当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 建立安全的Web站点

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 建立安全的Web站点


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 69 ::
收藏到网摘: n/a

 

  【摘要】Internet及Web已成为许多人日常生活、工作及交流的一种主要工具。由于Internet是根据一定的共识进行自制、在全球范围内实现的庞大的系统,它并不在法律和政治范围内运行。作为Web管理员,感触最深的是:确保Web安全不是件容易的事,并非一篇论文能说得清楚。由于Internet和Web技术的开放性和多层次性,决定了Internet和Web的安全需要格外的关注。本文就是作者根据日常工作环境,讨论如何建立安全的Web站点。

  在讨论Web站点安全之前,了解Web的技术原理,对于Web安全工作者而言应该是有益处的。
  
  一、Web技术简介

  World Wide Web称为万维网,简称Web。它的基本结构是采用开放式的客户/服务器结构(Client/Server),分成服务器端、客户接收机及通讯协议三个部分。

  1、服务器(Web服务器)

  服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web 服务器是驻留在服务器上的软件,它汇集了大量的信息。Web服务器的作用就是管理这些文档,按用户的要求返回信息。

  2、客户接收机(Web浏览器)

  客户机系统称为Web浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。Web浏览器是客户端软件,它从Web服务器上下载和获取文件,翻译下载文件中的HTML代码,进行格式化,根据HTML中的内容在屏幕上显示信息。如果文件中包含图像以及其他格式的文件(如声频、视频、Flash等),Web浏览器会作相应的处理或依据所支持的的插件进行必要的显示。

  3、通讯协议(HTTP协议)

  Web浏览器与服务器之间遵循HTTP协议进行通讯传输。HTTP(HyperText Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送索取Web页面请求的格式,以及Web页面在Internet上的传输方式。

  Web服务器通过Web浏览器与用户交互操作,相互间采用HTTP协议相互通信(服务器和客户端都必须安装HTTP协议)。Web服务器也称为HTTPd服务器(d是指UNIX系统中的daemon)。最早的Web服务器软件是在UNIX系统上发展起来的,有CERN和NCSA两种类型。现在占居市场分额最大的是Apache服务器软件,并且可以在多种环境下运行,如Unix、Linux、Solaris、Windows 2000等。在Window环境下,由于Microsoft得天独厚的优势,因而IIS (Internet Information Server)成为Windows NT及 Windows 2000下主要的服务器软件。

  Web浏览器软件中,Netscape的Web浏览器NN(Netscape Navigator)、NC(Netscape Communicator)具有最广泛的系统平台支持,可以在所有平台上运行;Microsoft的IE(Internet Explorer)则是Windows平台上运行最完美的浏览器软件。

  Web服务器和Web浏览器之间通过HTTP协议相互响应。一般情况下,Web服务器在80端口等候Web浏览器的请求, Web浏览器通过3次握手与服务器建立起TCP/IP联接。

  大多数Web服务器和Web浏览器已使用了HTTP/1.1版。HTTP1.1具有许多新的特色:

  (1) 能够识别主机名,允许多个虚拟主机名共存于一个IP上。
  (2) 具有内容协商的能力,允许服务器以多种格式存取资源,供Web服务器和Web浏览器选择最佳版本。
  (3) 通过持续性联接加速Web服务器的响应速度。
  (4) 允许Web浏览器请求索取文件的某部分,从而为端点续传功能提供更好的支持。
  4、公共网关接口介绍(CGI)

  在讨论Internet和Web技术给人们提供潇洒服务的同时,不能不提到CGI(Common Gateway Interface)。它是Web服务器与外部应用程序之间交换数据的标准接口软件。有了CGI,Web网站将不只是静态页面的收藏点,而是可以通过在Web服务器上运行一定的程序,输出一个动态的页面。CGI是一种独立于语言的接口,CGI程序可以使用任何可以访问环境变量和产生输出的编程语言来编写,有C、C++、PERL、Shell等。

  CGI与Web服务器的关系:首先,用户的Web 服务器必须支持CGI程序,并且CGI应用程序必须在Web服务器上运行。客户端(Web浏览器)常用Post、Get两种方式向Web服务器提交表单数据(图、表、文字的链接等),Web服务器采用相应的数据传递方式向CGI应用程序传递数据。CGI对数据处理后,将动态生成的Web页面发给Web服务器,服务器再把页面发送给发送请求数据的客户端。客户端用Post 方式递交数据,Web 服务器按照标准方式向CGI输入和接受数据,CGI同样按标准方式读取和输出数据;客户端用Get方式递交数据,在Unix类系统中Web服务器通过环境变量方式把数据转交CGI应用程序,CGI应用程序须从环境变量中读入数据,输出结果同样送到标准输出中。
  
  二、建立Web安全体系

  Web赖以生成的环境包括计算机硬件、操作系统、计算机网络、许多的网络服务和应用,所有这些都存在着安全隐患,最终威胁到Web的安全。Web 的安全体系结构非常复杂主要包括以下几个方面:
  
  *  客户端软件(既Web浏览器软件)的安全;
  * 运行浏览器的计算机设备及其