是大家最容易想到的。Web服务器的并发用户数支持能力是指Web服务器在同一时刻可以允许的用户连接数。所支持的用户数主要受系统的硬件配置、网络出口带宽和应用复杂性等方面决定。小的企业站点能够支持500个用户就不错了，而对于大中小型企业站点，可能需要支持10000个以上的并发用户。

◆响应能力

其实这个参数与上面介绍的所能支持的并发用户数相关，响应速度越快，单位时间内就可以支持越多的访问量，用户点击的响应速度就越快。

◆Web服务器软件系统对标准和应用的支持

这点非常重要，如果你公司的Web站点的网页主要是ASP动态类型的，就不适宜选择Apache服务器系统，因为它对ASP不支持，同样，如果你公司的数据库系统是SQL，也不适宜选择Apache，同样是因为它不支持。当然这其实只是一个简单的例举，这方面要注意的还有很多，如对各种语言的支持、网络通信协议的支持等。还有，有些网站需要Web服务器具有一些特殊的功能，比如便捷的用户认证、多媒体流的递送、SSL、支持某种脚本语言等等，选择Web服务器时，要确认能支持所需要功能，或者可以加载第三方的软件进行支持。具体一定要详细向厂商了解清楚。

◆安全性

因为Web服务器通常是放在防火墙之外，或者DMZ区，所以Web服务器的安全性问题显得特别重要。它主要要考虑两个方面：一是保护Web服务器机密信息；二是要防止黑客的攻击。要具备这两项安全功能，除了要配备一些安全策略和工具软件外，还需要注意在服务器自身上所安装的应用系统最少、最简单。只有这样，黑客们才会无从下手。

◆管理的难易程度

Web服务器的管理包含两种含义：一是管理Web服务器是否简单易行;二是利用Web界面进行网络管理。管理Web服务器的管理界面一般有命令行、Telnet、HTML和基于窗口的应用程序。易管理的Web服务器应具有图形用户界面和完善的向导系统或帮助文档，复杂的管理界面可能会引起问题，而且浪费时间，并且可能导致配置错误和安全漏洞。经验丰富的Web站点管理员能够配置一个安全有效的服务器，迅速解决出现的问题。如果进行主机托管，IAP一般会帮助解决出现的问题，也可以向IAP的管理员咨询。

◆技术支持

这就涉及到Web服务器厂商的今后服务体系和技术实力。毕竟这样一个庞大的系统的应用是非常复杂的，特别是对于那些平常很少接触的UNIX或LINUX服务器系统。如果出了问题，不能得到厂商及时、可靠的技术支持，将很可能影响到公司电子商务的正常应用。

当然其实要考虑的远不止这些，如服务器的可靠性、实用性都是要考虑的

apache

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。

Apache源于NCSA>

本来它只用于小型或试验Internet网络，后来逐步扩充到各种Unix系统中，尤其对Linux的支持相当完美。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个ApacheWeb站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。世界上很多著名的网站如Amazon、Yahoo!、W3Consortium、FinancialTimes等都是Apache的产物，它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。

Apache的诞生极富有戏剧性。当NCSA>

Apacheweb服务器软件拥有以下特性：

支持最新的>

拥有简单而强有力的基于文件的配置过程

支持通用网关接口

支持基于IP和基于域名的虚拟主机

支持多种方式的>

集成Perl处理模块

集成代理服务器模块

支持实时监视服务器状态和定制服务器日志

支持服务器端包含指令(SSI)

支持安全Socket层(SSL)

提供用户会话过程的跟踪

支持FastCGI

通过第三方模块可以支持JavaServlets

如果你准备选择Web服务器，毫无疑问Apache是你的最佳选择。

Apache有名的几个项目介绍

>

这个在前面的段落介绍过了，Apache已经是他的代号了

ActiveMQ

免费开源由java编写符合JMS11标准的消息中间件。

另外，它也支持通过除java语言外的语言的使用

Ant

这个太出名了。标准的批处理工具。是一套基于java的程序打造工具

Commons

一些常用的工具类库，包括common-pool,dbcp,fileupload,Common-beans等。

Excalibur

它的主要产品是一个由java写成的，名字叫做Fortress（要塞）的轻量级的可嵌入式反向控制容器。

iBATIS

并入的一个项目，是ORM的一个很流行的工具

Geronimo

是Apache软件基金会为了创造一个兼容j2ee的容器，而整理出来的一个新成果

Jakarta

许多Java子项目的集成，tomcat,ant等就是从这里孵化出去的。

James

是一套用java开发的邮件、新闻组、消息服务器。它使用的avalon组件框架。目前支持SMTP,POP3和NNTP很快也会支持IMAP

Logging

基于java的可靠，快速，扩展性强的日志工具

Maven

是一套java开发的工程综合管理工具。它基于工程对象模型(POM)的理念

Portals

门户产品

Struts

一套通过servlets和jsp来搭建web应用的MVC框架

Tomcat

用量最大的免费的Java服务器

---