WEB站点安全研究.docx

随着Internet的不断发展，WEB网站的内容己经涉及到现实世界的方方面 面WEB网站己经成为互联网最重要的资源同时，WEB网站也面临着前所未 有的安全威胁，黑客的入侵、病毒的蔓延扰乱了无数网站的正常运行，给社会带 来了巨大的经济损失和不利的政治影响本文先研究了网络安全领域的几种主流 技术（如防火墙、IDS、VPN等）的特点，分析比较它们的特点和不足在这个基 础上再把几种网络安全技术组合起来，发挥各自的长处并且弥补各自的短处，结 合恰当的安全策略，构建了一个WEB网站系统安全架构模型关键词：防火墙；IDS； VPN；网络安全ABSTRACTWith the fast development of the Internet, WEB site's content is involved in all aspects of the real world. WEB site has become the most important resource. At the same time, the WEB site is facing unprecedented security threats. Hacker intrusion and the spread of the virus disturb the normal operation of the countless websites, which has brought a great economic losses and political influence. Studying the network security fields several mainstream technologies such as firewalls, IDS, VPN, etc.), this paper firstly analyzes and compares the features of their characteristics and the shortage of network security technology. At this base , the paper combines their strengths and compensate their weaknesses to build a WEB site system security architecture model. Keywords： firewall; IDS; VPN; network security摘要 IABSTRACT II第1章绪论 1第2章 防火墙和IDS技术 22.1防火墙 22.2IDS（入侵检测）技术 7第3章VPN及其隧道技术 143.1 VPN 概述 143.2隧道 143.3第二层隧道协议 153.4IPSEC安全隧道 173.5各种隧道协议比较 193.6小结 21第4章WEB网站安全组网模型 224.1 WEB网站安全分析 224.2WEB网站安全组网模型的构建 22第5章 古城热线网站的安全体系架构 245.1古城热线网站简介及其安全需求 245.2古城热线安全体系架构的实现 24第6章 嵌入式SQL对WEB数据库的攻击与防范 296.1 WINDOWS2003服务器安全设置 296.2 BAK文件泄漏ASP源代码的危害与防范 326.3身份验证被绕过的漏洞与防范措施 326.4WEB网站身份验证的程序漏洞及防范 326.5网页传递参数不进行过滤处理的隐患及防范措施 40结束语 43致谢 44参考文献 45第1章绪论随着Internet的不断发展，WEB网站的内容已经涉及到现实世界的方方面 面。

WEB网站已经成为互联网最重要的资源但是近年来，网站被攻击的事件 不断发生，WEB网站面临着前所未有的安全威胁，黑客的入侵、病毒的蔓延扰 乱了无数网站的正常运行，如首都机场因电脑系统故障，6000多人滞留机场， 150多架飞机延误;南京火车站电脑售票系统突然发生死机故障，整个车站售票处 于瘫痪状态;广东省工行因系统故障，全线停业一个半小时;深交所证券交易系统 宕机事件等等这些安全事故给社会带来了巨大的经济损失和不利的政治影响WEB网站系统面临的安全威胁主要有以下几种类型：(1) 欺骗(Masquerade);(2) 重发(Replay);(3) 报文修改(Modification of message);(4) 拒绝服务(Deny of service);(5) 幻特洛伊木马(Trojanhorse)因此，提高WEB网站的安全性成为许多企事业单位和政府机关一项迫在眉 睫而又具有重大现实意义的事情本文围绕提高WEB网站的安全性这一主题， 通过跟踪研究目前网络安全领域的几大主流技术(如防火墙、IDS、VPN等)，分 析比较它们的特点和工作原理，把几种网络安全技术组合起来，结合恰当的安全 策略,希望构建了一个具有一般普遍适用性和有效性的WEB网站安全组网模型。

第2章防火墙和IDS技术网络安全是一个综合概念，不仅包括网络安全产品，具体到一个WEB网站 还涉及到它的功能和需求以及与之相配套的安全策略，因此是一项复杂的系统工 程目前，从网络安全产品的种类来看，除防火墙外，还包括VPN、IDS、防病 毒产品等等，而每一种安全产品都是构建在一种或几种安全技术之上下面本文 将就目前安全领域的几大主流安全技术做个综述，弄清它们各自的特点以及工作 原理，从而为下一步将几大安全技术有机的结合构建一个有效的具有普遍适用性 的WEB网络安全架构打下基础2.1防火墙在关于网络安全方面的技术中，人们首先会想到防火墙防火墙目前己经在 Internet上被广泛采用，很多企业为了保障自身服务器或数据安全都采用了防火 墙，防火墙也逐渐被大众所接受，成为保护网络安全的第一道门槛2.1.1防火墙的定义和作用防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或 网络安全域之间的一系列部件的组合它是不同网络或网络安全域之间信息的唯 一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流， 且本身具有较强的抗攻击能力1） 防火墙是网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并 通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过 防火墙，所以网络环境变得更安全如防火墙可以禁止诸如众所周知的不安全的 NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻 击内部网络防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源 路由攻击和ICMP重定向中的重定向路径防火墙应该可以拒绝所有以上类型攻 击的报文并通知防火墙管理员2） 防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、 身份认证、审计等）配置在防火墙上与将网络安全问题分散到各个主机上相比， 防火墙的集中安全管理更经济例如在网络访问时，一次一密口令系统和其它的 身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上3) 对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日 志记录，同时也能提供网络使用情况的统计数据当发生可疑动作时，防火墙能 进行适当的报警，并提供网络是否受到监测和攻击的详细信息另外，收集一个 网络的使用和误用情况也是非常重要的首先的理由是可以清楚防火墙是否能够 抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

而网络使用统计对 网络需求分析和威胁分析等而言也是非常重要的4) 防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限 制了局部重点或敏感网络安全问题对全局网络造成的影响再者，隐私是内部网 络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线 索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞使用 防火墙就可以隐蔽那些透漏内部细节如Finger, DNS等服务Finger显示了主机 的所有用户的注册名、真名，最后登录时间和使用shell类型等但是Finger显 示的信息非常容易被攻击者所获悉攻击者可以知道一个系统使用的频繁程度， 这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等防 火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址 就不会被外界所了解2.1.2防火墙的体系结构(1) 屏蔽路由器(Screening Router)屏蔽路由器可以由厂家专门生产的路由器实现，也可以用主机来实现屏蔽 路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查路由器 上可以安装基于IP层的报文过滤软件，实现报文过滤功能。

许多路由器本身带 有报文过滤配置选项，但一般比较简单单纯由屏蔽路由器构成的防火墙的危险 包括路由器本身及路由器允许访问的主机屏蔽路由器的缺点是一旦被攻陷后很 难发现，而且不能识别不同的用户2) 双穴主机网关(Dual Homed Gateway)双穴主机网关是用一台装有两块网卡的堡垒主机的做防火墙两块网卡各自 与受保护网和外部网相连堡垒主机上运行着防火墙软件，可以转发应用程序， 提供服务等与屏蔽路由器相比，双穴主机网关堡垒主机的系统软件可用于维护 系统日志、硬件拷贝日志或远程日志但弱点也比较突出，一旦黑客侵入堡垒主 机并使其只具有路由功能，任何网上用户均可以随便访问内部网3) 被屏蔽主机网关(Screened Gatewy)屏蔽主机网关易于实现也最为安全一个堡垒主机安装在内部网络上，通常 在路由器上设立过滤规则，并使这个堡垒主机成为从外部网络惟一可直接到达的 主机，这确保了内部网络不受未被授权的外部用户的攻击如果受保护网是一个 虚拟扩展的本地网，即没有子网和路由器，那么内部网的变化不影响堡垒主机和 屏蔽路由器的配置危险带限制在堡垒主机和屏蔽路由器网关的基本控制策略 由安装在上面的软件决定。

如果攻击者没法登录到它上面，内网中的其余主机就 会受到很大威胁这与双穴主机网关受攻击时的情形差不多4) 被屏蔽子网(Screened Subnet)被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台 分组过滤路由器将这一子网分别与内部网络和外部网络分开在很多实现中，两 个分组过滤路由器放在子网的两端，在子网内构成一个DNS,内部网络和外部 网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信有的屏蔽子网中还 设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理这种配 置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器 如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切 断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的但 若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困 难在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破 坏屏蔽路由器，并且整个过程中不能引发警报2.1.3防火墙的基本类型如今市场上的防火墙零零总总，形式多样有以软件形式运行在普通计算机 之上的，也有以固件形式设计在路由器之中的。

总的来说可以分为三种：包过滤 防火墙、代理服务器和状态监视器1) 包过滤防火墙(IP Filting Firewall)包过滤(Packet Filter)是在网络层中对数据包实施有选择的通过，依据系统事 先设定好的过滤逻辑，检查数。