【51CTO獨(dú)家特稿】網(wǎng)站安全問(wèn)題可以說(shuō)是現(xiàn)在最引人關(guān)注的問(wèn)題，有關(guān)服務(wù)器安全、用戶隱私安全、企業(yè)數(shù)據(jù)安全的文章和爭(zhēng)論從來(lái)沒(méi)有停息過(guò)。系統(tǒng)管理員作為網(wǎng)站安全的第一道哨崗，既要確保網(wǎng)站服務(wù)器系統(tǒng)的安全，也要考慮到網(wǎng)站應(yīng)用的一些基本安全防護(hù)。

51CTO編輯推薦：SA，神仙與裝機(jī)男：運(yùn)維的工作到底啥樣兒？

在之前《明明白白你的Linux服務(wù)器——安全篇》中，撫琴煮酒列舉了一些Linux/Unix服務(wù)器系統(tǒng)最基本的一些安全防護(hù)措施，這篇總結(jié)對(duì)于服務(wù)器端的安全防護(hù)思路介紹的相當(dāng)詳細(xì)。但是要保護(hù)網(wǎng)站的安全運(yùn)作，僅僅針對(duì)服務(wù)器系統(tǒng)本身的防護(hù)是不夠的，還需要有一個(gè)更全局的視角和防范思路。本文中介紹的十條措施雖然涉及到用戶身份驗(yàn)證、數(shù)據(jù)加密傳輸、子網(wǎng)劃分、災(zāi)難備份等多個(gè)方面的內(nèi)容，但所有這些其實(shí)都是維護(hù)網(wǎng)站安全最低限度需要做到的事情。文章并沒(méi)有深入的介紹每一個(gè)方面應(yīng)如何實(shí)施，主要是給大家提供思路，為廣大運(yùn)維人員提供參考。

作者簡(jiǎn)介：李洋，博士畢業(yè)于中科院計(jì)算所。10多年來(lái)一直從事計(jì)算機(jī)網(wǎng)絡(luò)信息安全研發(fā)工作，曾主持和參與多項(xiàng)國(guó)家重點(diǎn)項(xiàng)目以及信息安全系統(tǒng)和企業(yè)信息安全系統(tǒng)的研發(fā)工作。具有Linux系統(tǒng)應(yīng)用、管理、安全及內(nèi)核的研發(fā)經(jīng)驗(yàn)，擅長(zhǎng)網(wǎng)絡(luò)安全技術(shù)、協(xié)議分析、Linux系統(tǒng)安全技術(shù)、Linux系統(tǒng)及網(wǎng)絡(luò)管理、Linux內(nèi)核開發(fā)等。

網(wǎng)站前端防護(hù)

措施1：網(wǎng)站用戶的身份認(rèn)證

一般可以采用用戶名+密碼驗(yàn)證，確認(rèn)用戶登錄身份，并根據(jù)數(shù)據(jù)庫(kù)中預(yù)設(shè)的權(quán)限，向用戶展示相應(yīng)的界面。

對(duì)于重要的網(wǎng)站應(yīng)用，需要根據(jù)PKI機(jī)制，驗(yàn)證用戶提供的證書，從而對(duì)用戶身份認(rèn)證（服務(wù)器對(duì)客戶端認(rèn)證），并確保交易的不可抵賴性。證書的提供可以采用兩種方式：文件證書或是USB設(shè)備存儲(chǔ)的證書。文件證書保存在用戶磁盤和文件系統(tǒng)上，有一定的安全風(fēng)險(xiǎn)，但是可以免費(fèi)；USB證書安全性高，但是一般需要向用戶收費(fèi)。

有關(guān)身份認(rèn)證的具體操作，編輯推薦讀者們關(guān)注51CTO安全頻道的身份認(rèn)證技術(shù)專題。

措施2：網(wǎng)站數(shù)據(jù)的加密傳輸

對(duì)于使用Web瀏覽器的網(wǎng)上系統(tǒng)應(yīng)用，采用SSL+數(shù)字證書結(jié)合的方式（即HTTPS協(xié)議），保證通信數(shù)據(jù)的加密傳輸，同時(shí)也保證了用戶端對(duì)服務(wù)器端的認(rèn)證，避免用戶被冒充合法網(wǎng)站的“釣魚網(wǎng)站”欺騙，從而泄露機(jī)密信息（用戶名和密碼等），造成不可挽回的經(jīng)濟(jì)損失。

如何建立SSL（HTTPS）網(wǎng)站？鳥哥的私房菜里面有一章進(jìn)行了簡(jiǎn)單的介紹。

措施3：用戶賬號(hào)使用行為的日志記錄及其審計(jì)

系統(tǒng)服務(wù)器側(cè)應(yīng)根據(jù)賬號(hào)，對(duì)用戶的使用行為進(jìn)行詳細(xì)的日志記錄和審計(jì)，通過(guò)上述因素的日志記錄，進(jìn)行階段性的審計(jì)（時(shí)間間隔應(yīng)該比較小），從而做到發(fā)現(xiàn)用戶賬號(hào)的盜用、惡意使用等問(wèn)題，盡早進(jìn)行處理。

措施4：惡意用戶流量的檢測(cè)、過(guò)濾及阻斷

系統(tǒng)服務(wù)器側(cè)應(yīng)部署IDS入侵檢測(cè)系統(tǒng)、IPS入侵防護(hù)系統(tǒng)、防火墻等設(shè)備，或者部署目前高效、流行的UTM（統(tǒng)一威脅管理）設(shè)備，對(duì)惡意用戶采用的各種攻擊手段進(jìn)行檢測(cè)和防護(hù)，重點(diǎn)過(guò)濾惡意流量、突發(fā)流量等。

相關(guān)閱讀：

1. 51CTO安全頻道的IDS入侵檢測(cè)專題
2. 入侵防護(hù)系統(tǒng)(IPS)初探
3. 了解統(tǒng)一威脅管理(UTM)技術(shù)

措施5：對(duì)非正常應(yīng)用請(qǐng)求的過(guò)濾和處理

系統(tǒng)的服務(wù)器端，尤其是數(shù)據(jù)庫(kù)服務(wù)器端，應(yīng)該通過(guò)配置和增加對(duì)用戶非常長(zhǎng)應(yīng)用請(qǐng)求的過(guò)濾和處理模塊，以避免由于數(shù)據(jù)庫(kù)的自身漏洞未及時(shí)打上補(bǔ)丁而遭受目前流行的SQL注入攻擊等。

#p#

網(wǎng)站服務(wù)器側(cè)

措施6：合理的子網(wǎng)劃分及流量分割

系統(tǒng)服務(wù)器側(cè)包括大量的服務(wù)器類型，包括數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、FTP服務(wù)器、郵件服務(wù)器等，為了避免由于惡意流量造成的某種服務(wù)器崩潰，而引起的攻擊后果擴(kuò)散，并最終導(dǎo)致其他服務(wù)器也發(fā)生“雪崩效應(yīng)”，則需要通過(guò)子網(wǎng)隔離（比如VLAN劃分）、DMZ區(qū)域的設(shè)定等方式來(lái)將這些服務(wù)器放置在不同的安全域當(dāng)中，做到流量和數(shù)據(jù)的安全隔離，從而將服務(wù)器端在遭受攻擊后對(duì)整個(gè)業(yè)務(wù)系統(tǒng)及其他內(nèi)網(wǎng)資源和數(shù)據(jù)造成的影響盡量控制在最低的范圍內(nèi)。

參考閱讀：VLAN的劃分方法

措施7：負(fù)載均衡及負(fù)載保護(hù)機(jī)制

系統(tǒng)面臨著巨大的服務(wù)量，服務(wù)器端的設(shè)備基本上都需要有多臺(tái)服務(wù)器進(jìn)行業(yè)務(wù)分擔(dān)，這樣才能提高性能，避免處理瓶頸的出現(xiàn)，因此，需要采用合理的負(fù)載均衡和負(fù)載保護(hù)機(jī)制：

◆對(duì)各服務(wù)器的業(yè)務(wù)流量進(jìn)行有效地分擔(dān)，可按照Round Robin、LRU等方式來(lái)進(jìn)行負(fù)載均衡

◆負(fù)載保護(hù)機(jī)制需要實(shí)時(shí)地對(duì)每臺(tái)服務(wù)器的CPU資源、內(nèi)存資源等進(jìn)行評(píng)估，如果一旦超過(guò)設(shè)定的閾值（80%或者以上），將馬上進(jìn)行過(guò)載保護(hù)，從而保證服務(wù)器自身的安全

負(fù)載均衡相關(guān)推薦閱讀：

1. 負(fù)載均衡技術(shù)全攻略
2. 揭秘企業(yè)級(jí)web負(fù)載均衡完美架構(gòu)（圖）
3. 負(fù)載均衡實(shí)例：如何解放晝夜不眠的網(wǎng)管？

措施8：災(zāi)難備份及恢復(fù)

任何系統(tǒng)都不能說(shuō)100%的安全，都需要考慮在遭受攻擊或者是經(jīng)受自然災(zāi)害后的備份恢復(fù)工作，需要著重考慮如下幾點(diǎn)：

1. 選擇合適的備份策略，做好提前備份，包括全備份、差分備份、增量備份等等
2. 選擇合適的備份介質(zhì)，包括磁帶、光盤、RAID磁盤陣列等
3. 選擇合適的備份地點(diǎn)，包括本地備份、遠(yuǎn)程備份等等
4. 選擇合適的備份技術(shù)，包括NAS、SAN、DAS等等
5. 作好備份的后期維護(hù)和安全審計(jì)跟蹤

Linux系統(tǒng)的備份手段和工具可以參考51CTO系統(tǒng)頻道的Linux 系統(tǒng)備份——操作實(shí)踐與工具介紹專題。更多有關(guān)災(zāi)難備份和恢復(fù)的信息可以在51CTO的存儲(chǔ)子站WatchStor.com獲取。

措施9：管理規(guī)范化

系統(tǒng)功能復(fù)雜，業(yè)務(wù)數(shù)據(jù)敏感，保密級(jí)別比較高，并且對(duì)不同管理人員的權(quán)限、角色要求都不盡相同，為了保證安全管理，避免內(nèi)部管理中出現(xiàn)安全問(wèn)題，建議作如下要求：

1. 嚴(yán)格劃分管理人員的角色及其對(duì)應(yīng)的權(quán)限，避免一權(quán)獨(dú)攬，引起安全隱患；
2. 作好服務(wù)器機(jī)房的物理?xiàng)l件管理，避免電子泄露、避免由于靜電等引起的故障；
3. 應(yīng)作好服務(wù)器管理員的帳號(hào)/口令管理，要求使用強(qiáng)口令，避免內(nèi)部人員盜用；
4. 作好服務(wù)器的端口最小化管理，避免內(nèi)部人員掃描得出服務(wù)器的不必要的開放端口及其漏洞，實(shí)行內(nèi)部攻擊；
5. 作好服務(wù)器系統(tǒng)軟件、應(yīng)用軟件的日志管理和補(bǔ)丁管理工作，便于審計(jì)和避免由于安全漏洞而遭受到內(nèi)部人員的攻擊；
6. 根據(jù)業(yè)務(wù)和數(shù)據(jù)的機(jī)密等級(jí)需求，嚴(yán)格劃分服務(wù)器的安全域，避免信息泄露。

措施10：網(wǎng)站漏洞自我挖掘及防護(hù)

采用漏洞掃描和挖掘設(shè)備，對(duì)內(nèi)網(wǎng)各服務(wù)器進(jìn)行階段性的掃描，并根據(jù)掃描所得的風(fēng)險(xiǎn)和漏洞進(jìn)行及時(shí)地修補(bǔ)，以實(shí)現(xiàn)該漏洞為黑客使用之前進(jìn)行自行修復(fù)的目的。

這方面的工具服務(wù)很多，比如五大著名的免費(fèi)SQL注入漏洞掃描工具，十大Web服務(wù)器漏洞掃描程序等等。

上面這十條，并不是做了就能夠保證網(wǎng)站安全，而是要“做好”，必須做好。正在閱讀這篇文章的運(yùn)維人員們，上面這些，你都做到了嗎？

【編輯推薦】

1. 資深系統(tǒng)管理員給Linux/Unix新人們的建議
2. 給系統(tǒng)管理員們的節(jié)日禮物
3. 系統(tǒng)管理員應(yīng)該定期完成的九件事
4. 系統(tǒng)管理員不可不知的三條黃金法則