5.1.2.2 修改所使用的TCP/IP端口
默认情况下,SQL Server使用1433端口监听,很多攻击都基于此,所以我们应该改变这个端口。方法是在实例属性中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,然后在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口。
5.1.3 MYSQL数据库
5.1.3.1 帐户安全
删除mysql中的所有默认用户,只保留本地root账户,为root用户加上一个复杂的密码。赋予普通用户 update、delete、alert、create、drop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查 mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和 File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
5.1.3.2 访问安全
MySQL服务器通过在MySQL数据库中的授权表提供了一个灵活的权限系统。你可以设置这些表的内容,允许或拒绝客户对数据库的访问,这提供了防止未授权的网络访问对你数据库攻击的安全手段。所需要做的是保证数据库文件对于各个用户的私有性和日志文件的只读性。
5.2 防盗链和采集
盗链和采集是国内个人网站大量发展后产生的,主要是因为个人站长没有资金和精力来创作大量的信息资源。同时,在利益的驱使下,个人站长开始批量的建设垃圾站。这种垃圾站成本较低,主要是域名注册费的虚拟空间租用费,收益却很高,一般可以做到每月近百美元。因此,他们制作小偷程序和采集程序来大理盗链和采集一些优秀站点的资源,并通过SEO获得较高的搜索流量。
5.2.1 防盗链
盗链是指一个网站通过对目标网站资源结构进行分析,并通过编制程序而大量的链接目标网站的图片、音频、视频文件。主要是一些小网站为了增加流量而盗取一些有实力的大网站的资源。一般的防盗链可以通过WEB服务器的URL过滤技术解决,如APACHE自带的URL Rewrite功能,其原理是检查REFER,如果REFER的信息来自其他网站则禁止访问所需要的资源。IIS平台可以使用第三方的ISAPI_Rewrite,其LITE版本是免费的,下载地址为: http://www.helicontech.com/download.htm
如果预算允许的话,也可以使用收费的防盗链技术,如国内的UU防盗链和VirtualWall和国外的ISAPI_Rewrite。
5.4.2 防采集
采集是指分析目标网站的页面结构,找出规律,然后读取内容,并保存到本地的过程。现在防采集的方法主要有:判断一个IP在一定时间内对本站页面的访问次数,如果明显超过了正常人浏览速度,就拒绝此IP访问,这种方法比较费时间;用JavaScript加密内容页面;把内容页面里的特定标记替换为[color=Red]“特定标记 隐藏版权文字”[/color];只允许用户登陆后才可以浏览;只允许通过本站页面连接查看,如:Request.ServerVariables("HTTP_REFERER");使用随机模板。
6 网络安全
本文所讲的网络安全主要是指Web应用中的网络通信安全,重点介绍客户端的安全,并对黑客攻击做了初步的介绍,然后介绍了预防网络攻击的常用工具——防火墙常见的三种类型。
6.1 客户端安全性
6.1.1 ACTIVEX
ActiveX是Microsoft开发的,用来从因特网上自动下载可执行的机器代码的技术、协议和API的集合。 ActiveX控件能完成下载病毒、安装木马到格式化硬盘等一系列的危险操作,对此的安全对策是在访问网站时只安装经过认证的普遍使用的ActiveX控件。实际操作是在IE的Internet选项中安全下选择中级。
6.1.2 JAVASCRIPT
JavaScript被设计为通过浏览器来处理并显示信息,但它不能修改任何文件中的内容。也就是说,它不能将数据存放在Web服务器或用户的计算机上,更不能对用户文件进行修改或删除。因此,JavaScript不会破坏服务器或客户机上的任何文件,也不可能被用来编写破坏计算机上资源的计算机病毒。JavaScript的漏洞通常仅仅破坏用户的隐私。避免这种安全隐患的一个要点是不去浏览一些不可信任的网站。
6.1.3 COOKIES
Cookies是帮助Web站点维持用户状态的一种机制,从技术上而言,Cookies实质上是HTTP的Header的一个选项。Cookies本身由纯文本字符串组成,能够读入游览器的内存中,并在必要时候返回给服务器端[5] 。Cookies的主要作用是在客户端保存用于和服务器交互的用户信息。Cookies也因此而被Internet广告商滥用,为使用者展示“个性化”的广告。我们可以通过在浏览器中禁用Cookies来避免个人信息被收集,当然这样会造成一些网站功能的使用问题。
6.2 黑客攻击
黑客攻击作为Web安全的最大威胁,往往通过系统和程序漏洞来达到获得系统管理权限和使Web服务中止的目的。其目的也由曾经的技术炫耀、刺激而向经济利益转变[6]。比如前段时间的几大木马病毒案(熊猫烧香,灰鸽子等),嫌疑人均带有强烈的经济目的而实施木马和病毒的传播。
6.2.1 获得系统权限
获得系统权限方面,主要是通过系统漏洞使普通用户权限升级到系统管理员级别。可以从三个途径获得普通用户帐号:一是通过网络监听,截获数据报文等方式获得[10];二是通过系统或程序漏洞新建用户;三是通过社会工程骗取用户账号和密码,这种方法成功的原因是人们乐于助人[11]。
6.2.2 中止WEB服务
中止Web服务方面,主要是通过拒绝服务攻击DoS。一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood和Ping Flood对服务器攻击、Land和WinNuke对端口攻击等[8]。
6.3 防火墙
防火墙是近些年发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴防火墙三种类型。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
