“既然護(hù)衛(wèi)神.防入侵系統(tǒng)那么強(qiáng)大,為什么還需要網(wǎng)站安全策略呢?”這應(yīng)該是很多用戶心中的疑問。
簡(jiǎn)單來說,之所以需要網(wǎng)站安全策略,不是防入侵系統(tǒng)不行,而是網(wǎng)站自身缺陷的原因。
接下來我們就為您詳細(xì)講解網(wǎng)站安全策略的好處,以及和防入侵系統(tǒng)的區(qū)別。
1、功能區(qū)別
網(wǎng)站安全策略是對(duì)單個(gè)網(wǎng)站做ACL加固和訪問加固。
防入侵系統(tǒng)則是對(duì)服務(wù)器做整體防護(hù),很難精確到具體的每個(gè)網(wǎng)站,并且沒法做ACL加固。
什么是ACL加固?
工程師通過人工分析網(wǎng)站結(jié)構(gòu),基于“精確區(qū)分游客和管理員”的理念,對(duì)每一個(gè)文件進(jìn)行ACL權(quán)限加固,最大限度降低游客的操作權(quán)限,讓游客無權(quán)做任何入侵操作。
什么是訪問加固?
簡(jiǎn)單說就是限制文件和目錄的Web訪問權(quán)限,例如:禁止訪問、禁止腳本以及其他訪問限制等。
2、網(wǎng)頁木馬問題
防入侵系統(tǒng)支持在上傳時(shí)、保存前、保存時(shí)、保存后進(jìn)行全方位的木馬查殺。
但一個(gè)眾所周知的問題,所有殺毒軟件都是采用病毒樣本和行為分析模式,先有病毒后有殺毒。
黑客可以不斷變種木馬,讓所有殺毒軟件都沒法及時(shí)查殺。沒有一家殺毒軟件公司敢承諾有100%的查殺效果,防入侵系統(tǒng)也只有最多99%的查殺能力。
部署安全策略以后,不再使用病毒庫和行為分析模式,直接免疫網(wǎng)頁木馬。
3、在線上傳問題
雖然可以通過“靜態(tài)目錄保護(hù)”,禁止上傳目錄執(zhí)行動(dòng)態(tài)腳本;蛘咄ㄟ^“命名防護(hù)”,禁止上傳目錄保存動(dòng)態(tài)腳本文件。
但是有的在線上傳程序支持自定義上傳目錄,黑客可以把網(wǎng)頁木馬上傳到網(wǎng)站根目錄(是的,就是跟目錄),您總不至于禁止根目錄執(zhí)行動(dòng)態(tài)腳本吧,那網(wǎng)站基本就廢了。
部署安全策略,會(huì)做嚴(yán)格的ACL權(quán)限加固,只能上傳到指定目錄,其他任何目錄都不行。
4、防篡改副作用問題
防篡改模塊可以鎖定網(wǎng)站文件,禁止保存動(dòng)態(tài)腳本文件,但存在諸多副作用,例如:
1、不便于用戶自己維護(hù)
2、PHP緩存文件無法生成
3、生成靜態(tài)功能不可用
而使用網(wǎng)站安全策略,則不存在這些問題。既沒有副作用,又能解決安全問題。
綜上所述,網(wǎng)站安全策略主要面向自身存在重大缺陷的網(wǎng)站,有效解決“不同網(wǎng)站,結(jié)構(gòu)不同,內(nèi)容不同,漏洞也不同”的問題。
那么,是不是意味著可以只要安全策略,不要防入侵系統(tǒng)了呢?
答案是否定的,因?yàn)榘踩呗灾挥袃蓚(gè)功能:ACL加固和訪問加固。對(duì)于SQL注入、暴力破解、遠(yuǎn)程登錄、軟件漏洞、系統(tǒng)漏洞均沒有防護(hù)能力。因此網(wǎng)站安全策略只是防入侵系統(tǒng)的安全補(bǔ)充。