Web安全与防火墙技术分析

◆陈晓海

（广东农工商职业技术学院 广东 510507）

Web安全与防火墙技术分析

◆陈晓海

（广东农工商职业技术学院 广东 510507）

伴随着网络技术的发展和计算机的普及，计算机的安全系统始终是相关工作者和用户关注的重点问题。本文在分析了Web系统安全现状的基础上，对在Web上如何提高系统安全性和稳定性提出一些针对性的措施。

Web；防火墙；服务器

1 Web安全概述

计算机安全指的是防治计算机病毒和系统安全的研究。并且随着网络技术的发展和计算机的普及应用，计算机的安全防范也在不断扩大。除了病毒的防治，还要保证系统能够抵抗外来非法黑客的入侵，保证对远程传送数据的保密性，避免数据在传输的过程中被窃取。可以说，计算机安全是一个很大的课题，涉及到诸多方面，本文的内容重点在于对计算机安全中 Web安全技术的分析和措施的制定。

1.1 Web安全现状

Web作为一种超文本信息系统，具有超链接、超媒体的特性，因此许多领域都会在通过在以 Web 应用为基础的平台中对主要工作进行处理，如电子政务、电子商务、网上银行、和网上报名等。

在Web 应用越来越广泛并且多样的同时，Web所创造的巨大经济利益也让它开始变成了网络攻击主要目标，以网页篡改、网页挂马、SQL 注入等为代表的多种恶意网络攻击形式发生频率越来越高。虽然被攻击的网络系统已经安装了入网络防火墙、侵检测系统（IDS）、入侵防御系统（IPS）或其他防病毒产品，但这并不代表着安全，在被攻击时仍然不能为自身的网络提供有效的保护。

1.2 Web安全上的漏洞

1.2.1 Web服务器上的漏洞

在分析 Web服务器上漏洞的过程中，可以从以下几方面进行分析：

（1）在Web服务器上用户禁止别人访问的秘密文件、目录或重要数据。

（2）在远程用户向服务器发送信息时,特别是涉及信用卡等相关信息时，发送信息的过程中信号被不法分子非法拦截；

（3）Web服务器原本就存在的一些漏洞，致使被非法利用后侵入到主机系统，轻则破坏数据库中的重要的数据,严重则会导致系统瘫痪；

（4）CGI方面存在安全漏洞，其中一些现象是普遍存在的，比如：在操作主机系统的过程中会有意无意地造成系统漏洞，就是俗称的Bugs，给非法黑客的入侵带来可乘之机、用CGI脚本编写的程序在涉及到远程用户通过浏览器输入表格并进行象检索之类，需要在主机上亲自接操作的命令时,很容易给Web主机系统带来危险。

1.2.2 Web服务器版本上漏洞

目前的 NCSAI.4以及以上的更高级的版本服务器并没有什么明显的安全漏洞，但在1995年3月发现NCSA3以下版本的HTTPD却存在着明显存在的安全漏洞，用户的计算机安全存在很大的风险。当然，这并不意味着，现在的服务器版本就没有安全漏洞，只是有可能尚未发现而已。当然要注意到，网络上还有一些过于简单的 Web服务器版本，要尽量少地使用，并且要保重不能够用于商业运作，一旦出现问题，将会造成极大的损失。

1.2.3 管理服务器上漏洞

（1）用户在从其他网上下载工具软件时，可能在没有详细了解之前就用 root身份注册执行,导致其在不知不觉中已掉入某些程序员在程序中设下的陷井。

（2）在选用Web服务器时,并未关注不同服务器的安全标准及要求存在一定的差异，因此导致选择了没有安全设施的简单的Web服务器。

（3）在通过Web中的.htpass来管理和校验用户口令时,没有对校验的口令和用户名实行次数上的限制，使得这种管理和校验作用大大降低。

2 在Web上提高系统安全性和稳定性的措施

2.1 加强Web服务器安全预防的措施

针对 Web服务器安全预防的加强措施是需要从多方面同时着手的，这样才能够更好地构建 Web服务器安全预防体系，其中需要实行加强措施的工作具体如以下的几点：

（1）首先是要加强Web服务器中用户账户的管理，需要做到一方面加强对在Web服务器开通的账户总量进行限制和管理，定期删除一些已经停止或中断进程的用户；另一方面要加强对在Web服务器上开通账户的登录管理，对用户的登录口令、长度及定期更改等作出强制性的要求，避免用户账号被篡改。

（2）要选择合适的硬件和应用，不适合的可将其去除。在条件允许的情况下要使用 ftp,mail等服务器和 Web服务器相分离。并且在Web服务器上将一些根本用不到的shell等解释器去掉。同样，可以去掉ftp、NIS、NFS、finger、netstat等一些无关的应用。如果用户在cgi的程序中用不到perl时，最好也将perl从系统解释器中删掉。

（3）再次，需要加强对服务器的日志管理，对服务器中的日志logs文件定期查看，重点放在出现的可疑事件上，并且要注意到一般在错误日志中出现rm、login、/bin/perl、bin/sh等记录时，用户的服务器可能已经或正在受到一些黑客的非法入侵；

（4）要加强服务器的权限管理，一方面要设置好Web服务器上系统文件的权限和属性,将所有可让人访问的文档统一分配到公用的组如:www,而且分配给它的权利只有只读权，也可以把www组当做所有的HTML文件归属，并且由Web管理员直接对www组进行管理，当然，仅有Web管理员对Web的配置文件有写的权利；另一方面也要通过对访问用户IP或DNS进行限制许可，减少非法黑客的网络入侵频率。

（5）做好Web服务器的目录制定工作，在一些Web服务器将Web的文档目录和FTP目录指在同一目录时，应该要确保避免把FTP的目录与CGI-BIN指定在一个目录之下。

2.2 从CGI编程角度提高安全性的措施（1）相比于解释语言，采用编译语言会更安全。同时要注意到，必须将CGI程序放在CGI- BIN下，与HTML存放目录相独立的，这种做法是为了避免一些非法访问者在浏览器端取得解释性语言的原代码，随后再从系统中寻找漏洞。

（2）在编写程序时要使用规范的编程语言。在使用C语言来编写CGI程序时要尽可能地少用popen()、system()和所有涉及/bin/sh的shell命令。同时，在Perl中system()、exec()、open()、eval()等exec或eval之类命令。在由用户填写的form还回cgi时,不要直接调用sys-tem()之类函数。

3 防火墙技术

3.1 防火墙的概念

防火墙，英文称作 firewall，是指由软件或硬件设备共同组合形成，存在局部网络计算机和外界公共网络之间的通道中,对外界用户访问内部网络进行限制并且对内部用户访问外界网络的管理权限。

3.2 防火墙的防范措施

防火墙的防范措施有很多种，但总体来说，是基于两大原理：

（1）分组过滤:在网络层和传输层中间发挥作用,它以分组包源地址、目的地址和端口号、协议类型等标志为根据，判断数据包是否有通过的资格。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。

（2）应用代理：也被称作应用网关，它的装置处于在应用层，具有“完全阻隔”了网络通信流的特点，将每种应用服务通过编制专门的代理程序，针对性地实现监视和控制的作用。

3.3 防火墙的类型划分

防火墙的类型划分依据是以防火墙的技术措施原理为基础的，主要有以下的几种类型：

（1）分组过滤型防火墙：是一种应用普遍，价格低廉，安全性良好的一种防火类型，以上的特点就体现着这类防火墙可以通用于大部分计算机，不需要特殊处理，应用成本低廉，并且能满足大部分企业和用户的安全防护需求。

（2）应用代理型防火墙：相当于内外网之间的隔离点，可以在应用层起着监视和隔绝通信流的作用。同时也常结合过滤器的功能，因此，掌握着应用系统中可用作安全决策的全部信息。

（3）复合型防火墙：是指将包过滤的方法与基于应用代理的方法结合起来的复合型防火墙产品。相对于以上两种单纯的防火墙体系，复合型的防火墙能够满足更高安全性的要求，常见的两种复合型防火墙体系结构，包括屏蔽主机防火墙体系结构和屏蔽子网防火墙体系结构。

4 结束语

综上所述，Web安全和防火墙技术是计算机的安全的重要部分，始终做好 Web安全和防火墙工作，有利于保证计算机用户的隐私和安全，为重要数据的储存和处理提供安全可靠的环境，进而在网络经济中维护好自身的利益。

[1]边娜.Web安全技术与防火墙[J].山西财经大学学报，2000.