轉(zhuǎn)換角色，把自己當(dāng)作可能的攻擊者

大部分時(shí)候，我們?nèi)糁皇钦驹赪EB管理員的角度上考慮問題，可能就發(fā)現(xiàn)不了Web服務(wù)器的漏洞。相反，我們此時(shí)若能夠換個(gè)角度，把自己當(dāng)作可能的攻擊者，從他們的角色出發(fā)，想想他們可能會(huì)利用那些手段、哪些Web服務(wù)器的漏洞進(jìn)行攻擊，或許，我們就可以發(fā)現(xiàn)Web服務(wù)器可能存在的安全漏洞，從而早先一步，修補(bǔ)安全漏洞，防止被木馬或者病毒攻擊。

從公司外面訪問自己的Web服務(wù)器，進(jìn)行完正的檢測(cè)，然后模擬攻擊自己的網(wǎng)站，看看，會(huì)有什么樣的結(jié)果。這對(duì)于WEB的安全性來(lái)說，可能是一種很好的方法。如我們可以假當(dāng)攻擊者，利用掃描工具，對(duì)Web服務(wù)器進(jìn)行掃描，看看有否存在可以被攻擊的服務(wù)。有些東西我們平時(shí)可能不會(huì)引起我們重視，但是，利用黑客常用的工具進(jìn)行掃描，就會(huì)發(fā)現(xiàn)一些可能會(huì)被他們利用的服務(wù)或者漏洞。

如在服務(wù)器安裝的時(shí)候，操作系統(tǒng)會(huì)默認(rèn)的安裝并啟動(dòng)一些不需要的服務(wù);或者在服務(wù)器配置的時(shí)候，需要啟動(dòng)一些服務(wù)，但是事后沒有及時(shí)的關(guān)閉，從而給了不法攻擊者一個(gè)攻擊的機(jī)會(huì)。最常見的如SNMP服務(wù)，又稱簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。這個(gè)服務(wù)在系統(tǒng)安裝完畢后，默認(rèn)情況下是開啟的。但是，這個(gè)服務(wù)可以為攻擊者提供服務(wù)器系統(tǒng)的詳細(xì)信息，如Web服務(wù)器是采用了什么操作系統(tǒng)，在服務(wù)器上開啟了什么服務(wù)與對(duì)應(yīng)的端口等等寶貴的信息。攻擊者只有了解這些最基本的信息之后，才能夠開展攻擊。

我們安全管理人員，在平時(shí)的時(shí)候可能不會(huì)發(fā)現(xiàn)這個(gè)問題，但是，若能夠利用黑客的掃描工具一掃描，就能夠發(fā)現(xiàn)問題的所在。故在必要的時(shí)候，需要換個(gè)角度，從攻擊的角色出發(fā)，考慮他們會(huì)采用什么樣的攻擊方法。如此的話，我們才可以避免“當(dāng)局者迷”的錯(cuò)誤，保障Web服務(wù)器的安全。

合理的權(quán)限管理

有時(shí)候，在一臺(tái)服務(wù)器上，不僅運(yùn)行了Web服務(wù)器，而且還會(huì)運(yùn)行其他的諸如FTP服務(wù)器之類的網(wǎng)絡(luò)服務(wù)。在同一臺(tái)服務(wù)器上應(yīng)用多種網(wǎng)絡(luò)服務(wù)的話，很可能造成服務(wù)之間的相互感染。也就是說，攻擊者只要攻擊一種服務(wù)，就可以利用相關(guān)的技術(shù)，攻陷另一種應(yīng)用。因?yàn)楣粽咧枰テ破渲幸环N服務(wù)，就可以利用這個(gè)服務(wù)平臺(tái)，從企業(yè)內(nèi)部攻擊其他服務(wù)。而一般來(lái)說，從企業(yè)內(nèi)容進(jìn)行攻擊，要比企業(yè)外部進(jìn)行攻擊方便的多。

那或許有人會(huì)說，那不同服務(wù)采用不同服務(wù)器就可以了。其實(shí)，這對(duì)于企業(yè)來(lái)說，可能是種浪費(fèi)。因?yàn)閺男阅苌现v，現(xiàn)在的服務(wù)器上同時(shí)部署WEB服務(wù)與FTP服務(wù)的話，是完全可行的，性能不會(huì)受到影響。為此，企業(yè)從成本考慮，會(huì)采取一個(gè)服務(wù)器。而現(xiàn)在給我們安全管理員出了一個(gè)難題，就是在兩種、甚至兩種以上的服務(wù)同時(shí)部署在一臺(tái)服務(wù)器上，如何保障他們的安全，防止他們彼此相互之間感染呢?

例如現(xiàn)在的Web服務(wù)器上運(yùn)行著三種服務(wù)。一個(gè)是傳統(tǒng)等WEB服務(wù);二是FTP服務(wù);三是OA(辦公自動(dòng)化)服務(wù)，因?yàn)樵摲?wù)是WEB模式的，互聯(lián)網(wǎng)上也可以直接訪問OA服務(wù)器，所以也就把他部署在這臺(tái)服務(wù)器上。由于這臺(tái)服務(wù)器的配置還是比較高的，所以，運(yùn)行這三個(gè)服務(wù)來(lái)說，沒有多少的困難，性能不會(huì)有所影響。現(xiàn)在的問題是，如號(hào)來(lái)保障他們的安全，F(xiàn)TP服務(wù)器、OA服務(wù)器與Web服務(wù)器之間安全上不會(huì)相互影響呢?

現(xiàn)在采用的是Windows2003服務(wù)器，為了實(shí)現(xiàn)這個(gè)安全需求，把服務(wù)器中所有的硬盤都轉(zhuǎn)換為NTFS分區(qū)。一般來(lái)說，NTFS分區(qū)比FAT分區(qū)安全性要高的多。利用NTFS分區(qū)自帶的功能，合理為他們分配相關(guān)的權(quán)限。如為這個(gè)三個(gè)服務(wù)器配置不同的管理員帳戶，而不同的帳戶又只能對(duì)特定的分區(qū)與目錄進(jìn)行訪問。如此的話，即使某個(gè)管理員帳戶泄露，則他們也只能夠訪問某個(gè)服務(wù)的存儲(chǔ)空間，而不能訪問其他服務(wù)的。

如把WEB服務(wù)裝載分區(qū)D，而把FTP服務(wù)放在分區(qū)E。若FTP的帳戶泄露，被攻擊利用;但是，因?yàn)镕TP帳戶沒有對(duì)分區(qū)D具有讀寫的權(quán)利，所以，其不會(huì)對(duì)Web服務(wù)器上的內(nèi)容進(jìn)行任何的讀寫操作。這就可以保障，其即時(shí)攻陷FTP服務(wù)器后，也不會(huì)對(duì)Web服務(wù)器產(chǎn)生不良的影響。

雖然說微軟的操作系統(tǒng)價(jià)格昂貴，而安全漏洞又比較多，但是，其NTFS分區(qū)上的成就表現(xiàn)還是不差的。在NTFS分區(qū)上，可以實(shí)現(xiàn)很大程度的安全管理，保障相關(guān)服務(wù)于數(shù)據(jù)的安全性。所以最后還是采用了微軟的2003操作系統(tǒng)作為服務(wù)器系統(tǒng)，而沒有采用Linux系統(tǒng)。

Web服務(wù)器維護(hù)和安全管理技巧不光是以上本文介紹的內(nèi)容，我們還會(huì)在以后的文章中繼續(xù)向大家介紹的。

【編輯推薦】

1. Web應(yīng)用與Web應(yīng)用防火墻之Web應(yīng)用
2. Web應(yīng)用安全日趨嚴(yán)重我們?cè)撃檬裁凑?/span>
3. Web應(yīng)用與Web應(yīng)用防火墻之網(wǎng)絡(luò)安全產(chǎn)品追述