當前，互聯網上的黑客攻擊越來越多地集中在應用層的各種開放服務上，特別是企業和機構紛紛將應用遷移到Web服務平臺，隨之而 來的是針對Web服務器的入侵攻擊，如利用SQL注入攻擊完成諸如更換Web網站主頁，盜取管理員密碼，破壞整個網站數據等惡意行為 尤為突出。面對Web威脅，網站安全該如何做？你的網站需要什么樣的web應用安全解決方案，才能固若金湯？

技術門診是51CTO社區品牌欄目，每周邀請一位客座專家，為廣大技術網友解答疑問。從熱門技術到前沿知識，從技術答疑到職業規劃。每期一個主題，站在最新最熱的技術前沿為你引航！

本期門診特邀綠盟科技的兩位專家來與大家一起交流WEB應用安全問題和做安全解決方案的過程中需要注意的事項。

姓　　名：趙 旭

擅長領域：網絡安全、通信系統

綠盟科技產品管理中心產品市場經理。2005年畢業于瑞典皇家理工學院，獲碩士學位，專業為信息通信系統安全。現在綠盟科技主要負責WAF產品。

姓　　名：秦 波

: http://doctor.51cto.com/develop-174.html

擅長領域：信息管理、安全服務

綠盟科技產品管理中心產品市場經理。畢業于北京大學信息管理系，在安全服務領域有多年的項目管理和實施經驗。擅長Web攻防領域，在如何保障不同行業的基于Web的業務持續性和風險分析方面有深入研究，是Web安全領域的國標、軍標和行業標準的主要編寫者。

查看本期門診精彩實錄

參與最新技術門診：http://doctor.51cto.com/

下面精選本期網友提問與專家解答，以供網友學習參考。

Q：企業在構建自己的web網站時，應從哪些方面來考慮其安全性呢？是否需要部署基于硬件的web安全網關呢？

A：這個問題相對比較大，建議從安全風險分析的角度來考慮問題。除了考慮已經比較成熟的網絡層、系統層面以及WEB通用組件（如IIS、Apache等Web server軟件）的安全控制，Web應用層面的安全問題需要重點考慮。Web應用層面的問題，建議從Web應用的生命周期進行考慮，在各個階段都采取相應的安全控制。問題在生命周期中越早解決越好，因為到了后期，解決問題的成本會高很多。當然了，上面說的這個生命周期的安全控制相對比較理想、對人員投入及相應技能都有較高要求。實際情況中，網站更多面臨的問題是如何度量Web應用代碼的安全質量，網站上線后如何采取相應的防護措施、可以有效降低風險。針對第一個問題，建議可以采用Web應用黑盒測試工具，針對第二個問題，可以考慮部署專有的Web安全網關（業界更習慣稱為Web應用防火墻，即WAF）。因為代碼缺陷是先天存在的，即使后來修復也會具有一定的滯后性，而且不能保證100%地發現所有存在的漏洞那個缺陷。WAF通過自身固化的防護機制，可以識別各類Web安全威脅和攻擊行為并予以阻斷。

Q：我是一家企業的網絡管理員。單位的網站空間都是托管個制作方的，上次被入侵，修改了首頁FLASH頁面的介紹，本來公司是做服裝的，可被入侵之后，百度搜索出來的內容竟然是私服魔域等介紹。我想問下一般我們企業，在選擇網站制作的源碼，數據庫那些語言和數據庫乃至服務器更加的安全？托管給別人空間的，我們該怎么去維護防護發生入侵這方面的問題？

A：中小型企業網站的維護，由于沒有專人來負責安全問題，一般的維護在于更新內容，這種網站一般都是虛擬機形式托管，對系統層沒有控制權限，僅僅是自己所負責的應用程序。而且網站定位于發布信息的平臺，機密性要求不高，但如果被攻擊后很容易被利用掛馬、XSS等，給終端用戶造成傷害。建議這種類型的網站從源碼的選擇上不要去抄襲和引用不成熟的代碼，盡量用簡單的機制來滿足功能，從而減少維護量和安全攻擊。

Q：你的網站需要什么樣的WEB應用安全解決方案?

1、外部攻擊;如何應對，貴公司產品有這樣的解決方案嗎？

2、數據安全;服務器數據尤其是網站代碼和數據庫數據非常重要。如何保護不丟失，才確保web應用安全正常運作？

3、提高可用性;當大量的多人訪問的時候，服務器會響應很慢，綠盟有無解決方案？

4、請教專家。托管和自建服務器從成本和安全上考慮幫我做個對比，謝謝！

A：1、我們有一款WAF設備，提供雙向的Web安全防護，可以應對外部的攻擊，同時還提供服務器側的內容安全，有興趣的網友可以再深入了解一下。

2、數據安全涵蓋范圍較廣，以數據丟失來看，這是一個攻擊結果。需要從攻擊路徑角度考慮，采取相應的控制措施。比如以Web方式通過SQL注入之類的攻擊獲取敏感數據，那么可以考慮WAF這類防護產品。

3、提高可用性這塊，我們的WAF產品也有相應的考慮，主要基于Web cache技術，減少延時，優化最終用戶訪問體驗。

4、這個問題還是需要結合企業自身的具體情況進行判斷。

Q：你好，我有幾個問題

1.網站經常被暴有各種各樣的漏洞，像SQL注入、跨站等，對這些漏洞能通過防火墻進行控制嗎。

2.大家都在說WEB應用防火墻，這東西能幫我們網管解決哪些問題。

3.網站不僅需要面對病毒、漏洞等攻擊，有時候也要面對拒絕服務攻擊，比如很多人有意或無意的不停訪問我的網站導致服務器資源或網絡資源被消耗殆盡而無法向其他人提供服務，有辦法通過WEB應用防火墻來對此進行控制嗎，控制方式是什么。謝謝

A：1、SQL注入、XSS這類漏洞是應用層面的漏洞，而FW是工作在網絡層面的設備，因此FW無法對此進行控制。

2、WAF設備主要幫助解決幾個方面的問題：解決WEB安全層面特有的問題（應對來自客戶端的各類威脅以及網站自身的內容安全），提升網站的可用性，了解網站的安全狀態及業務運維狀態。

3、我們的WAF提供TCP/HTTP Flood防護功能，之所以有這個功能，也是考慮了目前國內網站面臨的高風險問題。這塊功能復用了黑洞的核心算法。黑洞的抗拒絕服務攻擊能力，相信很多朋友都非常了解，這里我也不再多說了。

Q：專家您好！我有幾個問題一直很疑惑啊。望能百忙之中抽出時間解答。

1. 如何有效的防范DDOS攻擊，或者說如何能降低DDOS攻擊的危害。

2。對于跨站攻擊，雖然對用戶提交的數據過濾掉了一些，但是繞過跨站攻擊的夜很多。前段時間的discuz！7.2的跨站漏洞，百度的跨站漏洞等。如何有效的防范呢？謝謝了。

A：1.DDos有針對網絡層和應用層，WAF能有效防護。

2. Discuz的簽名代碼中 可寫入惡意代碼，這與攻擊字符串的變形可繞開現有機制的檢查有關，有效防護在于能對不同變形的字符串準確識別，目前綠盟Waf內置了檢查各種變形字符串的模塊。

Q：現在云安全是個很熱門的話題，請問公司的web網站能否結合云安全的技術進行防護呢？綠盟科技是否有結合云安全技術的產品呢？

A：綠盟科技通過“云”來實現信息安全主要分為三個層面。

1.    自主研發和運營的云計算平臺，通過其對海量信息進行分析處理發現威脅。

2.    自有產品通過對云安全的集成，快速檢測和防御互聯網上最新的安全威脅。

3.    通過開放和實時的云安全服務，與第三方合作伙伴一同改善用戶的安全體驗。綠盟有專門的Saas產品，能解決掛馬、釣魚、網站監控等。

Q：請問專家web應用防火墻和普通的防火墻具體有什么區別？

A：簡單的說，這兩者在部署上類似，但功能定位差異很大，防火墻主要解決網絡層的安全，而WAF是對網絡、操作系統、Web平臺、應用層都要防護，重點在于應用層，并具備完整協議棧，能完全理解HTTP協議并校驗協議是否符合RFC規范，對檢查和防護Web攻擊行為，并對Web應用的交付優化，包括cach、加速等，這些都是普通防火墻不具備的。更多詳細信息請參考官方網站：http://www.nsfocus.com/1_solution/1_2_8.html

Q：請教專家，有沒有什么好的網站漏洞掃描工具推薦還有就是，我知道，世界上是沒有絕對安全的網站的，只要是在網絡上的產物，或多或少都是存在潛在的安全問題，所以，我不會問如何去給網站做防御工作，我想問的是：在一個有著商業用途方面的網站，該如何從對商家影響最小的情況來進行對被黑過的網站進行恢復（可能有個破壞的嚴重程度問題，不過您可以舉例或者從某一方面來說也行，比如中等破壞程度）

A：1、網站漏洞掃描工具，可以采用綠盟遠程安全評估系統，其提供Web應用掃描模塊。2、 我贊成你的上半句，的確沒有百分百安全，但并不意味著不需要做好防御工作。以網站被黑為例，我們需要發現問題的本質（比如網站代碼的質量問題、網站的安全配置問題等等），從而根本解決此類問題，而不應局限于解決問題的表象，比如僅僅是做被動的恢復。從降低風險的角度，我們需要考慮風險計算公式中的各種影響因素（攻擊者因素、漏洞因素、技術影響性）。關于這方面的論述，具體可以參考綠盟秦波在2009第七屆網絡技術大會上《如何降低網站風險》的主題演講。鏈接：http://news.ccidnet.com/art/1321/20091210/1957699_1.html。

你的問題很好。被攻擊的影響有兩個：聲譽、金錢。這個程度取決于攻擊者對目標的攻擊方法，比如刪除文件、掛馬、竊取資料等。從恢復角度看可采取恢復被篡改文件、刪除惡意文件、加固和修復有漏洞的網站程序，同時數據庫需要定期備份和校驗。所謂的中等破壞程度不是準確定義，請舉一個特例更好回答，謝謝你的問題。

查看更多精彩門診：http://doctor.51cto.com/