網(wǎng)絡(luò )飛速發(fā)展��,帶動(dòng)網(wǎng)站的出現與發(fā)展���,企業(yè)開(kāi)始運用網(wǎng)站的力量來(lái)提高自身的效益��。網(wǎng)站設計成為當下不可缺少的行業(yè)之一�����。同時(shí)��,網(wǎng)絡(luò )安全也逐漸成為出現的又一大問(wèn)題�。怎樣才能使網(wǎng)絡(luò )網(wǎng)站安全一些呢�?
一��、從CGI編程角度考慮安全�。
1����、采用編譯語(yǔ)言要比解釋語(yǔ)言會(huì )更安全些,并且CGI程序應該放在獨立于HTML存放目錄之外的CGI-BIN之下,這是為了防止一些非法訪(fǎng)問(wèn)者從瀏覽器端口取得解釋性語(yǔ)言的原代碼后從中尋找漏洞�。
2����、在用C來(lái)編寫(xiě)CGI程序時(shí)應盡量不要用到popen��、system����、所有涉及到的/bin/sh的SHELL命令以及在PERL中的system�、exec�、open��、eval等exec或eval之類(lèi)的命令�����。
在用用戶(hù)填寫(xiě)的form還回CGI時(shí)��,不要直接調用system之類(lèi)的函數���。
另外����,對于數據的加密與傳輸方面����,目前有SSL����、SHTTP����、SHEN等協(xié)議供大家參考����。
二����、防火墻
1��、防火墻概念
防火墻是指一個(gè)由軟件或者由軟件和硬件設備組合而成����,處于企業(yè)或者網(wǎng)絡(luò )群體計算機與外界通道之間��,用于限制外界用戶(hù)對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn)及管理內部用戶(hù)訪(fǎng)問(wèn)外界網(wǎng)絡(luò )的權限�����。
2����、防火墻措施
(1)代理主機"內部網(wǎng)絡(luò )--代理網(wǎng)關(guān)(Proxy Gateway)--Internet"
這種方式是內部網(wǎng)絡(luò )與Internet不進(jìn)行直接通訊����。就是內部網(wǎng)絡(luò )計算機用戶(hù)與代理網(wǎng)關(guān)采用的一種通訊方式����,即提供內部的網(wǎng)絡(luò )協(xié)議(Netbios�����、TCP/IP等)��,而網(wǎng)關(guān)與Internet之間采取的是標準TCP/IP網(wǎng)絡(luò )通訊協(xié)議�。這樣使得網(wǎng)絡(luò )數據包不能直接在內外網(wǎng)絡(luò )之間進(jìn)行�����。內部計算機必須通過(guò)代理網(wǎng)關(guān)訪(fǎng)問(wèn)Internet���,這樣容易在代理服務(wù)器上對內部網(wǎng)絡(luò )計算機訪(fǎng)問(wèn)外界計算機進(jìn)行限制�����。另外���,由于代理服務(wù)器兩端采用不同協(xié)議標準也可以直接阻止外界非法入侵����。還有���,代理服務(wù)器的網(wǎng)關(guān)可對數據封包進(jìn)行驗證和對密碼進(jìn)行確認等安全管制��。這樣�����,能較好地控制管理兩端的用戶(hù)�,起到防火墻作用�?���!∫驗檫@種防火墻措施是采用透過(guò)代理服務(wù)器進(jìn)行��,在聯(lián)機用戶(hù)多時(shí)��,效率必然受到影響����,代理服務(wù)器負擔很重�����,所以許多訪(fǎng)問(wèn)Internet的客戶(hù)軟件在內部網(wǎng)絡(luò )計算機中可能無(wú)法正常訪(fǎng)問(wèn)Internet��。
(2)路由器加過(guò)濾器完成
"內部網(wǎng)絡(luò )--過(guò)濾器(Filter)--路由器(Router)--Internet"
這種結構由路由器和過(guò)濾器共同完成從IP地址或域名上對外界計算機訪(fǎng)問(wèn)內部網(wǎng)絡(luò )的限制�����,也可以指定或限制內部網(wǎng)絡(luò )訪(fǎng)問(wèn)Internet���。路由器僅對主機上特定的PORT上的數據通訊加以路由��,而過(guò)濾器則執行篩選�����、過(guò)濾�、驗證及其安全監控���,這樣可以很大程度上隔斷內外網(wǎng)絡(luò )間的不正常的訪(fǎng)問(wèn)登錄����。
