一個安全WEB伺服器的安裝(1)

來源:互聯網
上載者:User
web|web服務|web伺服器|安全

  WEB伺服器是Internet上最暴露的伺服器。為了讓客戶/目標使用者群訪問提供的資訊,WEB伺服器必需是Internet上的任何存取點都可以訪問的。與其它諸如DNS和FTP等公用服務相比,WEB對駭客高手更有誘惑力,因為一個成功地侵入一個網站的人可以更改首頁從而讓別人更加意識到他的存在。這些入侵事件能夠讓一個公司失去客戶的信任,尤其是當一些敏感性資料(如信用卡詳細資料等)被竊取甚至被公開時就更加嚴重。

  如果說用於防止從Internet對內部網路進行攻擊的防火牆是最重要網路安全領域的話,WEB伺服器應該說是第二個需要高度安全的領域了。本文的目標就是如何只用45分鐘的時間就可以在Linux系統上配置一個安全的WEB伺服器。當然,您也可以在其他動作系統上完成同樣的事情。下面是基於SuSE Linux 6.4發布的一個例子。

安全區域

  伺服器安全由幾個安全區域組成,為了保證允許條件下的最高度的安全保護,安全必需在每個地區都予以一致的實現。

  1. 基礎設施區

  基礎設施地區定義伺服器在網路中的位置。這個地區必需能夠防止資料竊聽、網路映射和連接埠掃描等駭客技術的威脅。而且,可以跟蹤對一個暴露的WEB伺服器的成功入侵,因為被侵入的伺服器可能會用來作為攻擊其它重要的伺服器的基地(這種方式在DoS攻擊中最為常見)。

  在這一端,所有提供Internet服務的伺服器都通過一個集中組件保護起來並且位於一個隔離的網路是必需的。這個隔離的網路稱為非軍事區(DMZ)。具有保護功能的組件可能是一個複雜的防火牆或一個簡單的路由器(這個路由器配置了具有很強限制的包過濾規則)。因此,僅僅指定的伺服器服務才是允許訪問的。

  一般DMZ會採用一個具有連接埠安全和報文洪水保護的轉換開關,這種方式可以保證DMZ的高度安全。

  如果您關心物理安全,那麼您必需保證伺服器安裝在一個安全的房間裡(或資料處理中心)並且所有的電源、電話線和網線等都必需得到物理上的保護。

  2. 網路通訊協定區

  網路通訊一般指的都是TCP/IP通訊,作業系統核心對通訊負責並且保證一個透明的通訊流。然而,一些函數或者協議的易受攻擊點可能會被用來發起攻擊或破壞行為。因此,核心必需經過必要的配置,以便阻擋這些類型的攻擊手段。雖然位於伺服器前面的防火牆或路由器可以防止很多類型的攻擊,但一些WEB伺服器的設定也必需做一些相應的調整。

  防止SYN洪水攻擊是很關鍵的,在所有的作業系統中,Linux提供了一種稱為SYNcookies的最有效解決方案。此外,ICMP重新導向和對廣播位址的ping操作以及IP源路由包也應該被拒絕。適用附加的核心過濾函數可以增加安全層級。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。