首先先分析发布网站的具体步骤,分析完之后在进行网站安全的讲解。网络环境:公网动态IP,且80端口正常在内网使用nat123动态域名解析。使用自己的域名,并设置域名由nat123解析。可直接用提示自定义域名。
动态域名解析生效后,域名将实时解析到本地公网最新IP。如网站主机有经过路由器,即公网IP是在路由器上,需要在路由器上转发规则设置80端口映射。 域名解析生效后,即可用域名访问网站。
现在分析维护网站安全的方法:网络层防御:在部署过程中,建议采用异构的二路防火墙方式。也就是,使用不同厂家不同型号的两种防火墙,分别来作为企业的内部和外部防火墙,这样,能够很好地达到分离内外网以及安全增强的目的,这样即使一路防火墙被攻击,也很难影响到二路防火墙,因为黑客需要更多地精力来对不同的防火墙进行分析和实施攻击行为。如下图所示的异构二路防火墙部署方式:
应用层防御在防火墙的后面,加入应用层防御的设备,如IPS(Intrusion Prevention System,入侵防御系统)、WAF(Web Application Firewall,Web应用防火墙)、UTM(Unified Threat Management,统一威胁管理)等,对来自外部企业门户的网站从应用层(包括URL链接、网页内容等)进行细粒度的过滤和检测,出现恶意内容等及时进行阻断。并且,对于SQL注入攻击、缓冲区溢出攻击、篡改网页、删除文件等也有很好的抑制和阻断作用。
加密通信数据:在使用SSL的过程中,首先需要申请好相应的数字证书。一般来说,有两种处理方法。1)一种是申请权威机构颁发的数字证书,如VeriSign,GlobalSign等机构颁发的数字证书,这需要一定的费用,好处是当前几乎所有的主流浏览器都能够很好地支持,也就是只需要在企业门户网站的服务器上部署该证书即能在客户端和服务器端建立SSL加密通道;2)另一种是由企业使用OpenSSL等开源工具来生成相应的根证书和服务器证书,这样能够节约一大笔费用,但是缺点是主流浏览器并不能很好地支持,需要在客户端和服务器端分别部署根证书和服务器证书,这样在客户端非常多的时候不好处理,同时用户体验也很差。