一個網站，安全問題來自于多方面。如果只是保證了單一的任何一方面，都不可能保證絕對的安全。所以需要使用諸多的技術手段來保證網站的全面安全，比如最重要的就是進行預先的檢測、過程中的防護以及事后的響應：前者可理解為如何找出網站的漏洞，而后兩者則是發現漏洞后做出的安全防護和及時的響應。這也正是目前市場上出現眾多WEB安全產品的原因。 

本期門診就特邀啟明星辰的兩位技術專家，他們可以幫助大家解答網站安全諸多方面的問題，特別會將涵蓋了檢測、防護、響應的全方位網站安全保護的技術手段和大家一起進行深入交流和探討。希望能夠為大家在改善網站安全方面的工作提供參考，并采取相應的防范措施。

技術門診是51CTO社區品牌欄目，每周邀請一位客座專家，為廣大技術網友解答疑問。從熱門技術到前沿知識，從技術答疑到職業規劃。每期一個主題，站在最新最熱的技術前沿為你引航！

[[11700]]

姓　　名：孫  薇

擅長領域：網絡安全、應用安全

北京啟明星辰信息安全技術有限公司安全研究中心研究部部門經理。具有十三年的信息安全領域研究經驗，承接多項攻關類研究項目，并負責公司在Web安全檢測領域的平臺開發、服務支持等相關工作。。

[[11701]]

姓　　名：孫陽波

擅長領域：網絡安全、應用安全、操作系統安全

北京啟明星辰信息安全技術有限公司高級產品經理。加入啟明星辰以來，先后擔任過多條產品線的產品管理工作，針對網絡安全、應用安全、操作系統安全等領域有著全面的了解，參與了多個信息安全項目的安全規劃與解決方案設計。現任啟明星辰入侵防御產品線產品經理，針對攻擊防御、Web應用安全領域進行深入研究。

查看本期門診精彩實錄: http://doctor.51cto.com/develop-175.html 

參與最新技術門診：http://doctor.51cto.com/

下面精選本期網友提問與專家解答，以供網友學習參考。

Q：曾經了解過一些網站的安全的東西。最近想想關于防火墻的東西。對于網站的安全來說，代碼安全和系統安全是很重要的。代碼安全就靠人為編寫代碼的安全。而系統安全的話，可能是FW，IPS，IDS的問題。目前的防火墻都是居于規則來控制的。想問問目前的FW有沒有采用比價新的技術的啊？有沒有比居于規則更好的？

A：您好！個人拙見，防火墻的技術應該包括：基于規則、基于狀態、基于行為、基于應用，這幾類層次。前兩類技術大家都很熟悉，就是目前已經非常成熟的“基于規則的狀態防火墻”技術。基于行為，就是基于網絡攻擊行為，例如碎片攻擊、DoS/DDoS攻擊、DNS攻擊等等，這類功能實現包含了一些統計學及行為分析的技術。基于應用，就是應用層的防護，一般就是深度檢測技術。防火墻功能向高層延伸是一個必然的趨勢，例如UTM、IPS都是防火墻由網絡層向高層協議延伸的產物。在啟明星辰，天清漢馬UTM、天清漢馬FW、天清NIPS等產品，都在“基于規則的狀態防火墻”技術的基礎上，不同程度提供了基于行為、基于應用等更高層次的技術，以滿足用戶針對網絡攻擊、應用層防護、上網行為管理等方面的安全需求。

Q：網站安全都分哪些呢？全新搭建一個網站，需要注意哪些方面，之前幾次搭建網站總是被人入侵，不知道怎么防御好，好像HK就是盯上我了似的，很痛苦。。謝謝專家慷慨解答呀。

A：網站安全工作總的來說主要從三個方面開展：P、D、R，即防護、檢測和響應。

1. P。包括做好服務器本身的安全加固。選擇一個口碑比較好的Web IPS，這種產品通常可以阻斷掉SQL注入、XSS等攻擊，即便后臺的web程序存在這樣的漏洞，也不會被黑客發現或利用。

2. D。網站上線前最好做一次全面的白盒測試，即對網站源代碼做全面檢測、加固。上線后，選擇定期的黑盒檢查服務。

3. R。選擇好一個專業的安全服務團隊，簽署一個應急響應的協議，一旦出了問題，這些安全團隊會及時遠程或到現場解決問題，包括溯源、恢復、加固等。

對于全新搭建網站來說，特別要注意網站代碼的安全，盡可能選擇正規的網站開發團隊，不輕易使用開源程序，注意對輸入輸出權限的控制。

Q：有幾個問題需向兩位請教！個人理解的“網站安全”，只要是影響到網站無法訪問和訪問速度慢的因素都應包含在網站安全范圍之列。今天我想請教專家的問題也就是圍繞個人的理解展開，如有跑題，請多多包含。

1、軟件環境的安全，網站運行在軟件環境之上，如apache和操作系統等，這些軟件環境本身的安全漏洞或者被破壞如何應對？最近有消息說某個軟件環境就有文件漏洞。

2、硬件環境的安全：設計到物理上的安全，如硬盤壞，服務器down機、網絡線路問題等。如何保證硬件環境出現故障依然保證網站繼續運行呢？

3、數據庫環境的安全;動態網站都有數據庫支持，這些數據庫性能如何，并發處理能力如何，決定了網站運行的效率。有無方案，一旦數據庫崩潰如何處理？

4、高突發訪問、南北訪問安全：又如何處理呢？

語言組織比較亂，文字水平不高，多多體諒。安全本身是個很廣而且泛的東西，所以問的也比較的雜，哈哈難怪我語無倫次了。

A：問題1.軟件環境安全，針對操作系統及發布程序漏洞，建議您做以下工作：

（1）及時打補丁，進行預防；

（2）對服務器和網絡進行監控，及時發現問題；

（3）設定合理的訪問權限和規則，阻止一部分0day或者其他漏洞的攻擊生效；

（4）部署Web IPS或Web應用安全網關，面向操作系統及發布程序漏洞，阻斷針對漏洞的掃描與探測行為，并實現Web入侵防御、虛擬補丁等防護職能。

問題2.硬件環境安全，首先建議熟悉常見硬件問題的排查處理方法、掌握軟件問題的快速修復方法。然后，一方面可以建立服務器高可靠性工作模式，即搭建服務器主備工作狀態或者服務器集群，在某臺服務器出現硬件問題時迅速切換、不影響網站正常運行；另一方面也可以利用服務器虛擬化技術，不僅某臺服務器在出現硬件問題時不會影響網站正常運行，同時在出現軟件問題時也能實現迅速切換及網站的重新發布。

問題3.數據庫環境的安全，防止數據庫崩潰，需要在代碼設計、數據庫設計、服務器選型、擴容性角度時充分估算到未來可能遇到的查詢、入庫峰值流量，中大型網站最好選擇商用數據庫，并在代碼層面進行優化，如網站分層分別進行封裝等。防止數據庫崩潰后帶來的損失，最好的辦法就是勤備份，或者是部署數據容災備份系統。在網站系統中，數據庫的性能和服務器操作系統、Web應用系統、數據庫設計等幾方面息息相關。因此，不建議單獨只站在數據庫品牌、軟件版本角度去獨立評價數據庫在真實應用中的性能。

問題4.高突發訪問：在問題3中已經有回答。還可以考慮服務器集群、服務器虛擬化、負載均衡等手段。有時有的高突發訪問不一定代表是正常的網站訪問行為，如DDoS攻擊，可以考慮部署UTM/FW/IPS等安全產品進行防御。

問題5.南北訪問安全：主要需要解決原電信、網通線路的訪問速度問題。這塊我的見解并不是很深、不能給出更多建議，建議可以采取的技術手段有：智能DNS、鏈路轉換、帶寬保證、設備冗余等。

Q：剛好有點時間，再請教下，現在都講一體化，一體化打印復印傳真機，utm也是一個一體化的東西，i服務t管理一體化解決方案。專家建議在啟明設備和其他供應商的基礎上給個“網站安全”的一體化的解決方案。當然是個可以用的，不是銷售員給的那種方案。最好是“鸚鵡教程”一般。

A：網站安全，是個系統化工程，包含事前、事中、事后整個過程。每個過程都需要部署相關安全產品、或者是從安全管理角度進行加強。啟明星辰提供的《網站安全解決方案》主要是基于網站安全評估、入侵防護的角度給出了建議。

在啟明星辰提供的《網站安全解決方案》基礎上，如果您有更高級別的網站建設要求，建議還可以在網站安全評估、入侵防護的基礎上，采取以下手段或措施：

1.專業的網頁防篡改產品：通過系統級的目錄文件修改看護進程監控網站是否被篡改，或者通過文件安全保護功能，對主目錄文件進行鎖定，只允許網站發布系統才可以修改文件。這種網頁防篡改技術是基于事前的，不同于傳統的網頁防篡改產品，可以與Web入侵防御系統構成雙重防線。

2.數據容災備份系統：面向業務連續性。目前絕大多數網站是以動態網頁為主的，其服務器承載了大量的數據庫數據、文件數據，部署數據容災備份系統，可以通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。能夠有效防范由于管理員在本地誤操作、服務器物理損壞、或者其它方式造成的數據文件刪除、丟失等情況造成的損失。

3.數據庫審計產品：面向合規管理，針對所有對數據庫進行的操作進行記錄，這些行為通常是不包含攻擊特征的，對數據庫修改行為追蹤、溯源，啟明星辰有專門的數據庫審計產品。

4.專業的負載均衡設備：面向應用交付，優化針對服務器的訪問質量、提升可交付能力，這對于很多大型網站來講很關鍵。

5.嚴格安全管理制度，規范網頁代碼質量，對操作系統及網站發布程序的漏洞及脆弱點進行修補。

Q：1、我目前手里有貴公司的產品，是通過別的軟件公司買來的，這個軟件公司破產了！現在想投入使用，請問怎么處理？這個問題務必回答，我可是你們的客戶！

2、我們是路由器——防火墻——三層交換——內網/外網。貴公司的產品放在哪個環節

3、貴公司的產品特色在哪？

A：您好！關于問題1：啟明星辰在每個省會城市都設有辦事處，您可以和您所在省區的辦事處直接聯系，您可以撥打啟明星辰服務熱線：800-810-6038，咨詢辦事處的聯系方式。

關于問題2：啟明星辰公司擁有針對網絡邊界至服務器、終端PC全系列的安全產品，在貴單位已部署防火墻并不改變當前網絡拓撲的前提下，您可以在防火墻和交換機之間部署天清網絡IPS，針對來自外網的4~7層入侵攻擊進行防御，同時也可起到網絡防病毒、P2P及IM管理等作用；您可以在服務器前部署天清服務器IPS，針對所有服務器攻擊尤其是Web攻擊進行防御；您可以在內網部署天珣終端安全管理產品，避免來自內部的病毒、木馬、疑似攻擊與未知病毒的侵襲并確保專機專用、減少核心信息資產失竊的可能；您也可以在交換機處旁路部署天玥網絡安全審計系統，針對業務環境下的網絡操作行為進行合規操作審計。

關于問題3：啟明星辰公司每款產品都有其獨有特色，總體歸納如下：

1. 天清漢馬一體化安全網關：“簡單”為核心的UTM，設計一體化、防御一體化、管理一體化；

2. 天闐入侵檢測系統：采用基于原理及特征相結合的檢測機制，保障檢測精度。規范的后繼服務支撐體系，確保對新型事件的快速準確響應；

3. 天清入侵防御系統WIPS：采用基于原理及特征相結合的檢測機制，優秀的SQL注入、跨站腳本等Web攻擊行為的檢測和防御能力；

4. 天清入侵防御系統NIPS：除了基礎的IPS功能外，還具有網絡病毒檢測及多種路由功能，更加迎合網絡邊界部署的IPS需求；

5. 天玥網絡安全審計系統：最廣泛數據庫協議支持，數據庫語句語義解析、高速事件入庫、多層關聯分析；

6. 安星：專業支持團隊的外援保障，解決及時響應問題。

7. 天珣終端安全管理系統：最全面的準入控制功能，基于企業級主機防火墻的終端安全管理。

Q：專家,你好!在此我想問的是,一般在一個網絡邊緣都要放置防火墻等設備.它跟一些接入網設備里的SNMP,及ACL有什么區別?一直以來,感安這一塊東西基于路由部分要多一些,而個人現階段正在對交換路由相關產品有些熟悉.安全主要就是防護接入網,園區網,還是IDC網要多一些?

A：問題1:防火墻與接入網設備中ACL的區別：我覺得主要有以下幾個區別：

前者基于狀態檢測包過濾并可進行應用層深度檢測，后者基于包過濾即簡單的訪問控制規則、只對網絡層數據做處理；

前者是專門的硬件訪問控制設備、有專門優化防火墻功能的硬件、軟件也為包過濾做了優化、整機所有計算資源專門為訪問控制功能服務、能夠達到高性能，后者則是接入網設備中的功能模塊、開啟后會影響到設備正常的路由、轉發性能，尤其是訪問控制規則的增加對設備的性能影響最為明顯；

前者可以防御更多攻擊，如DDoS等，而后者只能做基礎的訪問控制；

前者可支持多種告警方式、豐富的事件查詢方式幫助管理員了解安全狀況、可指定復雜的安全規則，而后者在此方面的功能是弱化的，也不易讀懂。

問題2:

不論是接入網、園區網、IDC網或者是其它網絡，都有安全防護需求，只是針對不同的網絡、因其承載性質的不同，都有不同針對性的解決方案。例如：接入網會更加關注來自外部的威脅、會側重網絡邊界安全設備的部署，如FW、UTM、IPS、IDS、上網行為管理等；園區網除了在網絡邊界處做安全防護外，更加關注來自內部的威脅、更加關注對內部人員的要求，會側重部署一些增強內控合規管理的產品，如終端安全管理系統、業務及數據庫審計系統等；IDC網則更加關注網站主機的防護，會側重進行網站安全評估，部署網站主機入侵防護、網站主機運維審計、網站容災備份、負載均衡等產品，同時也會從物理角度加強主機機房的安全。

Q：網站備份  網站機房維護應該注意是么呢？

A：1.關于網站備份：網站備份最應該注意的就是“定期”，所謂“定期”就是按時，具體的備份間隔可以根據網站自身的情況而定，如果是更新較快的網站，建議1天做1次備份，最簡單的方法就是將網站文件夾整體備份，可以選擇按日期歸類或者每天對前一天的文件夾文件進行覆蓋，此種備份方法能夠對頁面文件及附件文件進行備份，但不能對數據庫進行備份，如果對數據庫進行備份，則還需要網站自身能夠支持數據文件的導出，如Discuz論壇。還有一種方法，就是部署容災備份系統，通過在異地建立和維護一個備份存儲系統，利用地理上的分離來保證系統和數據對災難性事件的抵御能力。

2.網站機房維護：要熟悉常見硬件問題的排查處理方法、掌握軟件問題的快速修復方法，同時針對管理員針對服務器的日常運維行為，需要部署安全審計系統對管理員的操作進行審計，面向合規、針對誤操作、惡意操作等行為進行追蹤溯源。當然，網站機房還需要制訂嚴格的規章制度與管理措施，例如：嚴格的機房進入措施、嚴格的用戶權限設置、嚴格的管理員身份認證手段、定期的管理維護等。

Q：請問下關于CSRF和GIFAR攻擊和WEB蠕蟲和富文本攻擊如何進行手動測試？和對應的防護方法。

A：1.CSRF

測試：構建一個實際環境，例如網站A、網頁B（包含網站A URL地址的html頁面即可），用戶登錄網站A、接著訪問網頁B，驗證同時是否自動又訪問了網站A。

防御：個人用戶則需要養成良好的習慣，比如登錄銀行、重要業務系統等敏感Web系統時不要同時登錄其它網站、網頁，退出敏感Web系統時一定要注銷，不要使用瀏覽器的用戶名/密碼記錄功能。從開發角度，企業進行Web業務系統、網站設計時，最好加入驗證碼、token等判斷因素，盡可能使用Post而不是Get。

2.GIFAR

制止這種攻擊可以依靠Web站點加裝新的文件過濾器或者通過限制Java虛擬機實現，Sun在08年也發布過補丁。

3.Web蠕蟲

測試：編寫及測試方法網上已有很多介紹，你可以參考。

防御：Web蠕蟲大多數是利用XSS漏洞，而CSRF攻擊結合Javascript劫持技術完全可以制作自動傳播的Web蠕蟲，后者比前者更具威脅性。從開發角度，企業進行Web業務系統、網站設計時，一定要從Web應用開發的角度來避免，規范代碼質量、提高安全性，降低后期被植入可能。

4.富文本攻擊

測試：例如利用XSS漏洞，讓不支持富文本的區域進行了富文本的執行，測試方法在網上已有很多介紹，你可以參考。

防御：從開發角度，企業進行Web業務系統、網站設計時，一定要從Web應用開發的角度來避免，如對所有用戶提交內容進行可靠的輸入驗證，實現Session標記、CAPTCHA系統或者HTTP引用頭檢查，確認接收的的內容被妥善的規范化，僅包含最小的、安全的Tag，去掉任何對遠程內容的引用，使用HTTP only的cookie等。當然以上方法，人與系統間的交互被降到極致，僅適用于信息發布型站點。  

其實，以上各種針對網站的應用層攻擊，有訪問惡意網站造成的，但絕大部分來源于合法網站存在漏洞，如SQL注入、XSS漏洞等，被人利用后針對網頁內容進行了修改、植入，這是根源問題。一旦訪問者訪問了以上被修改的合法網站，就會遇到麻煩。然而大多數中小網站的所有者，由于缺乏足夠的專業知識儲備，無法建立一個Web程序的安全檢查機制，因此會對網站安全的實際情況渾然不知。同時，Web應用程序在開發之初如果不注意代碼的規范，在Web應用程序開發完成后再進行漏洞修補耗費的工作量也是巨大的，同時也可能降低Web系統的人與系統交互的靈活性。因此，啟明星辰建議用戶一方面建立一套有效的專業性檢查機制，及時掌握Web網頁的安全狀況；另一方面部署Web入侵防御系統，完善Web業務的防護功能，重點防御主流的Web應用攻擊如SQL注入和XSS攻擊，堵住合法網站網頁被篡改、植入的漏洞；最后一方面通過網頁安全修復服務，對遠程網站安全檢查服務發現的網站安全問題進行及時補救，防患與未然。總之還是一句話：Web安全防御，要從根源做起。

查看更多精彩門診：http://doctor.51cto.com/