-=234交流论坛=-普及网络安全技术打造网络文化交流多抽出一分时间学让您的生命更加精彩bbs.hai234.comweb安全策略解决方案第一部分web的安全需求1.1Web安全的体系结构，包括主机安全，网络安全和应用安全；1.2Web浏览器和服务器的安全需求；在已知的web服务器（包括软硬件）漏洞中，针对该类型web服务器的攻击最少；对服务器的管理操作只能由授权用户执行；拒绝通过web访问web服务器上不公开发布的内容；禁止内嵌在OS或者webserver软件中的不必要的网络服务；有能力控制对各种形式的.exe程序的访问；能够对web操作进行日志记录，以便于进行入侵检测和入侵企图分析；具有适当的容错功能；1.3Web传输的安全需求Web服务器必须和内部网络隔离：有四种实现方式，应选择使用高性能的cisco防火墙实现隔离Web服务器必须和数据库隔离；维护一份web站点的安全拷贝：来自开发人员最终发布的版本（内容安全）；其次，存储的地点是安全的(另一立的位于防火墙之后的内网的主机)；还有，定期备份应该使用磁带，可擦写光盘等媒介；1.4Web面临的威胁：信息泄露，拒绝服务，系统崩溃，跳板。第二部分web服务器的安全策略主机操作系统是web的直接支撑着，必须合理配置主机系统，为WEB服务器提供安全支持：只提供必要的服务；某种服务被攻击不影响其它服务；使用运行在其它主机上的辅助工具并启动安全日志；设置web服务器访问控制规则：通过IP,子网，域名来控制；通过口令控制；使用公用密钥加密算法；设置web服务器目录权限；关闭安全性脆弱的web服务器功能例如：自动目录列表功能；符号连接等谨慎组织web服务器的内容：链接检查；CGI程序检测（如果采用此技术）；定期对web服务器进行安全检查；辅助工具：SSH；文件系统完整性检测工具；入侵检测工具；日志审计工具；第三部分web攻击与反攻击入侵检测方法：物理检查；紧急检查；追捕入侵者；攻击的类型：拒绝服务；第四部分源代码的安全及约束规则不能留有后门程序和漏洞，包括系统架构是否合理，是否符合安全需求汇编反汇编、病毒反病毒。最后，至于cookies的安全、加密技术、web浏览器的安全、web服务器的安全每个公司设置的规则都不一样，因人而异