入侵防护系统(IPS)的原理?

通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

入侵防御系统（IPS）,属于网络交换机的一个子项目，为有过滤攻击功能的特种交换机。一般布于防火墙和外来网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）

1．Web服务器存在的漏洞

一般来说，Web服务器上可能存在的漏洞有以下几种。

1）Web服务器因各种原因而不能返回客户要访问的秘密文件、目录或重要数据。

2）远程用户向服务器发送信息时，特别是像之类的重要信息时，中途遭不法分子非法拦截。

3）入侵者可能突破Web服务器本身存在的一些漏洞，破坏其中的一些重要数据，甚至造成系统瘫痪。

4）CGI（Common Gateway Interface，公共网关接口）安全方面存在的漏洞。CGI是Web信息服务与外部应用程序之间交换数据的标准接口。它具有两个功能：收集从Web浏览器发送给Web服务器的信息，并且把这些信息传送给外部程序；把外部程序的输出作为Web服务器对发送信息的Web浏览器的响应，送给该Web浏览器。通过CGI程序，Web服务器真正实现了与Web浏览器用户之间的交互。在HTML文件中，表单（Form）与CGI程序配合使用，共同来完成信息交流的目的。

CGI可能的漏洞有：有意或无意地在主机系统中遗漏bug，给非法黑客创造条件；用CGI脚本编写的程序在涉及远程用户从浏览器中输入表单或进行检索（Search Index）时，会给Web主机系统造成危险。因此，从CGI角度考虑Web的安全性，主要是在编制程序时，应详细考虑到安全因素，尽量避免CGI程序中存在漏洞。

因此，不管是配置服务器，还是在编写CGI程序时都要注意系统的安全性。应该堵住任何存在的漏洞，创造安全的环境。

从Web服务器版本上来看，NCSA13以下版本的HTTPd明显存在安全上的漏洞，即客户计算机可以任意地执行服务器上面的命令，这对于服务器来说是非常危险的。但是NCSA14以上版本的服务器补上了这个缺陷。

2．Web服务器的安全策略和安全机制

Web服务器的安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略，这些安全策略因需求的不同而各不相同。对Web服务提供者来说，安全策略的一个重要的组成是哪些人可以访问哪些Web文档，同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任。采取何种安全措施，取决于制定的安全策略。必须根据需要和目标来设置安全措施，估计和分析安全风险。制定Web站点的安全策略的基本原则是不要为细节所困扰。

安全机制是实现安全策略的技术或手段。必须根据需要和目标来设置安全系统，估计和分析可能的风险。定义安全策略，选择一套安全机制，首先要做的是威胁分析，主要包括以下几个方面。

1）有多少外部入口点存在看有哪些威胁看

2）研究谁会对网络产生威胁：威胁来自黑客，还是训练有素的有知识的入侵者，或是来自工业间谍看

3）分析会有什么样的威胁：入侵者访问哪些数据库、表、目录或信息看威胁是网络内部的非授权使用，还是移动数据看

4）数据是遭受到了破坏，还是受到了攻击看攻击是网络内、外的非授权访问，还是地址欺骗、IP欺骗及协议欺骗等看

5）确定安全保护的目标。

6）提出价格合理的安全机制。

根据威胁程度的大小、方向和入侵的对象，进行分析评价，作为制定Web的安全策略和设计网络安全措施的基本依据。安全设计时，要优先考虑必要的且可行的步骤，正确制定安全策略，并采取必要的安全措施。

具体来说，不管是配置服务器，还是在编写CGI程序时都要注意系统的安全性。尽量堵住任何可能出现的漏洞，创造安全的环境。在具体服务器设置及编写CGI程序时应该注意以下几点：

1）禁止乱用从其他网站下载的一些工具软件，并在没有详细了解之前尽量不要用root身份注册执行，以防止某些程序员在程序中设下的陷阱。

2）在选用Web服务器时，应考虑到不同服务器对安全的要求不一样。一些简单的Web服务器就没有考虑到一些安全的因素，不能把他用于商业应用，只能作一些个人的网点。

3）在利用Web中的htpass来管理和校验用户口令时，校验的口令和用户名不受次数的限制。

对Web服务器和Web客户来说，最重要的安全提升机制如下：

1）主机和网络的配套工具和技术；

2）Web应用程序的配置；

3）Web服务的认证机制；

4）防火墙；

5）日志和监视。

每种机制都涉及某种类型系统的安全性，并且它们之间是相互联系的。

3．组织Web服务器

大多数Web服务器都会记录它们收到的每一次连接和访问。这个记录一般包括IP地址和主机名。如果站点采取一些形式的验证系统，服务器也会记录用户名。如果用户在逗留期间填写了任何表格，该表格下所有变量的值都会被记录在案。包括请求的状态、传递数据的大小、用户E-mail地址等。一些浏览器和服务器一样，甚至也能提供有关使用中的浏览器、URL、客户的IP地址，以及用户的E-mail地址等信息。这些记录对于发现和跟踪黑客袭击是很有用的。

组织Web服务器一般包括以下几个方面的内容：认真选择Web服务器设备和相关软件；配置Web服务器，使用它的访问和安全特性；组织和Web服务器相关的内容。组织主要包括以下步骤：

1）联机检查。检查源程序，查看连接URL和相应的内容是否图文一致，查看URL所提供的内容是否和网页的描述一致。检查驱动器和共享的权限，系统设为只读状态。

2）检查HTTP服务器使用的Applet脚本，尤其是与其客户交互作用的CGI脚本，防止非法用户恶意使用CGI程序，执行内部指令，对Web 服务器造成破坏。

3）充分考虑最糟糕的情况后，配置自己的系统，即使黑客完全控制了系统，他还要面对一堵高墙。

4）将敏感文件放在基本系统中，再设二级系统，使所有的敏感数据不向Internet开放。

4．安全管理Web服务器

安全管理Web服务器，可以从以下几个方面采取一些预防措施：

1）对于在Web服务器上所开设的账户，应在口令长度及修改期限上做出具体要求，防止被盗用。

2）限制在Web服务器上开账户，定期删除一些短进程的用户。

3）尽量在不同的服务器上运行不同的服务（如mail服务和Web服务等）程序。尽量使FTP, mail等服务器与Web服务器分开，去掉FTP, sendmail, tftp, NIS, NFS, finger, netstat等一些无关的应用。这样在一个系统被攻破后，不会影响到其他的服务和主机。

4）如果不需要，尽量关闭Web服务器上的特性服务，否则，有可能遭到该特性所导致的安全威胁。在Web服务器上去掉一些绝对不用的shell等解释器，即当在CGI程序中没用到Perl（Practical Extraction and Report Language）时，就尽量把Perl在系统解释器中删除掉。

5）定期查看服务器中的日志logs文件，应该定期地记录Web服务器的活动，分析一切可疑事件。其中，最重要的是监视那些试图访问服务器上的文档的用户。

6）设置好Web服务器上系统文件的权限和属性，对可访问的文档分配一个公用的组，如WWW，并且只给它分配只读的权限。把所有的HTML文件归属WWW组，由Web管理员管理WWW组，并且只有Web管理员具有对Web配置文件写的权限。

7）有些Web服务器把Web的文档目录与FTP目录指在同一目录，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这是为了防止一些用户通过FTP上的Perl或SH之类的程序，并用Web的CGI-BIN去执行造成不良后果。

8）通过限制访问用户IP或DNS。限制CGI-BIN目录（即存放可执行的脚本和程序目录）的访问或使用权限，该目录只有系统管理员具有写的权限。为了系统的安全性，所有的脚本和程序都应该存放在服务器上的某个目录下。另外，许多Web服务器本身存在一些安全上的漏洞，需要在版本升级时不断地更新。

无论多么安全的站点，都可能被破坏，都有可能遭到黑客的攻击。所以，一定要沉着冷静地处理意外事件。

5．Web服务器的安全措施

1）从基本做起

针对Web服务器的安全，我们应从最基本的安全措施做起，这是最保险的安全方式。比如说，将服务器上含有机密数据的区域都转换成NTFS格式；防毒程序也必须按时升级更新，同时在服务器和桌面计算机上安装防毒软件，这些软件可设定成每天自动下载最新的病毒库文件。Exchange Server（邮件服务器）上也安装上防毒软件，这类软件可扫描所有寄来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件马上会被隔离，降低使用者被感染的机会。

另一个保护网络的好方法是限定使用者登录网络时的权限。存取网络上的任何数据都必须通过密码登录。在设定密码时，混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。还要设定定期更新密码，且密码长度不得少于8个字符。

2）备份保护

大多数人都没有意识到，备份本身就是一个巨大的安全漏洞。因此，最好利用密码保护好备份磁盘，若备份程序支持加密功能，还可以将数据进行加密。

3）使用RAS的回拨功能

Windows NT支持服务器远端存取（Remote Access Service，RAS），但同时，RAS服务器对黑客来说也非常方便，只需要一个电话号码和一点耐心，他们就能通过RAS进入主机。因此，如果远端用户经常是从家里或是固定的地方上网，可以使用回拨功能，允许远端用户登录后立即挂断，然后RAS服务器会拨出预设的电话号码接通用户，因为此电话号码已经预先在程序中，黑客也就没有机会指定服务器回拨的号码了。

另一个办法是限定远端用户只能存取单一服务器。可以将用户经常使用的数据复制到RAS服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上，而非整个网络。如此一来，即使黑客入侵主机，也只能在单一机器上作怪，可以在很大程度上减小其产生的破坏性。

最后就是在RAS服务器上使用逗另类地网络协议。可以把TCP/IP协议当做RAS协议。当RAS还支持IPX/SPX和NetBEUI协议时，使用NetBEUI当做RAS协议，可以将非法入侵者搞得晕头转向。

4）注重工作站的安全

工作站是进入服务器的大门，加强工作站的安全能够提高整个网络的安全性。对于初学者，可以在所有工作站上使用Windows 2000，这是一个比较安全的操作系统。这样就能将工作站锁定，若没有权限，一般人将很难取得网络配置信息。

可以限制使用者只能从特定的工作站进行登录，将工作站当做简易型的终端机（dumb terminal），或者说是智慧型的简易终端机。换言之，工作站上不会存有任何数据或软件，将计算机当做dumb terminal使用时，服务器必须执行Windows的终端服务程序，而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据。

5）及时升级或修补程序

在微软公司内部有一组工作人员专门检查并修补安全漏洞，这些修补程序（补丁）有时会被收集成服务包（service pack）发布。服务包通常有两种不同版本：一个是任何人都可以使用的40位的版本，另一个是只能在美国和加拿大发行的128位版本。128位版本使用128位的加密算法，比40位的版本要安全得多。

6．Web服务器安全的几个要素

建立一个安全的Web网站要求用户必须对Web服务器的安全性有全面的认识。从信息发布平台内部来看，应该做到如下几点：

1）恰当地配置Web服务器，只保留必要的服务，删除和关闭无用的或不必要的服务。因为启动不必要的服务可能使他人获得系统信息，甚至获取密码文件。

2）增强服务器操作系统的安全，密切关注并及时安装系统及软件的最新补丁；建立良好的账号管理制度，使用足够安全的口令，并正确设置用户访问权限。

3）对服务器进行远程管理时，使用如SSL等安全协议，避免使用Telnet、FTP等程序，因为这些程序是以明文形式传输密码的，容易被监听；严格控制远程root身份的使用，仅在绝对需要时才允许使用具有高授权的操作。

4）禁止或限制CGI程序和ASP、PHP脚本程序的使用。因为这些程序会带来系统的安全隐患，而且某些脚本程序本身就存在安全漏洞。

5）使用防火墙及壁垒主机，对数据包进行过滤，禁止某些地址对服务器的某些服务的访问，并在外部网络和Web服务器中建立双层防护。利用防火墙，将服务器中没有必要从防火墙外面访问的服务及端口阻隔，进一步增强开放服务的安全性。

6）使用入侵检测系统、监视系统、事件、安全记录和系统日志，以及网络中的数据包，对危险和恶意访问进行阻断、报警等响应。

7）在网关和服务器上使用多层次的防病毒系统，尤其对于允许上传和交互信息发布的服务器来说，防止病毒及木马程序的侵入是保证服务器系统安全的一个关键。

8）使用漏洞扫描和安全评估软件，对整个网络进行全面的扫描、分析和评估，从用户账号约束、口令系统、系统监测、访问控制、数据加密、数据完整等多方面进行安全分析和审计。建立和提高用户的安全策略，及时发现并弥补安全漏洞

1、来自服务器本身及网络环境的安全，这包括服务器系统漏洞，系统权限，网络环境（如ARP等）、网络端口管理等，这个是基础。

2、来自WEB服务器应用的安全，IIS或者Apache等，本身的配置、权限等，这个直接影响访问网站的效率和结果。

3、网站程序的安全，这可能程序漏洞，程序的权限审核，以及执行的效率，这个是WEB安全中占比例非常高的一部分。

4、WEB Server周边应用的安全，一台WEB服务器通常不是独立存在的，可能其它的应用服务器会影响到WEB服务器的安全，如数据库服务、FTP服务等。

这只是大概说了一下，关于WEB应用服务器的安全从来都不是一个独立存在的问题。

web常见的几个漏洞

1 SQL注入。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。

2 XSS跨站点脚本。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

3 缓冲区溢出。缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候，因为没有足够的空间就会发生缓冲区溢出的现象。

4 cookies修改。即使 Cookie 被窃取，却因 Cookie 被随机更新，且内容无规律性，攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。

5 上传漏洞。这个漏洞在DVBBS60时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。

6 命令行输入。就是webshell ，拿到了权限的黑客可以肆意妄为。

第一步：选择系统平台

1 这里推荐 Windows Server 2003/32位，原因：该版操作系统成熟可靠，可用软件丰富，能支持超大内存；

2 安装操作系统时，请不要安装网上下载的Ghost版或精简版，不能安装有病毒的系统，否则可能前功尽弃。

第二步：部署所需环境

1 安装操作系统后，顺便安装好IIS和FTP，方便建立WEB和FTP用。（如果没有安装IIS，可以下载IIS组件自行安装）；

2 如果需要ASP环境，请开启ASP运行条件；

3 如果需要SQL Server数据库，请安装对应软件，建议SQL Server 2005，根据自己的系统要求进行选择。

4 如果需要Net环境，请下载对应的Net安装包版本安装。

5 安装其他软件，如入侵防护系统，杀毒软件等。

第三步：配置所需安全

1 所需环境部署后，需要设置系统安全，包括磁盘权限和数据库，以及其他组件，这里2 设置磁盘权限，包括系统盘和其他磁盘；

3 变更系统账户，如将 Administrator 重命名，尽可能设置复杂密码。

第四步：配置管理工具

1 安装主机管理系统，建议安装免费，方便开设站点，并可方便备份和恢复的主机管理系统；

2 用主机系统开设站点，绑定域名，部署网页文件，测试能否正常访问；

3 安装其他主机管理软件，比如一些被控端，但注意做好权限设置工作。

第五步：部署运营监控

1 部署远程监控系统，如：代维系统，方便统一监控服务器状况，如IO、CPU、内存、带宽等使用情况，及时预警；

2 查杀网页木马，找出原来存在的网页木马文件，可以用：云查杀系统或入侵防护系统扫描，发现木马文件妥善处理；

3 入侵防护系统可以实时监控网页木马、畸形文件、远程登录、用户提权、防注入、进程限制、防篡改限制、非法内容生成控制等，推荐；

4 如果数据重要，建议安装安全套装，提高安全系数。

第六步：注意事项

1 不建议开启服务器上软件的自动升级功能，比如杀毒软件/输入法等，因为很可能破坏系统的安全体系；

2 不要在服务器安装不必要的软件，比如QQ，以及有些杀毒软件，特别消耗资源；

3 不要轻易在服务器上打开未知软件和客户网站，否则可能造成中毒；

4 其他影响服务器安全的事项。