网站安全防护解决方案

方案是一种常见的应用文内容，有着自身的格式和内容，那么一份详细的方案，应该具体包含哪些内容呢？今天小编为大家精心挑选了关于《网站安全防护解决方案》，欢迎大家借鉴与参考，希望对大家有所帮助！

第一篇：网站安全防护解决方案

网站安全防护方案

关于互联网站漏洞防护和安全

习总书记说，“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”，他特别指出，“网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。”

网站工作人员需要配合安全专员，从顶层设计上解决网络安全、平台安全和信息安全的问题，集中调度资源解决网络安全保障问题。

1、网页挂马与外链检测

每天定时检查自己的网站是否有JavaScript挂马，及时做好网站漏洞的修复，及时更新网站内容。

2、实时监测网站是否被篡改

3、敏感关键词检测

对网站所有网站页面，检测可疑关键字词。关键词模版和个性化关键词及时查找更换，

4、典型漏洞

对网站日志进行监查是否有SQL注入、SQL盲注、XSS(跨站脚本)，并做详尽的记录报告。以便后期修改做准备。

5、WEB应用状态监控

定时访问网站，分析返回页面，检测错误信息，及时发现网站访问异常。当网站不可用或不稳定时管理员及时修复，本地修复不了的及时跟服务器商联系修复。

6、服务能力和性能监测

应用各大站长工具，定时检测网站访问延时，对网站访问响应时间进行监测，访问延时波动历史和趋势做统计。当访问延时超过指定时间，及时检查网站是否有超大图片，如果不是图片问题就要检查是否是js代码问题。

7、关于已知威胁漏洞

及时了解脚本、数据库等信息，针对常见WEB服务器软件(Apache、IIS、Tomcat 等)漏洞通告，及时升级或更新软件，采取应对措施规避风险。

8、网站优化

网站内容优化，关键字密度分析，提高引擎友好度。页面标题栏(Title)的内容优化。添加并优化网站各页面的keywords及description信息(META)。分析网站代码，精简结构，减少冗余，使网站性能更优，加载更流畅。全站诊断，改进各流程操作的交互体验，有针对性的进行体验优化，降低用户操作成本，提高用户友好度。优化网站静态资源，减少带宽及服务器请求数节约带宽成本、提高服务器性能。

第二篇：网站系统安全解决方案[定稿]

营销管理平台门户WEB系统

安全解决方案

二〇一三年七月

技术解决方案

1 建设背景

1.1 背景与现状

随着信息化的日益深刻，信息网络技术的应用日益普及，网络安全问题已经会成为影响网络效能的重要问题。如何使营销管理平台网站不受黑客和病毒的入侵，如何保障营销管理平台网站核心数据传输的安全性、可靠性，也是建设平台过程中所必须考虑的重要事情之一。

 B2B电子商务网站

– 充分以客户为中心建制系统

– 支持从SAP自动同步商品、价格、库存信息

– 以类似B2C等传统电子商务网站形式展现商品，支持搜索引擎、热销排行、个性推荐

– 支持专卖店B2B客户直接在网站下单 – 支持专卖店B2B客户直接在网站在线支付

– 实现电子商务网站和SAP产品信息、订单信息、客户信息同步  B2B订单管理

– 支持订单前置处理(订单审核、货源管理、价格管理、信用管理)

– 支持订单导入SAP – 支持订单的状态和SAP状态(拣配、出库)同步 – 支持订单收货确认、财务对账

技术解决方案

页面被篡改

门户网站一旦被篡改(加入一些敏感的显性内容)，常常会引发较大的影响，严重时甚至会造成政治事件。

另外一种篡改方式是网页挂马：网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马虽然未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。

在线业务被攻击

对企业和个人用户提供在线服务，已经成为门户网站的重要功能。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。

机密数据外泄

在线业务系统中，总是需要保存一些企业、公众的相关资料，这些资料往往涉及到企业秘密和个人隐私，一旦泄露，会造成企业或个人的利益受损，可能会给单位带来严重的法律纠纷。

1.2 安全体系缺少应用防护

综合针对现有长虹网站安全数据维护经验对营销管理平台网站的网络及应用环境进行了安全分析，分析表明现有的网络架构具备较好的网络安全防御能力和操作系统安全管理能力，而在WEB应用层面缺少相关的安全防护措施和长效机制。

技术解决方案

应用服务器数据库服务器网络存储Web服务器2/3层交换机路由器Internet防火墙IPS应用前端交换机 图：网络环境拓扑

1.3 安全分析

通过杭州安恒科技工程师针在过去一年对长虹信息化网站服务器集群所进行的多次远程安全评估结果，暴露了诸多应用层安全问题。诸如长虹电子商城业务逻辑漏洞导致入侵者修改商品价格1元购机等漏洞。示例如下：

 漏洞展现：

正常购买商品下订单的同时进行WEB数据抓包获取金额数值，进行恶意篡改订单支付金额。

图 正常订单支付金额为4000元

技术解决方案

图 进行抓包操作获取金额值

图 成功修改订单支付金额

 漏洞危害：

攻击者利用该业务逻辑漏洞，通过阻碍正常用户的功能使用，或通过修改订单支付金额进行恶意拍买，将会客户自身和网上商城的运营造成严重经济损失或不良影响。

技术解决方案

1.4 应用层防护的必然性

信息安全正如木桶理论所描术的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御点采取了有效的措施。

WEB应用系统的防护需要采用专业的针对应用层的防护措施。针对WEB服务系统我们需要进行有效的防止网页被攻击或恶意篡改，杜绝因攻击而带来的恶性事件发生。针对于更为重要的电力数据我们更需要提高安全防护的水平，确保应用系统的数据不被恶意修改，敏感的数据不被非法访问或泄露。

具体的需求主要表现为以下几个方面：

1.4.1 阻断应用攻击

攻击防护方面要求专业的WEB应用防护设备进行防护，能通过对输入内容的过滤及请求过滤实现对WEB站点的保护。能有效防止跨站脚本攻击、SQL注入等常见攻击。同时还需要有强大的可定制功能，针对WEB应用系统站点的特性进行定制安全策略，从而最大程序防护WEB站点。

1.4.2 屏蔽安全隐患

为了防止服务端敏感信息泄露需要通过有效的技术手段对现有网站的敏感信息进行屏蔽，如备份文件的下载、敏感数据库下载，管理后台的外网尝试等，另外要求能屏蔽编写程序过程中遗留下的程序注释，对服务出错信息进行有效屏蔽。

技术解决方案

1.4.3 防止网页篡改

网页防篡改方面需要一种对服务器性能影响最低，但有实际有效的防护机制。能实时监测网站服务器的相关信息是否给非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。但对外仍显示篡改前的正常页面，用户可正常访问网站。事后可对原始文件及篡改后的文件进行本地下载比较，查看篡改记录，恢复被篡改的页面。

技术解决方案

2 WEB系统防护解决方案

2.1 WEB安全需求

对Web应用的安全防护主要包括如下需求：部署简便，管理集中，操作简洁，性能影响甚微。包括：

 对现有网络拓扑结构无影响。  方便管理，无需进行复杂的配置。

 对现有WEB服务器的访问速率不能造成太大的影响。  对正常业务访问不能进行错误的拦截阻断。

在需要保护的WEB门户服务器前端透明直连部署一台WEB应用防火墙，对网站实行7X24小时的实时监控，保护WEB站点数据不被攻击，避免网页篡改给网站带来的形象损害，避免信息内容不合规等;

2.2 WEB安全评估

网站安全保障是一项系统工程。网站的安全保障当前最为薄弱的环节就在于缺少对WEB防护层面的整体考虑。 针对网站的安全评估，需要使用安全扫描、渗透测试、安全监测三个方面的技术手段进行实施评估工作。

图2 安全评估手段

技术解决方案

安全扫描

安全扫描采用模拟入侵者的手法，对网站进行模拟攻击。可迅速发现大多数常见的网站安全漏洞，如常见的SQL注 入、跨站脚本、目录浏览、应用错误等漏洞。便于指导后期的安全分析和加固工作。

安全扫描器技术先进的同时也存在一些无法解决的问题，如网页内容中的恶意代码难识别、程序中的逻辑漏洞等需要人工判断的内容无法实现自动化。

安全监测

建立网站安全监测平台实现对网站内容的安全监测，主要用于对网页木马监测、网站可用性、关键字监测。

通过该平台，可以实现网页木马监测，因为网页木马不同于常规的网站漏洞，具有一定的潜伏性和隐蔽性，常规模拟入侵者的攻击无法发现木马，而需要模拟成一个有漏洞的操作系统去访问这些网页，监测有漏洞的操作系统是否会被网站植入木马。

渗透测试

渗透测试借助安全专家多年安全测试的经验，使用大量安全工具、安全方法和安全理论相结合，从攻击、防御多个角度出发去识别 网站存在的安全风险。相比于工具型扫描渗透测试更多侧重于逻辑类型的安全问题识别、需要人工辅助类型的安全问题检测，从而可以将网站的安全水平提升到一个 新的高度。

技术解决方案

例如检测出网站存某处敏感信息泄露，可能报告的是低危险级别的安全事件。然后辅助人工则可利用这个敏感信息可能进一步获取网站的管理员账户和密码信息，最终实现完全控制网站的目的。

2.3 WEB安全防御

安全防御是实践安全预警、分析、防御、加固的系统措施的过程，而非部署某一款安全产品这样简单。建议营销管理平台网站安全的防御应至少做到如下三个方面。

安全分析

安全分析是安全防御的基础，安全分析的重心是安全评估的报告和安全设备的日志汇总信息。通过安全分析可以清晰的认识到当前存在的主要问题以及所面临的安全威胁。

安全分析是一个跨部门协调的工作，通常由用户职能部门牵头安全服务商负责整体安全分析的内容纲要，由安全服务商、软件开发商、系统运维人员、业务使用代表等共同参与以最终确定安全防御的目标。

安全防护

当网站检测出有特定安全问题时将提出相应的安全应对措施。除通用的防护策略之外还提供相关的安全加固对象，满足安全加固策略的实施。

安全加固

技术解决方案

网站安全加固是一个不断改进的过程，随着业务的变更、安全研究的深入等均会促进安全加固工作的展开。

安全加固建议：采用硬件WEB应用防火墙加固的同时硬件厂商为用户方提供详细的安全加固建议，便于程序开发商修复存在的安全缺陷。

2.4 WEB安全建议

 定期进行专业的安全评估，包括黑盒测试-远程深度安全评估以及白盒测试-本地代码安全评估。

 针对安全评估结果进行专业安全整改和加固。

 建立和完善一套有效的安全管理制度，对长虹集团的日常维护和使用进行规范。

 建立起一套完善有效的应急响应预案和流程，并定期进行应急演练，一旦发现发生任何异常状况可及时进行处理和恢复，有效避免网站业务中断带来损失。

 定期对相关管理人员和技术人员进行安全培训，提高安全技术能力和实际操作能力。

技术解决方案

2.4.1 完善的事件处理

防护体系结构图

事前检查

 针对营销管理平台各WEB应用系统及部分未上线的应用系统，采用WEB应用扫描器进行一次WEB系统全面的OWASP TOP 10检测，可以帮助用户充分了解WEB应用存在的安全隐患，建立安全可靠的WEB应用服务，改善并提升应用系统抗各类WEB应用攻击的能力。

技术解决方案

事中告警

 针对各类攻击行为及异常访问行为，实时告警并通过各类方式通知给安全管理员，便于快速处理安全事件。

事后分析

 通过系统内部告警日志，实现对攻击源的定位分析，同时提供各类统计分析，方便掌握整个应用系统的动态安全状况及运行状态。

第三篇：A市政府网络安全与网站防护解决方案

【说明】(1)这是《中小企业虚拟机解决方案》一书中部分章节的摘抄。该书预计于2009年12月初由《电子工业出版社》出版，敬请期待!

(2)以本方案为蓝本的方案：《A市政府网络安全与网站防护解决方案》参加华硕服务器第四届IT硬件平台搭建大赛获得三等奖。

1 概述

根据CNCERT/CC(国家互联网应急中心)的2月份发布的统计报告，2009年1月1日至31日，我国大陆地区被篡改网站的数量为3792个，较2008年12月的1693个增长了124%，其中代号为“

如果上面的数据，表达不了网站被攻击的严重性，那么， CNCERT/CC的2008年7月份的统计报告很说明问题，大约平均每5个政府网站，就有一个网站被黑!而且，近年来，网站被篡改的数目仍然以每年2～3倍的速度在不断递增。

根据这些材料可以知道，网站被篡改、被攻击的数量是非常大的，并且递增的数目也是比较快的。 A市政府网站，在近期被黑客篡改页面的情况多有发生，即影响了政府形象，也给广大市民带来不便。怎样对政府网站进行安全防护，是市政府信息中心所面临的首要任务。

同时，政府现在有300多台计算机上网，虽然有网通、电信宽带接入互联网，但由于各种问题，终端上网速度很多，每天网络中断两、三次，只能重新启动交换机、路由器才能重新上网，但过几个小时，问题会再次出现，单位网络办公的环境也需要改造。

信息中心要求，在不改变现有网站的维护方式的前提下，对网站进行安全防护，防止网站再次被黑;在不改变现有上网设置的情况下，改变整个网络的上网环境、避免再次出现整个网络瘫痪。 经过实地考察，并与信息中心沟通，决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003，对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5，配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡;另一台服务器采用华硕TS700-E4，配置16GB内存、1个4核Intel处理器、6块SAS硬盘(其中5块硬盘做RAID

5、1块硬盘备用)、集成双千兆网卡、双电源。

2 政府网络现状与用户需求

A市信息中心是正科级全额拨款事业单位，挂靠A市政府办公室，负责全市信息化建设的规划、指导和组织工作，主要承担全市电子政务的建设和管理工作。目前，A市信息中心的内网上接市委、市政府，下联市直80多个部门、10多个乡镇、经济技术开发区。

为方便市领导上互联网的需要，信息中心还向网通、电信各申请了20M互联网带宽，通过双WAN口路由器，实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作，每个部门都建立了自己的局域网，全市办公内网的微机保有量约2000台以上，A市的信息化应用水平在石家庄市各县市区中一直名列前茅。

目前，A市政府信息化应用水平较高，有办公自动化系统、政府网站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统，这些系统分别运行在机房的多台服务器上。这些服务器，有的是一些品牌机服务器，有些是组装的服务器，配置比较低、没有提供数据的冗余与备份功能，从长远角度来看，存在安全隐患。

从今年开始，政府网站被黑客篡改首页多次，并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后，只能通过备份恢复，有的黑客向网页中嵌入广告代码，信息中心人员只能一个一个网页检查、然后删除这些广告代码，给政府网站对外宣传带来了负面影响，也给信息中心人员的管理人员带来了压力。

同时，随着近几年来，网上办公的兴起，政府楼内接入网络的计算机越来越多，另外，随着职工使用计算机水平的提高，管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏，占用了网络带宽，导致上网越来越慢。在每天上网高峰的时期(上午10点半左右、下午3点左右)，网络缓慢的几近打不开网页，只能通过重新启动交换机、双WAN口路由器的方式，恢复网络连接。

另外，当每次大规模的病毒爆发时，例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒，都会导致整个网络瘫痪。

市政府信息中心对外面临政府网站被黑客攻击、修改页面，对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力，可以说，整个网络安全状态已经到了不得不改的情况。

政府信息中心的需求主要包括以下几个方面：

ü 保护政府网站不被黑客入侵。

ü 解决局域网上网速度慢的问题。

ü 解决整个网络经常感染木马、病毒的问题。

ü 减轻信息中心人员负担。

3 方案设计

在方案设计之前，需要详细的了解现有网络的状况。经过信息中心人员进行介绍，并经过实际考察，画出A市政府现有网络的拓扑图，如图1所示。

图1 A市政府网络拓扑

A市政府各有20M光纤分别接电信、网通(现联通)访问Internet，这两条光纤通过“光纤收发器”转成RJ45网线，接在一个双WAN口的路由器上，用做代理服务器。该双WAN口路由器LAN口接到三层交换机上，三层交换机划分了多个VLAN，每个楼层属于一个VLAN，并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同一台服务器上，直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址(192.168.1.8)，Internet上的用户通过政府网站域名访问，政府内的人员都是直接使用IP地址192.168.1.8访问政府网站，信息中心工作人员是使用19

2.168.1.8来访问与维护网站、更新网站内容。

3.1 网站频繁被黑的原因与解决对策

经过分析，发现网站频繁被黑的原因可能如下：

ü 操作系统漏洞：网站服务器的操作系统是Windows 2000 Server，虽然现在Windows Server 2008已经发布，Windows Server 2003应用也很成熟，但由于各种原因，服务器操作系统一直没有升级，另外，也没有及时的更新各种补丁。

ü 数据库漏洞：数据库使用的是SQL Server 2000，同样，也没有打补丁。

ü 网站代码漏洞：政府网站，是由信息中心的人员，在2001年左右，在网上下载的代码的基础上，修改成的。由于开始的时候，网站被攻击的事情很少发生，所以，信息中心的人员忽视了这方面的情况。这些网站代码中，存在SQL Server注入漏洞、文件上传漏洞、Shell漏洞等，而后台管理密码也是比较简单。

针对网站被黑的原因后，首先提出如下的解决方法：

ü 及时更新操作系统补丁与数据库的补丁。

ü 升级操作系统与数据库：由于Microsoft已经不对Windows 2000与SQL Server提供支持，建议将将Windows 2000 Server升级到Windows Server 2003，将SQL Server 2000升级到SQL Server 2005。

ü 修改网站代码，避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。

虽然知道需要修改网站代码防止网站被黑，但实际上，政府网站已经使用多年，短期内对政府网站做大的修改不容易实现，只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点，决定采用如下的技术措施：

将政府网站分成两个相同的站点，一个站点用于对外发布，供市民、网民通过Internet浏览、查看内容，另一个网站专门用于信息中心人员维护，该网站只能通过内网访问，这两个网站使用同一个数据库。而发布到Internet上的网站，其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库，而用于内网维护的网站，其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外，在双WAN口路由器与三层交换机之间，增加一级代理服务器，采用ISA Server做软件防火墙与代理服务器，用ISA Server的“签名”等功能，通过过滤关键字的功能，防止文件上传漏洞、Shell漏洞等。

3.2 内网速度慢的原因与解决方法

对于局域网内，计算机速度慢、网络速度慢、经常感染病毒等问题，简单来说，如果升级计算机的配置、增加出口带宽的速度，是可以解决问题。但是，这些都是不现实的，另外，这也不是解决问题的根本方法，即使用这种方法解决了现在的问题，但过段时间，同样的问题仍然会继续。 在用户现场，经过进一步分析、调查与判断，得到如下的结果：

(1)内存不足导致运行缓慢。

大多数的计算机内存都比较小，主要是256MB内存。而杀毒软件，大多数用户使用的是“瑞星”，不可否认，瑞星杀毒软件占的资源比较大，在现在主流操作系统是Windows XP SP2的情况下，安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件，与常用的办公软件，例如Office、WPS后，系统内存占用的资源已经到了170多MB，在打开网页时，由于现在网页中图片、广告很大，IE浏览器少则会占用30MB、多则占用几百MB甚至上GB的内存，当主机内存不够的情况下，会使用硬盘空间作为交换分区(虚拟内存)，这样就造成了计算机速度变慢。

(2)病毒占用系统资源。

许多计算机没有打“补丁”，在浏览一些网页时，感染了木马或蠕虫病毒，有的计算机感染了ARP病毒，所以在计算机启动的时候，这些木马或蠕虫，试图通过网络感染给其他计算机、或者试图连接广告站点，占用了系统资源，这是计算机启动慢、反应慢的最主要原因。

(3)带宽被占拖慢网速。

单位提供4MB带宽，本来是为单位上网(浏览网页)、收发邮件等正常办公使用，但近一两年来，许多用户使用计算机“水平”越来越高，一些员工在工作时间看在线视频，或者玩游戏，使用讯雷或BT下载电影，占用了大量的网络带宽，而双WAN口路由器没有流量监控与流量控制功能。经过实际测试，在看“新华网”的在线视频时，单一视频流就会占用800KB以上的带宽，理论上讲，只要单位中有20个人看新华网的在线视频，就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。

对上述这些情况，可以通过打补丁、更新杀毒软件等方法解决，主要内容如下：

(1)使用微软免费产品WSUS

使用Microsoft提供的专门用于企业用户的升级服务器-WSUS，统一为网络中的计算机“打”补丁。采用WSUS，将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服务器的方式获得补丁，即提高了更新补丁的速度，又节省了出口带宽。例如，Windows XP SP3补丁大约300MB，如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级，以100台工作站为例计算，需要下载300MB×100=30GB，而采用W

SUS，只需要WSUS从Microsoft升级服务器下载300MB补丁，其他工作站直接从WSUS即可获得补丁。

(2)使用ISA Server禁止无序下载、限制每台计算机的并发连接数量

在双WAN口路由器与三层交换机之间，增加ISA Server防火墙与代理服务器，使用ISA Server，禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频，并限制每个计算机的并发连接数量。

(3)采用占用资源较小的杀毒软件

网络版杀毒软件太贵，可以购买支持局域网升级的杀毒软件，例如以前的金山毒霸、江民，现在的NOD

32、卡巴斯基。考虑到客户端计算机配置比较低，可以选择占用资源比较低的NOD32。这样，改进后的网络拓扑如图2所示。

图2 配置防火墙与升级服务器

3.3 最终方案

在确定了网站防防护、内网安全与改造方案后，对这两个方案进行综合考虑，同时，考虑到原来的网站与OA服务器，已经使用多年，也到了升级的时候，而WSUS与NOD32服务器占用的资源并不是很多，单独放置在新买的服务器中，对服务器的资源是一种浪费。经过多方面分析，我们推荐如下的综合解决方案：

(1)购置一台高配置的、具有磁盘冗余的服务器，采用虚拟化技术，在一台服务器上实现两台虚拟机，其中一台虚拟机放置政府网站与OA网站，另一台虚拟机放置WSUS升级服务器与NOD32服务器。

(2)配置一台多网卡的、安全稳定的服务器，添加在双WAN口路由器与三层交换机之间，安装ISA Server 2006软件，做防火墙与代理服务器。

(3)修改双WAN口路由器的LAN端口地址，改为192.168.200.1，而原来的192.168.250.1用在新的ISA Server服务器接三层交换机的网卡上，ISA Server服务器接双WAN口路由器的网卡设置IP地址192.168.200.2/24。在双WAN口路由器上，设置TCP协议80端口转发给192.168.200.2，再由ISA Server转发到政府网站服务器192.168.1.8。

(4)网络中的所有工作站，配置使用局域网内的WSUS服务器进行补丁的升级，统一卸载以前的杀毒软件，改为统一使用NOD32，并指定从信息中心NOD32服务器进行升级。

(5)在ISA Server上发布政府网站，并对网站进行保护。

(6)迁移网站到虚拟机1中，并将网站分成用于Internet发布的外网网站、用于内网管理的网站。

在方案实施中将详细介绍每一个细节。如图3所示，这是网络最终的拓扑。

图3 A市政府网络安全改造方案拓扑图

3.4 方案特色

由于选择了高配置的华硕服务器，以及使用VMware ESX Server虚拟化产品，以后再需要其他服务器时，不需要再购置新的硬件，只需要在VMware ESX Server中创建新的虚拟机即可以满足应用。在本次方案中，配置的华硕TS-700高配置服务器，可以同时运行8～16台虚拟机，足可以满足现在以及将来一段时间的需求。同时，在采用虚拟化技术后，减少了服务器的购置需求，并减少了服务器在以后运行中的耗电，近一步降低了产品的使用费用，符合绿色环保、节能的需求。

6 方案实施

在硬件、软件到位后，开始对A市政府网络进行改造，在改造的过程中，会中断网络，为了不影响大家工作，建议在休息时间，例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试，大约需要1天的时间。方案的实施步骤如下：

6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙

在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版，并接在双WAN口路由器与三层交换机之间，相当于在整个网络中，增加一个“软件”防火墙，然后修改配置双WAN口路由器的配置，并转发TCP的80端口到ISA Server，再由ISA Server转发到政府网站服务器。主要步骤如下：

(1)安装32位的Windows Server 2003企业版，在安装的过程中，将硬盘划分为3个分区。分区按照2：3：2的比例。安装系统后，安装驱动程序。

(2)配置双WAN口路由器，将LAN口的IP地址由192.168.250.1修改为192.168.200.1/24，并转发TCP的80端口到192.168.200.2。并添加到192.168.0.0/18的静态路由，指向192.168.200.2。

(3)将服务器接入网络，其中一块网卡接到双WAN口路由器的LAN口(代替原来接三层交换机的端口)，设置这块网卡的名称为“Internet”，设置IP地址为192.168.200.2/28，网关地址为192.168.200.1。设置另一块的地址为192.168.250.1/24(不设置网关地址)，将这块网卡连接到三层交换机原来接双WAN口路由器的端口，命名这块网卡为LAN。配置好后，使用ping命令，检查网络的连接是否正确，无误之后，在命令提示符下键入如下的命令，以增加到192.168.0.0～192.168.63.0/24的路由：

route add –p 192.168.0.0 mask 255.255.192.0 192.168.250.2

(4)安装ISA Server 2006，并将ISA Server 2006安装在第2分区。安装完成后，配置ISA Server 2006，其内网地址是192.168.0.0～192.168.63.0/

24、192.168.250.0/

24、192.168.200.0/24网段。

(5)配置ISA Server 2006，允许“内网”访问“外网”，此时，局域网内的计算机应该可以访问外网。

有关这些操作的详细步骤，在我的博客中已经介绍过，不再一一介绍，如有兴趣，请参见我博客中的其他文章：

用ISA Server 2006做VPN服务器

使用ISA Server发布服务器

安全连接Internet-让ISA Server 2006做为企业中的

只有经过身份认证的才允许上网!-----------ISA Se

关于WSUS服务器的几个问题 公司的网络为何如此缓慢

使用ISA Server保护内部的web服务器

第四篇：网站被黑有哪些防护解决建议

网站如果做的太好的话可能会遭到别人的恶意攻击，网站被黑了也不要特别慌张，要找到正确的解决方法，网站被黑该如何解决呢 ?网站被黑有哪些防护建议?下面就让我们一起去看看吧。

网站被黑有哪些防护建议

1.定期的更新服务器系统漏洞(windows 2008 20

12、linux centos系统)，网站系统升级，尽量不适用第三方的API插件代码。

2.如果自己对程序代码不是太了解的话，建议找网站安全公司去修复网站的漏洞，以及代码的安全检测与木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司，做深入的网站安全服务,来保障网站的安全稳定运行，防止网站被挂马之类的安全问题。

3.尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

4.网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。

网站被黑该如何解决呢

1、最直接的方式：关闭网站

百度统计后台有关闭网站的功能，可以直接选择关闭。如果是个人小站还好，但如果是企业站的话，一般直接关闭网站就不太现实了，一旦关闭网站，企业损失一般很大。

2、最彻底的方式：启用网站备份文件

在网站被黑之前，我们就要对相应的数据库和文件进行备份，这样能更好地保证网站的安全，同时网站遇到被黑的情况时也能很快的恢复网站的运营。

3、网站被黑后，要立马找出黑链，并迅速予以删除。

4、要及时提交死链给百度等主要搜索引擎，推荐在一个404txt文档列出所有的死链，然后上传到FTP空间根目录下，把地址提交给百度即可。

5、Robots文件的设置，把删除的死链的相关文件设置为不允许抓取。

以上就是有关网站被黑的相关介绍，网站被黑之后要立马找到黑链并删除，如果你对这方面不是很了解的话可以去专业的店里解决。

第五篇：教育行业网站应用安全解决方案使用北京智恒公司的啄木鸟扫描软件

本文由powerwdie贡献

pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。教育行业网站应用安全解决方案

根据教育行业网站安全的现状及安全风险分析， 智恒联盟应用安全团队通过对教育行业网 站安全多年的研究、 调研， 针对教育行业网站安全提出了全新的安全防护方式， 采用 WebGuard 网页防篡改保护系统+WebPecker 网站综合威胁检测系统，完美的解决教育网站安全防护问题 免遭黑客攻击篡改，防患于未然。 利用 WebGuard 网页防篡改系统保护网站内容安全 WebGuard 网页防篡改保护系统由北京智恒联盟科技有限公司根据长期对 Web 站点进行安 全研究成果自主研发的高可靠性、高安全性以及高易用性的软件系统。主要用于保护站点内 容安全，防止黑客非法篡改网页，保护公众形象。该系统也是国内唯一通过国家严格检测的 第三代网页防篡改技术。 系统组成 WebGuard 系统包含三个部分：监控代理客户端，管理中心服务器和管理客户端，各部分 功能如下： 1. 监控代理客户端(Monitor Client Setup)安装在 Web 站点服务器上，根据服务器 数量购买客户端数量，主要用于监控站点状态，执行管理中心所配置的策略; 2. 管理中心服务器(Center Server Setup)建议部署在独立 pc 服务器上，若所管理 的 web 服务器数量较少，也可以同时部署在管理客户端;主要用于用户管理，策略 下发，日志监控，以及管理各代理客户端; 3. 管理客户端(Console Setup)部署在网管员任意一台计算机，可以由单台 pc 机替代， 主要用于登录管理中心服务器进行配置管理 WebGuard 中心服务器;

系统结构示意图

各组建之间通信采取完全加密传输，包括数据传输，用户认证等，确保通信的保密性。 系统主要功能： 基于驱动级文件保护技术，支持各类网页格式，包含各类动态页面脚本; 完全防护技术，支持大规模连续篡改攻击防护;

系统后台自动运行，支持断线状态下篡改监测; 驱动技术完全杜绝被篡改内容被外界浏览; 支持多站点分布式部署，统一集中管理功能; 支持大规模虚拟机、双机热备网站系统部署架构; 支持单独文件、文件夹及多级文件夹目录内容篡改保护; 支持网页格式类型分类，便于分类管理; 支持网页自动上传功能，无需人工干涉; 支持异地文件快速同步功能和断点续传功能， 极大的增加网站整体安全性和稳定性; 支持多用户管理功能，方便操作; 支持网页自动同步新增、修改、删除等功能; 自动检测文件攻击记录，并实时记入日志，支持导出excel报表; 支持服务器多种远程管理功能，如远程接管、远程唤醒、远程关机、远程用户注销 等; 系统C/S结构，确保高可靠性; 支持多个策略管理，策略设置支持即时生效，无需重启; 支持服务器冗余双机及负载均衡分布部署; 支持多种告警方式，日志告警、声音告警、邮件告警或定制其他告警方式; 支持用户认证，采用加密传输，安全可靠; 系统全中文界面，操作、配置方便，网络管理人员仅需十分钟即可熟练完成系统初 始配置，大大提高工作效率; 支持当前所有主流操作系统和web服务器。 网站动态自适应攻击防护模块主要功能： 支持SQL注入攻击防护; 支持跨站脚本攻击防护; 支持对系统文件的访问防护; 支持特殊字符构成的URL利用防护; 支持对危险系统路径的访问防护; 支持构造危险的Cookie攻击防护; 各类攻击的变种防护; 支持自定义检测库; 规则库支持在线升级功能。 技术特点： 完全基于事件触发机制，避免服务器资源额外开支; 文件驱动保护技术，确保系统稳定、安全、高效; 不限制网站发布服务器类型，实现高可用性和扩展性; 文件传输过程加密技术，防窃听和防篡改。

WebGuard 教育系统应用示意图

针对教育行业网站的具体环境，通过在对外门户网站上部署 WebGuard 网页防篡改监控代理端， 用户保护网站内容，防止网页遭到恶意篡改，同时在内容发布服务器或应用服务器上部署 WebGuard 管理服务器及可信代理端，用于网页内容同步、策略指定、日志收集，在

中心管理区或教师用户区 部署管理客户端(Console)用户远程登录管理，以上构架可以完全满足教育系统对网站内容防护的 具体需求，保障学校门户网站的安全。 利用 WebPecker 对网站系统进行综合威胁检测 “WebPecker 网站啄木鸟”综合威胁检测系统是北京智恒联盟科技有限公司技术研究团队多年 深入研究当前各类流行 Web 攻击手段(如网页挂马攻击、SQL 注入漏洞、跨站脚本攻击等)的经验 结晶。通过本地检测技术与远程检测技术相结合，对您的网站进行全面的、深入的、彻底的风险评 估，综合性的规则库(本地漏洞库、ActiveX 库、网页木马库、网站代码审计规则库等)以及业界 最为领先的智能化爬虫技术及 SQL 注入状态检测技术，使得相比国内外同类产品智能化程度更高， 速度更快，结果更准确。 经过数百个用户的实践证明， “网站啄木鸟”是 Web 安全性价比最高的产品，相比国外的 Web 安全扫描产品来说，速度快，具备紧密跟踪国内最新网页木马的快速响应及更新能力。 系统核心技术 SQL 注入网页抓取 Webpecker 的网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。 广度优先 的爬虫技术的不会产生爬虫陷入的问题，网站目录还原技术则去除了无关结果，提

高抓取效率。 SQL 注入状态扫描技术(非错误检测) 此方法不依赖于特定的数据库类型、设置以及 CGI 语言的种类，对于 注入点检测全 面，不会产生漏报现象。而常见的 SQL 注入扫描产品均不具备此项技术。 注入验证基于注入状态 Webpecker 采用状态检测来对数据库的数据进行猜解，无论网站采用什么 CGI 语言， 无论网站是否反馈错误信息，都能进行正常的猜解。

主要功能如下： 模块 功能 本地漏洞检查 说明 目的是检查 Web 服务器是否存在常被网页木马利用的 漏洞。服务器安全是 Web 安全的基础，所以此检查很 重要。 当前，很多的网页木马都是利用 ActiveX 进行攻击， 如果服务器不幸安装了存在漏洞的对应软件，遭受攻 击的风险就会很大。业界唯一包含此功能的产品。 仅仅保持服务器安全是不够的，还得保证网站代码是 安全的。此功能用于检查网站代码的安全性，提示代 码中存在的安全问题。此功能是安全研究团队多年实 践的结晶。 如果被搜索引擎认定为是恶意网站，对于网站的声誉 来说影响很大。此功能用来判断网站是否被搜索引擎 收录为恶意网站范围。 业界领先的远程网页木马扫描技术，智能化爬虫技术 与检测技术的完美结合，让您及时了解网站是否被挂 马，挂在哪个文件，哪一行，让您面对网页挂马的恶 劣环境，更有信心。 此功能用来检查网站是否存在 SQL 注入，使用了状态 检测技术，不同于目前国内外产品常用的基于错误的 检测技术，加上先进的向量比较算法，使得结果更精 确。同比之下，国外的产品很可能会报出上千条漏洞， 误报太多。 跨站脚本的危害越来越大，攻击者通过跨站攻击可以 获得管理员、高级用户的信任关系。此功能用来全面 检测网站代码是否容易遭受跨站脚本攻击。 目前很多的网站基于内容管理系统(CMS)构建， 但是攻 击者往往通过寻找管理入口的方式来获得对后台的控 制。此功能用来检查网站管理入口设置是否安全，是 否容易遭受攻击。 国内外同类产品不具备的功能。采用状态检测来对数 据库的数据进行猜解，无论网站采用什么 CGI 语言， 无论网站是否反馈错误信息，都能进行正常的猜解， 结果更准确。 商业机密信息对于企业来将最为重要。此项功能用来 检查网站是否存在敏感信息，防止重要的信息泄露或 非法言论通过网站进行传播。这对于您的企业维稳来 说很重要。

漏洞检查

危险 ActiveX 检查

网站代码审计

恶意网站判断 木马检测 远程网马扫描

SQL 注入扫描

跨站脚本扫描 Web 安全 管理入口检查

SQL 注入验证

敏感信息

敏感信息检查

WebPecker 教育系统应用拓扑图