當前，互聯(lián)網(wǎng)上的黑客攻擊越來越多地集中在應用層的各種開放服務上，特別是企業(yè)和機構(gòu)紛紛將應用遷移到Web服務平臺，隨之而 來的是針對Web服務器的入侵攻擊，如利用SQL注入攻擊完成諸如更換Web網(wǎng)站主頁，盜取管理員密碼，破壞整個網(wǎng)站數(shù)據(jù)等惡意行為 尤為突出。面對Web威脅，網(wǎng)站安全該如何做？你的網(wǎng)站需要什么樣的web應用安全解決方案，才能固若金湯？

技術(shù)門診是51CTO社區(qū)品牌欄目，每周邀請一位客座專家，為廣大技術(shù)網(wǎng)友解答疑問。從熱門技術(shù)到前沿知識，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個主題，站在最新最熱的技術(shù)前沿為你引航！

本期門診特邀綠盟科技的兩位專家來與大家一起交流WEB應用安全問題和做安全解決方案的過程中需要注意的事項。

姓　　名：趙 旭

擅長領(lǐng)域：網(wǎng)絡(luò)安全、通信系統(tǒng)

綠盟科技產(chǎn)品管理中心產(chǎn)品市場經(jīng)理。2005年畢業(yè)于瑞典皇家理工學院，獲碩士學位，專業(yè)為信息通信系統(tǒng)安全。現(xiàn)在綠盟科技主要負責WAF產(chǎn)品。

姓　　名：秦 波

: http://doctor.51cto.com/develop-174.html

擅長領(lǐng)域：信息管理、安全服務

綠盟科技產(chǎn)品管理中心產(chǎn)品市場經(jīng)理。畢業(yè)于北京大學信息管理系，在安全服務領(lǐng)域有多年的項目管理和實施經(jīng)驗。擅長Web攻防領(lǐng)域，在如何保障不同行業(yè)的基于Web的業(yè)務持續(xù)性和風險分析方面有深入研究，是Web安全領(lǐng)域的國標、軍標和行業(yè)標準的主要編寫者。

查看本期門診精彩實錄

參與最新技術(shù)門診：http://doctor.51cto.com/

下面精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學習參考。

Q：企業(yè)在構(gòu)建自己的web網(wǎng)站時，應從哪些方面來考慮其安全性呢？是否需要部署基于硬件的web安全網(wǎng)關(guān)呢？

A：這個問題相對比較大，建議從安全風險分析的角度來考慮問題。除了考慮已經(jīng)比較成熟的網(wǎng)絡(luò)層、系統(tǒng)層面以及WEB通用組件（如IIS、Apache等Web server軟件）的安全控制，Web應用層面的安全問題需要重點考慮。Web應用層面的問題，建議從Web應用的生命周期進行考慮，在各個階段都采取相應的安全控制。問題在生命周期中越早解決越好，因為到了后期，解決問題的成本會高很多。當然了，上面說的這個生命周期的安全控制相對比較理想、對人員投入及相應技能都有較高要求。實際情況中，網(wǎng)站更多面臨的問題是如何度量Web應用代碼的安全質(zhì)量，網(wǎng)站上線后如何采取相應的防護措施、可以有效降低風險。針對第一個問題，建議可以采用Web應用黑盒測試工具，針對第二個問題，可以考慮部署專有的Web安全網(wǎng)關(guān)（業(yè)界更習慣稱為Web應用防火墻，即WAF）。因為代碼缺陷是先天存在的，即使后來修復也會具有一定的滯后性，而且不能保證100%地發(fā)現(xiàn)所有存在的漏洞那個缺陷。WAF通過自身固化的防護機制，可以識別各類Web安全威脅和攻擊行為并予以阻斷。

Q：我是一家企業(yè)的網(wǎng)絡(luò)管理員。單位的網(wǎng)站空間都是托管個制作方的，上次被入侵，修改了首頁FLASH頁面的介紹，本來公司是做服裝的，可被入侵之后，百度搜索出來的內(nèi)容竟然是私服魔域等介紹。我想問下一般我們企業(yè)，在選擇網(wǎng)站制作的源碼，數(shù)據(jù)庫那些語言和數(shù)據(jù)庫乃至服務器更加的安全？托管給別人空間的，我們該怎么去維護防護發(fā)生入侵這方面的問題？

A：中小型企業(yè)網(wǎng)站的維護，由于沒有專人來負責安全問題，一般的維護在于更新內(nèi)容，這種網(wǎng)站一般都是虛擬機形式托管，對系統(tǒng)層沒有控制權(quán)限，僅僅是自己所負責的應用程序。而且網(wǎng)站定位于發(fā)布信息的平臺，機密性要求不高，但如果被攻擊后很容易被利用掛馬、XSS等，給終端用戶造成傷害。建議這種類型的網(wǎng)站從源碼的選擇上不要去抄襲和引用不成熟的代碼，盡量用簡單的機制來滿足功能，從而減少維護量和安全攻擊。

Q：你的網(wǎng)站需要什么樣的WEB應用安全解決方案?

1、外部攻擊;如何應對，貴公司產(chǎn)品有這樣的解決方案嗎？

2、數(shù)據(jù)安全;服務器數(shù)據(jù)尤其是網(wǎng)站代碼和數(shù)據(jù)庫數(shù)據(jù)非常重要。如何保護不丟失，才確保web應用安全正常運作？

3、提高可用性;當大量的多人訪問的時候，服務器會響應很慢，綠盟有無解決方案？

4、請教專家。托管和自建服務器從成本和安全上考慮幫我做個對比，謝謝！

A：1、我們有一款WAF設(shè)備，提供雙向的Web安全防護，可以應對外部的攻擊，同時還提供服務器側(cè)的內(nèi)容安全，有興趣的網(wǎng)友可以再深入了解一下。

2、數(shù)據(jù)安全涵蓋范圍較廣，以數(shù)據(jù)丟失來看，這是一個攻擊結(jié)果。需要從攻擊路徑角度考慮，采取相應的控制措施。比如以Web方式通過SQL注入之類的攻擊獲取敏感數(shù)據(jù)，那么可以考慮WAF這類防護產(chǎn)品。

3、提高可用性這塊，我們的WAF產(chǎn)品也有相應的考慮，主要基于Web cache技術(shù)，減少延時，優(yōu)化最終用戶訪問體驗。

4、這個問題還是需要結(jié)合企業(yè)自身的具體情況進行判斷。

Q：你好，我有幾個問題

1.網(wǎng)站經(jīng)常被暴有各種各樣的漏洞，像SQL注入、跨站等，對這些漏洞能通過防火墻進行控制嗎。

2.大家都在說WEB應用防火墻，這東西能幫我們網(wǎng)管解決哪些問題。

3.網(wǎng)站不僅需要面對病毒、漏洞等攻擊，有時候也要面對拒絕服務攻擊，比如很多人有意或無意的不停訪問我的網(wǎng)站導致服務器資源或網(wǎng)絡(luò)資源被消耗殆盡而無法向其他人提供服務，有辦法通過WEB應用防火墻來對此進行控制嗎，控制方式是什么。謝謝

A：1、SQL注入、XSS這類漏洞是應用層面的漏洞，而FW是工作在網(wǎng)絡(luò)層面的設(shè)備，因此FW無法對此進行控制。

2、WAF設(shè)備主要幫助解決幾個方面的問題：解決WEB安全層面特有的問題（應對來自客戶端的各類威脅以及網(wǎng)站自身的內(nèi)容安全），提升網(wǎng)站的可用性，了解網(wǎng)站的安全狀態(tài)及業(yè)務運維狀態(tài)。

3、我們的WAF提供TCP/HTTP Flood防護功能，之所以有這個功能，也是考慮了目前國內(nèi)網(wǎng)站面臨的高風險問題。這塊功能復用了黑洞的核心算法。黑洞的抗拒絕服務攻擊能力，相信很多朋友都非常了解，這里我也不再多說了。

Q：專家您好！我有幾個問題一直很疑惑啊。望能百忙之中抽出時間解答。

1. 如何有效的防范DDOS攻擊，或者說如何能降低DDOS攻擊的危害。

2。對于跨站攻擊，雖然對用戶提交的數(shù)據(jù)過濾掉了一些，但是繞過跨站攻擊的夜很多。前段時間的discuz！7.2的跨站漏洞，百度的跨站漏洞等。如何有效的防范呢？謝謝了。

A：1.DDos有針對網(wǎng)絡(luò)層和應用層，WAF能有效防護。

2. Discuz的簽名代碼中 可寫入惡意代碼，這與攻擊字符串的變形可繞開現(xiàn)有機制的檢查有關(guān)，有效防護在于能對不同變形的字符串準確識別，目前綠盟Waf內(nèi)置了檢查各種變形字符串的模塊。

Q：現(xiàn)在云安全是個很熱門的話題，請問公司的web網(wǎng)站能否結(jié)合云安全的技術(shù)進行防護呢？綠盟科技是否有結(jié)合云安全技術(shù)的產(chǎn)品呢？

A：綠盟科技通過“云”來實現(xiàn)信息安全主要分為三個層面。

1.    自主研發(fā)和運營的云計算平臺，通過其對海量信息進行分析處理發(fā)現(xiàn)威脅。

2.    自有產(chǎn)品通過對云安全的集成，快速檢測和防御互聯(lián)網(wǎng)上最新的安全威脅。

3.    通過開放和實時的云安全服務，與第三方合作伙伴一同改善用戶的安全體驗。綠盟有專門的Saas產(chǎn)品，能解決掛馬、釣魚、網(wǎng)站監(jiān)控等。

Q：請問專家web應用防火墻和普通的防火墻具體有什么區(qū)別？

A：簡單的說，這兩者在部署上類似，但功能定位差異很大，防火墻主要解決網(wǎng)絡(luò)層的安全，而WAF是對網(wǎng)絡(luò)、操作系統(tǒng)、Web平臺、應用層都要防護，重點在于應用層，并具備完整協(xié)議棧，能完全理解HTTP協(xié)議并校驗協(xié)議是否符合RFC規(guī)范，對檢查和防護Web攻擊行為，并對Web應用的交付優(yōu)化，包括cach、加速等，這些都是普通防火墻不具備的。更多詳細信息請參考官方網(wǎng)站：http://www.nsfocus.com/1_solution/1_2_8.html

Q：請教專家，有沒有什么好的網(wǎng)站漏洞掃描工具推薦還有就是，我知道，世界上是沒有絕對安全的網(wǎng)站的，只要是在網(wǎng)絡(luò)上的產(chǎn)物，或多或少都是存在潛在的安全問題，所以，我不會問如何去給網(wǎng)站做防御工作，我想問的是：在一個有著商業(yè)用途方面的網(wǎng)站，該如何從對商家影響最小的情況來進行對被黑過的網(wǎng)站進行恢復（可能有個破壞的嚴重程度問題，不過您可以舉例或者從某一方面來說也行，比如中等破壞程度）

A：1、網(wǎng)站漏洞掃描工具，可以采用綠盟遠程安全評估系統(tǒng)，其提供Web應用掃描模塊。2、 我贊成你的上半句，的確沒有百分百安全，但并不意味著不需要做好防御工作。以網(wǎng)站被黑為例，我們需要發(fā)現(xiàn)問題的本質(zhì)（比如網(wǎng)站代碼的質(zhì)量問題、網(wǎng)站的安全配置問題等等），從而根本解決此類問題，而不應局限于解決問題的表象，比如僅僅是做被動的恢復。從降低風險的角度，我們需要考慮風險計算公式中的各種影響因素（攻擊者因素、漏洞因素、技術(shù)影響性）。關(guān)于這方面的論述，具體可以參考綠盟秦波在2009第七屆網(wǎng)絡(luò)技術(shù)大會上《如何降低網(wǎng)站風險》的主題演講。鏈接：http://news.ccidnet.com/art/1321/20091210/1957699_1.html。

你的問題很好。被攻擊的影響有兩個：聲譽、金錢。這個程度取決于攻擊者對目標的攻擊方法，比如刪除文件、掛馬、竊取資料等。從恢復角度看可采取恢復被篡改文件、刪除惡意文件、加固和修復有漏洞的網(wǎng)站程序，同時數(shù)據(jù)庫需要定期備份和校驗。所謂的中等破壞程度不是準確定義，請舉一個特例更好回答，謝謝你的問題。

查看更多精彩門診：http://doctor.51cto.com/