為什么需要網(wǎng)站安全策略
“既然護(hù)衛(wèi)神.防入侵系統(tǒng)那么強(qiáng)大,為什么還需要網(wǎng)站安全策略呢?”這應(yīng)該是很多用戶心中的疑問。

簡(jiǎn)單來說,之所以需要網(wǎng)站安全策略,不是防入侵系統(tǒng)不行,而是網(wǎng)站自身缺陷的原因。

接下來我們就為您詳細(xì)講解網(wǎng)站安全策略的好處,以及和防入侵系統(tǒng)的區(qū)別。


1、功能區(qū)別

網(wǎng)站安全策略是對(duì)單個(gè)網(wǎng)站做ACL加固和訪問加固。

防入侵系統(tǒng)則是對(duì)服務(wù)器做整體防護(hù),很難精確到具體的每個(gè)網(wǎng)站,并且沒法做ACL加固。


什么是ACL加固?

工程師通過人工分析網(wǎng)站結(jié)構(gòu),基于“精確區(qū)分游客和管理員”的理念,對(duì)每一個(gè)文件進(jìn)行ACL權(quán)限加固,最大限度降低游客的操作權(quán)限,讓游客無權(quán)做任何入侵操作。


什么是訪問加固?

簡(jiǎn)單說就是限制文件和目錄的Web訪問權(quán)限,例如:禁止訪問、禁止腳本以及其他訪問限制等。


2、網(wǎng)頁木馬問題

防入侵系統(tǒng)支持在上傳時(shí)、保存前、保存時(shí)、保存后進(jìn)行全方位的木馬查殺。

但一個(gè)眾所周知的問題,所有殺毒軟件都是采用病毒樣本和行為分析模式,先有病毒后有殺毒。

黑客可以不斷變種木馬,讓所有殺毒軟件都沒法及時(shí)查殺。沒有一家殺毒軟件公司敢承諾有100%的查殺效果,防入侵系統(tǒng)也只有最多99%的查殺能力。

部署安全策略以后,不再使用病毒庫和行為分析模式,直接免疫網(wǎng)頁木馬。


3、在線上傳問題

雖然可以通過“靜態(tài)目錄保護(hù)”,禁止上傳目錄執(zhí)行動(dòng)態(tài)腳本;蛘咄ㄟ^“命名防護(hù)”,禁止上傳目錄保存動(dòng)態(tài)腳本文件。

但是有的在線上傳程序支持自定義上傳目錄,黑客可以把網(wǎng)頁木馬上傳到網(wǎng)站根目錄(是的,就是跟目錄),您總不至于禁止根目錄執(zhí)行動(dòng)態(tài)腳本吧,那網(wǎng)站基本就廢了。

部署安全策略,會(huì)做嚴(yán)格的ACL權(quán)限加固,只能上傳到指定目錄,其他任何目錄都不行。


4、防篡改副作用問題

防篡改模塊可以鎖定網(wǎng)站文件,禁止保存動(dòng)態(tài)腳本文件,但存在諸多副作用,例如:

1、不便于用戶自己維護(hù)

2、PHP緩存文件無法生成

3、生成靜態(tài)功能不可用

而使用網(wǎng)站安全策略,則不存在這些問題。既沒有副作用,又能解決安全問題。


綜上所述,網(wǎng)站安全策略主要面向自身存在重大缺陷的網(wǎng)站,有效解決“不同網(wǎng)站,結(jié)構(gòu)不同,內(nèi)容不同,漏洞也不同”的問題。


那么,是不是意味著可以只要安全策略,不要防入侵系統(tǒng)了呢?

答案是否定的,因?yàn)榘踩呗灾挥袃蓚(gè)功能:ACL加固和訪問加固。對(duì)于SQL注入、暴力破解、遠(yuǎn)程登錄、軟件漏洞、系統(tǒng)漏洞均沒有防護(hù)能力。因此網(wǎng)站安全策略只是防入侵系統(tǒng)的安全補(bǔ)充。



上一篇:如何開啟Nginx的兼容模塊