高防服务器要戒备各种危险与攻击,不是靠一两个设备就能完成的,而是需要一系列网络安全设备和软件安全规矩共同完成的。网络传输安全、操作系统安全和利用软件安全构成了全部网络利用安全。
图中描写了客户端从服务器索取资源的过程,重点描写了传输中的安全部分。客户端恳求数据首先经历“网络传输安全”部分进入操作系统接着进入“操作系统安全”部分。操作系统安全验证完毕,进入到服务器内的“利用软件安全”部分,最后透过利用软件从服务器获取资源下面从网络传输安全、操作系统安全和利用软件安全3个方面介绍安全戒备措施。
1.网络传输安全
网络传输安全一般由网络安全设备构成常见的网络安全设备有硬件防火墙、网络入侵检测(IDS)、路由器和交换机等。
防火墙可以对进出网络的主机设置各种规矩,保证互联网合法主机安全进入服务器,局域网主机根据防火墙指定的规矩访问互联网。
有些攻击行动可以在防火墙容许的规矩内进行内嵌攻击。对于此种攻击,防火墙无能为力,此时可以应用IDS设备。IDS是英文 Intrusion Detection Systems的缩写,中文意思是“入侵检測系统”。IDS按照必定的安全策,对网络、系统的运行状态进行监督,尽可能创造各种攻击打算、攻击行动或者攻击成果,以保证网络系统资源的机密性、完整性和可用性。
举个例子,如果把防火墙比喻为一座大楼的门,那么IDS就是大楼里面的监督器,有些小愉乔装打扮成大楼内部人员,超出了大门进入大楼内,此时只有监督器才干创造小偷的损坏行动并报警路由器可以设置很多路由规矩,对内部网络进行详细的方案,把持网络路由走向,同时配合交换机的应用,实现内部局域网络有条件、有规矩地互通。
2.操作系统安全
操作系统安全是在服务器的系统本身进行的一系列安全设置和优化黑客的各种攻击与损坏都是无法施展。例如在Linux操作系统下,经常进行的系统安全设置有系统内核定期升级并保持最新、系统自带软件保持最新、配置系统软件防火墙 iptables戒备策路、配置杀毒软件戒备病毒、关闭无关的服务/端口、密码安全管理等。
现在有很多攻击都可以绕过防火墙或者是在防火墙容许的领域内假装进入系统内部,打算进行损坏。例如常见的一些病毒程序,防火墙是无法检测到的,此时如果操作系统本身配置了杀毒软件程序,系统就能检测到病毒攻击,进而化解危机,将危险消灭到萌芽状态。由此可以看到,即使黑客攻破了第一道网络传输安全关,也难逃操作系统安全关的检验。
3.利用软件安全
利用软件安全是对在服务器上运行的利用软件程序本身进行的安全策路配置和优化。例如常见的WWW服务器中对 Apache进行安全配置数据库服务器中通过数据库本身对连接数据库的户端进行限制,FTP服务器中通过修正FTP本身的配置文件进行资源授权访问,等等,这些都是利用软件安全戒备策略的体现。
上面介绍的SQL注入攻击和跨站脚本攻击都属于利用软件安全漏洞造成的攻击入侵,可见,利用软件安全戒备是网络安全的核心,一个不安全的程序经过再多的安全设备、安全策略的过滤,都是无济于事的。我们做各种安全戒备,安全设备都是在利用软件安全基础上进行的。这就对程序员提出了安全请求。
上面从网络传输安全、操作系统安全和利用软件安全3个方面详细介绍了每个方面需要做的工作,从互联网访问服务器资源,都必需要经历这3个安全关卡,如果能够在每个方面都做出很详细、很完备的安全策路黑客的各种攻击与损坏都将无法施展。
