如何保障Web服务器安全

不但企业的门户网站被篡改、资料被窃取，而且还成为了病毒与木马的传播者。有些Web管理员采取了一些措施，虽然可以保证门户网站的主页不被篡改，但是却很难避免自己的网站被当作肉鸡，来传播病毒、恶意插件、木马等等。笔者认为，这很大一部分原因是管理员在Web安全防护上太被动。他们只是被动的防御。为了彻底提高Web服务器的安全，笔者认为，Web安全要主动出击。具体的来说，需要做到如下几点。 一、在代码编写时就要进行漏洞测试 现在的企业网站做的越来越复杂、功能越来越强。不过这些都不是凭空而来的，是通过代码堆积起来的。如果这个代码只供企业内部使用，那么不会带来多大的安全隐患。但是如果放在互联网上使用的话，则这些为实现特定功能的代码就有可能成为攻击者的目标。笔者举一个简单的例子。在网页中可以嵌入SQL代码。而攻击者就可以利用这些SQL代码来发动攻击，来获取管理员的密码等等破坏性的动作。有时候访问某些网站还需要有某些特定的控件。用户在安装这些控件时，其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。 为此在为网站某个特定功能编写代码时，就要主动出击。从编码的设计到编写、到测试，都需要认识到是否存在着安全的漏洞。笔者在日常过程中，在这方面对于员工提出了很高的要求。各个员工必须对自己所开发的功能负责。至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。通过这层层把关，就可以提高代码编写的安全性。 二、对Web服务器进行持续的监控 冰冻三尺、非一日之寒。这就好像人生病一样，都有一个过程。病毒、木马等等在攻击Web服务器时，也需要一个过程。或者说，在攻击取得成功之前，他们会有一些试探性的动作。如对于一个采取了一定安全措施的Web服务器，从攻击开始到取得成果，至少要有半天的时间。如果Web管理员对服务器进行了全天候的监控。在发现有异常行为时，及早的采取措施，将病毒与木马阻挡在门户之外。这种主动出击的方式，就可以大大的提高Web服务器的安全性。 笔者现在维护的Web服务器有好几十个。现在专门有一个小组，来全天候的监控服务器的访问。平均每分钟都可以监测到一些试探性的攻击行为。其中99%以上的攻击行为，由于服务器已经采取了对应的安全措施，都无功而返。不过每天仍然会遇到一些攻击行为。这些攻击行为可能是针对新的漏洞，或者采取了新的攻击方式。在服务器上原先没有采取对应的安全措施。如果没有及时的发现这种行为，那么他们就很有可能最终实现他们的非法目的。相反，现在及早的发现了他们的攻击手段，那么我们就可以在他们采取进一步行动之前，就在服务器上关掉这扇门，补上这个漏洞。 笔者在这里也建议，企业用户在选择互联网Web服务器提供商的时候，除了考虑性能等因素之外，还要评估服务提供商能否提供全天候的监控机制。在Web安全上主动出击，及时发现攻击者的攻击行为。在他们采取进一步攻击措施之前，就他们消除在萌芽状态。 三、设置蜜罐，将攻击者引向错误的方向 在军队中，有时候会给军人一些伪装，让敌人分不清真伪。其实在跟病毒、木马打交道时，本身就是一场无硝烟的战争。为此对于Web服务器采取一些伪装，也能够将攻击者引向错误的方向。等到供给者发现自己的目标错误时，管理员已经锁定了攻击者，从而可以及早的采取相应的措施。笔者有时候将这种主动出击的行为叫做蜜罐效应。简单的说，就是设置两个服务器。其中一个是真正的服务器，另外一个是蜜罐。现在需要做的是，如何将真正的服务器伪装起来，而将蜜罐推向公众。让攻击者认为蜜罐服务器才是真正的服务器。要做到这一点的话，可能需要从如下几个方面出发。 一是有真有假，难以区分。如果要瞒过攻击者的眼睛，那么蜜罐服务器就不能够做的太假。笔者在做蜜罐服务器的时候，80%以上的内容都是跟真的服务器相同的。只有一些比较机密的信息没有防治在蜜罐服务器上。而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。这不但可以提高蜜罐服务器的真实性，而且也可以用来评估真实服务器的安全性。一举两得。 二是需要有意无意的将攻击者引向蜜罐服务器。攻击者在判断一个Web服务器是否值得攻击时，会进行评估。如评估这个网站的流量是否比较高。如果网站的流量不高，那么即使被攻破了，也没有多大的实用价值。攻击者如果没有有利可图的话，不会花这么大的精力在这个网站服务器上面。如果要将攻击者引向这个蜜罐服务器的话，那么就需要提高这个蜜罐服务器的访问量。其实要做到这一点也非常的容易。现在有很多用来交互流量的团队。只要花一点比较小的投资就可以做到这一点。 三是可以故意开一些后门让攻击者来钻。作为Web服务器的管理者，不仅关心自己的服务器是否安全，还要知道自己的服务器有没有被人家盯上。或者说，有没有被攻击的价值。此时管理者就需要知道，自己的服务器一天被攻击了多少次。如果攻击的频率比较高，管理者就高兴、又忧虑。高兴的是自己的服务器价值还蛮大的，被这么多人惦记着。忧虑的是自己的服务器成为了众人攻击的目标。就应该抽取更多的力量来关注服务器的安全。 四、专人对Web服务器的安全性进行测试 俗话说，靠人不如靠自己。在Web服务器的攻防战上，这一个原则也适用。笔者建议，如果企业对于Web服务的安全比较高，如网站服务器上有电子商务交易平台，此时最好设置一个专业的团队。他们充当攻击者的角色，对服务器进行安全性的测试。这个专业团队主要执行如下几个任务。 一是测试Web管理团队对攻击行为的反应速度。如可以采用一些现在比较流行的攻击手段，对自己的Web服务器发动攻击。当然这个时间是随机的。预先Web管理团队并不知道。现在要评估的是，Web管理团队在多少时间之内能够发现这种攻击的行为。这也是考验管理团队全天候跟踪的能力。一般来说，这个时间越短越好。应该将这个时间控制在可控的范围之内。即使攻击最后没有成功，Web管理团队也应该及早的发现攻击的行为。毕竟有没有发现、与最终有没有取得成功，是两个不同的概念。 二是要测试服务器的漏洞是否有补上。毕竟大部分的攻击行为，都是针对服务器现有的漏洞所产生的。现在这个专业团队要做的就是，这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。有时候我们都没有发现的漏洞是无能为力，但是对于这些已经存在的漏洞不能够放过。否则的话，也太便宜那些攻击者了。

九个步骤确保Windows Server企业安全

虽然无法彻底防止企业遭受攻击，但这里的九个步骤可以大大降低Windows Server企业安全风险。部署这些技巧后，进一步观察你的管理环境，根据你的安全形势适当引入第三方工具或技巧。

PKI改进有助于Windows服务器的安全

公钥基础设施促进安全行业各个部门致力于维护和改善与PKI技术相关的方方面面。从根证书颁发机构到X509认证，都证明了其在保护服务器基础设施及数据方面的成功。每发布一个新的Windows Server版本，人们都希望看到服务器公钥基础设施的变化和改进。

Windows Server 2012中的安全变化

安全一直是IT部门关注的重点，微软也通过不断聆听客户的声音将一些好的创新应用到Windows Server的最新版本中，而且使它们部署起来更加方便。所有这些现象背后是微软对一些关键技术的改进，如NTFS的改进以及对旧版本BIOS的替换以提供新的安全功能。

增强你的信息安全知识

作为一名技术人员，每天都围绕着信息安全是件痛苦的事情，更不用说突然出现的各种更新和挑战。信息安全项目是Windows Server安装的重要安全组成部分，所以管理员应该学习和调整自身的信息安全技能。

组建一个功能性的企业IT安全委员会

成立一个安全委员会，包括IT以外的人，由此帮助每个人对安全相同的认识。从人力资源、行政管理或法律等多方面或得提高安全性的信息。

1、安全更新

许多应用程序与系统供应商会不定期发布最新版本补丁，而这些补丁通常包含以往存在的漏洞的详细信息，如果用户不及时进行安全更新，黑客很可能会通过发布的漏洞轻易入侵服务器。因此，监控所有程序与系统发布的最新安全版本，若没有其他问题，确认补丁可用，应在24小时之内应用。

2、修补漏洞

在应用开发人员尚未发现新漏洞时，用户仍然需要自行监控与查找，如果发现新的威胁，应该及时进行修复或通过防火墙阻止，禁用容易受到攻击的功能与应用，直到官方补丁修复完成。

3、攻击防范

攻击者使用工具通过各类漏洞进行入侵服务器，因此用户需要对症下药。第一，关闭不常使用且极易被攻击的端口；第二，许多攻击被识别与预警，用户应该及时切断这类攻击者的IP，并升级防火墙，阻挡大部分普通攻击。

4、清理攻击者

如果不幸还是被攻击者入侵服务器，那么用户需要第一时间查找不正常IP，将攻击者清除，并锁定网站与服务器，对文件进行扫描，关闭后门等方式及时修复服务器。

1、监控您的独立服务器流量

为了了解您的独立服务器是否受到攻击，您需要熟悉典型的流量模式。网络流量的高峰可以成为正常业务过程的一部分。广告、促销和活动都可以增加您网站的访问量。一旦发现您的香港服务器持续出现过高异常流量，那么你很可能正遭受DDoS攻击。DDoS攻击者通常会在其主要进攻之前进行小规模入侵。

无论他们的动机如何，攻击者(通常包括您的商业竞争对手)通常都会瞄准可以造成最大伤害的时间。例如您产生大量流量的日子，如双 11或大肆促销时，是黑客攻击的理想时间。深入了解您的正常流量可以帮助您识别正常发生的任何异常峰值，并提醒您的技术团队注意潜在的攻击。

2、配置更高网络资源

选择独立服务器时，瞄准那些给予带宽更高的机型。为您的独立服务器提供充足的网络容量，是您的网站准备应对潜在DDoS攻击的另一个重要组成部分。配置更高带宽可以在发生攻击时为您的站点提供一个小而有用的缓冲区。通过确保过多的网络容量来适应大的流量激增，可以获得珍贵的分钟数。我们建议您的网络能够容纳正常流量的2-6倍。

但是，无论您为网络配置得多好，如果您的独立服务器租用服务商没有容量，DDoS攻击仍然会对您的产品或服务产生重大影响。因此选择独立服务器租用时，请确保您的服务商拥有处理大规模DDoS攻击所需的资源，例如亿恩科技高防线路，这将确保在发生大规模攻击时不会浪费您的预防措施。

3、保持警惕

短期的成功往往会滋生自满情绪，导致公司失去安全措施。这使他们极易受到攻击。检查最强大的网络组件是否存在缺陷是至关重要的。在您最成功的领域中进行失败分析似乎违反直觉，但这对于加强您的网络并为攻击的可能性做准备至关重要。

4、利用高防服务器

在高防服务器上托管您的产品或服务是保护您的产品免受DDoS攻击的关键因素。高防服务器接入高防线路，可防御高达 300Gbps 以上规模的DDoS攻击及其他流量攻击，且支持压力测试，承诺防御无效按天退款，更有资深专家全程协助防护，可保障你的网站即使面临特大攻击也能稳定运行。

5、安装更新，因为它们可用

保持应用程序更新是网络安全的重要组成部分，往往被忽视。DDoS 攻击通常针对最近发现的安全漏洞。在WordPress等开源平台上安装更新后，会立即为您提供最新、最安全的版本。虽然经常忽略更新，但选择最新版本可以修补和消除以前暴露的任何安全漏洞。设置更新以自动安装将确保您始终配备最安全的应用程序。