【拯救赵明】网页防篡改方案

部网站因需要被公众访问而暴露于因特网上，因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷，防不胜防。黑客入侵和篡改页面的事件时有发生。针对此，网页防篡改系统应运而生。目前市场上的网页防篡改系统产品还比较单一，且部署网页防篡改系统，需要改变现有的单服务器模式，增加服务器，改变服务器的架构，软件价格也偏高。

一个网站在Internet上发布，需要依赖两个服务，一个是操作系统提供的http服务，另一个就是网站自身组成页面所提供的页面服务。由于现代操作系统的复杂性和多样性，以及构成网站的页面（如静态网页、执行脚本、二进制文件等）日趋复杂，可以预知，在现有技术架构下，网站漏洞将长期存在，这就给网页篡改带来了技术上存在的可能性。

作为面向整个互联网开放服务的网站所面临的安全威胁主要有两种：一类是DDOS攻击造成拒绝服务，该攻击发生后将导致网站无法访问，后果是很明显的。二类是主机服务器被入侵造成网页被篡改、数据被破坏等后果。赵明实际上也在面临着这一类的问题。

互联网络作为一个开放的网络，任何国内和国外的来访者均可有可能对网站实施攻击，因此网站安全防护工作的难度是可想而知的，鉴于来访者的不确定性和不可控性，应该优先考虑做好技术防范工作，主要可采取以下技术手段：

1、给服务器打上最新的安全补丁程序：这些补丁程序包含操作系统、应用程序、数据库等，都需要打上最新的安全补丁，这个步骤是非常必要的，因为是程序内部的问题，是安全产品难以替代的，主要是为了防止缓冲溢出和设计缺陷等攻击。

2、封闭未用但开放的网络服务端口：对于Windows 2000而言可以用TCP/IP筛选器，对于Windows 2003可以用自带的防火墙，当然也可以通过操作比较复杂的IP安全策略来实现，Linux可以用自带的IPTable防火墙，本工作是一个非常简单的任务，但会大大降低服务器被入侵的可能性，请务必实施。

3、合理设计网站程序并编写安全代码：网站目录设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置，尽量不要采用第三方不明开发插件，将网站的程序名字按照一定的规律进行命名以便识别；编写代码过程重要注意对输入串进行约束，过滤可能产生攻击的字符串，需要权限的页面要加上身份验证代码。

4、设置复杂的管理员密码：无论是系统管理员Administrator和Root，还是FTP及网站管理员的密码，都务必要设置为复杂密码，原则如下：

（1）不少于8位。

（2）至少包含有字母大写、字母小写和数字及特殊字符（@#!$%^&()等）。

（3）不要明显的规律。

5、设置合适的网站权限：网站权限设置包括网站目录文件的权限和网站虚拟目录的权限，网站目录文件权限设置原则是：只给需要写入的目录以写的权限，其它全为只读权限；网站虚拟目录的权限设置原则是；只给需要执行脚本的目录赋予执行脚本的权限，其它目录均为无。

6、安装专业的网站防火墙：很多网站安装有防火墙仍然被黑客入侵了，经过分析发现，其实这些用户大多安装的是普通硬件防火墙或个人防火墙，普通硬件防火墙大多是以过滤IP和端口为主，辅以NAT地址转换和身份认证等管理功能，对于网站安全防护方面几乎没有什么价值，而个人防火墙是面向个人电脑不太考虑可靠性和资源占用，实际应用上不仅对网站防护起不到作用，相反可能会导致网速变慢、系统不稳定等问题。

7、防止ARP欺骗的发生：从ARP欺骗其实就是利用了ARP包不经认证的特点，比较有效的是在路由器和交换机上对IP和MAC进行绑定，不支持绑定的可在服务器上设定为从服务器到网关为静态ARP表，命令为：

C:\>arp -s 网关IP 网关MAC地址

建议将以上命令保存为批处理文件，设定为服务器启动时运行，可放在计划任务中。

本文出自 “bigrobin的博客” 博客，谢绝转载！