Web入侵防御系统的设计与实现吴林桦摘要：互联网时代，人们均将大量的个人信息或企业信息存储到计算机当中，所以计算机的安全性是用户较为关注的事情，假如计算机安全性能不强，则对用户或者企业造成大量的风险。在计算机安全当中，首当其冲的是Web服务器安全，本文首先对几种Web常见的威胁进行分析，以此为导向，进行Web入侵防御系统的设计，提升用户的网络安全性能，降低信息泄露风险。关键词：计算机：Web服务器：网络安全：防御系统随着计算机革命的逐步深入，不断提升生活的便捷性，但是网络安全也逐渐引起了人们的重视，如何确保每台连接网络的计算机均不受到黑客或者病毒的侵袭，是每个在计算机领域研究者的重任，在互联网时代，其风险程度往往超越传统环境风险，Web服务器也受到风险。黑客或者病毒侵袭web所用的方式基本是基于HTTP协议衍生的，传统的防火墙已经不能为web提供安全程度较高的保护，本文正是基于此，提出提升web服务器安全的保护系统，并将之设计与实现。一、Web服务器常见的威胁1.缓冲区溢出缓冲区溢出这种攻击方式主要是利用溢出漏洞进行攻击，最为简单的解释就是通过输送庞大的数据包冲击缓冲剂容量，从而让合法数据遭到溢出数据的覆盖，然后威胁Web服务器的安全。并且这种攻击方式较为常用，也很难杜绝，在Web服务器运行的时候，无法对所有进入数据均实行安全性能检测，因此就不能杜绝这种缓冲区溢出攻击方式。2.SQL注入攻击这种方式的攻击通常是黑客的常用手段，主要攻击方式是针对数据库，在系统设计的时候，受限于程序编写人员的经验和水平，促使在程序编译过程当中，缺乏对用户数据输入时是否合法进行效验和判断，提高了该种攻击方式的隐患。3.基于脚本的DDos攻击Ddos主要是通过大量的“僵尸主机”发送网络包给予受害主机，让受害主体的网络出现堵塞，最终出现网络瘫痪现象。二、Web入侵防御系统的措施在互联网系统当中，面临攻击最多的是Web，最为薄弱的也是Web，所以成为大多数黑客入侵的重点灾害区，如何防御这些恶意攻击，就需要设计较为完善的防御系统，本文主要通过注定策略用以效验和检测他人访问Web的行为，规避他人利用权限问题进行入侵，有效避免Web受到非法攻击，保障Web服务器的安全。1.主动防御措施IDS是入侵檢测系统，本文主要是防御入侵，所以重点在于IPS，入侵防御系统。IPS能够对网络进行实时监控，包括网络数据传输行为进行管控，从而提高网络的安全性能，并且该系统能够在发现危险时，进行中断，或者隔离一些存在威胁的数据或者流量传输。IPS主要是通过监管网络流量而产生工作，实现防御功能，其主要的流程如下：首先通过网络端口接收外来数据或者流量，然后进行安全检查，确定其中无可疑数据之后，才进行数据传输。最后将安全的数据信息通过端口发送至内部系统当中，在检测过程当中，将富含可疑数据的信息进行清除或隔离，以此来提升网络的安全性。2.运用IWSA有效防止病毒及间谍软件的入侵IWSA不是软件产品，而是归属于硬件产品，IWSA能够独立运行，为网络提供安全程度较多，灵活度较强的防御策略。其主要的工作方式是通过目前较为主流的“云”技术，利用“云”对通过Web的数据进行扫描，优点较多，同时还能防御钓鱼软件，进行过滤操作，是目前企业网络当中，最为常用的方案。针对这种情况，还设计了一款专门用于防御Web攻击的SWSA5000，为企业提供实时、动态的网络安全保护，通过周密的检测，为企业剔除不安全数据源，清楚恶意程序，提升内部网络的安全性。3.应用层防火墙技术的运用Iwall是应用层防火墙技术的佳作，能够保护Web应用的安全，当通过利用Http进行数据操作时，进行数据操作分析和检测，帮助用户规避操作失误引发的网络威胁，抵御主观操作导致的恶意攻击，通过访问时提示或报警引起用户的警惕。Iwall能够杜绝非法脚本、源代码泄露以及敏感文件访问等攻击行为，为网络安全提供周密的防护效果。4.系统体系结构的设计在网络系统搭建的过程当中，存在两种，一种采取的多层结构，另外一种是单层结构。多层结构主要通过层与层之间的模块进行区分，在层与层进行数据传输时，利用两者的通用接口进行，而单层系统，是相互交叉使用，两种方式各有利弊，多层结构主要提升了系统的扩展性，单层结构能够提升系统的效率，因为本文设计的系统需要满足多种情况下运行，所以采用多层结构方式。Web防御入侵系统主要存在三层：第一层为解析及响应、第二层为策略引擎、第三层为数据管理。其中第一层解析及响应层，主要是对用户的主观行为进行防御，用户通过http进行网络访问时，将用户的访问进行解析和响应。当用户进行数据库的访问时，通过调用策略引擎介入，以此提升客户端访问信息的检测，从而将用户的操作进行响应，因为这一层主要是调用其他层次进行防御，所以可进行封装处理。第二层是策略引擎层