第一次部署WEB,WEB服务器是不是只需要部署在防火墙后,就能保证web服务器的安全?
第一次部署WEB,WEB服务器是不是只需要部署在防火墙后,就能保证web服务器的安全? --------------------编程问答-------------------- 设置防火墙的目的,是按照设置要求,将资源保护起来。这是指内网。主要就是协议处理机,或者协议处理机的有序或无序集合。
它是按照访问控制规则的。
如大家所知,既有由内向外的,又有由外向内的。
主要概念:1、协议处理机。2、访问控制。3、规则。4、包过滤、应用网关防火墙。
使用防火墙,使得有些访问被禁止。例如,禁止某些外部IP地址范围(如敌对国家)对内网的访问。禁止内网全部或局部IP地址集合访问某些外部地址。
不论是内外向的,都是作为中间组织,截留双向通过的协议数据包,进行分析,象源IP地址,或宿IP地址,非法时,禁止这些协议通过。
但协议处理机,就我个人的分析经验而言,是比图灵机、自动机复杂得多的机制,如果分析其编程过程,就会发现问题。因为没有证明协议处理机其本身是安全的。
更何况,安全性除了保密性、可用性、完整性、拒否认性这几种耳熟能详的信息安全的特性之外,针对具体的机制、机制的不同状态、机制作用的随机过程(随机过程论),都会有不同。
根据对《模型论》的初步的理解,其研究到设计的模型亦会存在盲区。 --------------------编程问答-------------------- 模型的博文
http://hi.baidu.com/ftai
一、谈谈准备怎么研究、分析
也就是对计算机系统下,或者便于计算机系统处理情况下,的《模型论》。
模型一般就是系统级的模型,是系统的模型。
而系统的要素,从一般《数学建模》书籍来看,也可以用数学方程来建模。
建模的是有其目的的,关于系统模型建立的目标论,是《系统论》、《模型论》和《目标论》的结合,结合具体情况,可以进行深入的具体分析。
是《模型论》研究极其重要的开篇。
只有从特殊的情况中,分析和总结出典型系统下的建模目标问题的重点特征。只有适用于一个领域的,没有非常情况都可适用的东西。
本篇博文,由于本人有22年的计算机科学工作经验,准备结合计算机和模型论的相关因素,进行讨论和分析。
试图推理出适合于计算机技术的模型建立和应用理论,或者使用模型论指导来应用计算机技术处理现实问题。
模型是在一定限制条件下的系统的总体效果图,描述了系统的具体规律,在反复修正的情况下,可用于指导工作和实践。精确的模型可对系统及系统要素的运行规律作出具体的推断,模糊的模型可对整体效果作出是或否的评判。
物理模型有位置观念,象本人评审过的中国科技大学投稿中国控制会议CCC08的关于“弹性梁”的一篇论文。
化学模型,则可以理解为组成物质之间广泛的作用。
计算机模型,有物理模型的,象CPU体系结构模型图。更多的是进行比较复杂和比较简单的数据处理,是数学方程。
二、为什么要在模型理论中提出便于计算机处理的问题
一个系统不好分析时,就建立一个考虑了主要因素的模型。象经济学相关的税控模型。
三、模型论问题一定要用计算机吗?估计用模型问题
一个是迅速性的作用。
二是整体效果。三是估算本身具有快速性。四是不需要精确的模型的情况。五是模型只是初始模型,需要反复修正。修正的时间范围为系统的唯一性存在的时间区间内,也就是系统存在着,就会变化,反映其特征和本质的模型,就需要不停地修正。但不能陷入“不可知论”的泥潭。
六是,模型本身的作用具有相对性,不是所有的模型都能准确发生作用。
七是,错误的模型会错误地发生作用,反映错误的特征,不代表系统的本质特征。
四、模型论实例的过程、步骤
第一,对系统、子系统及其内部要素、要素之间的联系,确定基本情况。
第二,了解和熟悉旧有模型。
第三,分析旧模型是不同类型的模型(例如是物理模型,不是计算机方便处理的模型)。
第四,分析旧模型集合中不能发生有效作用的模型。
第五,对系统较具体的内部元素,大致试图进行研究和分析。
第六,对系统内部具体的作用,大致试图进行研究和分析。
第七,
五、模型论实例步骤的解释
六、模型处理的范围,内部边界和外部影响因素
七、模型所处的平台
八、模型建立者,人的因素,和工具的因素
九、模型的测试、检验
十、模型论与集合论,模型组成的集合
十一、模型论和目标论:模型的应用目标,模型的建立目标
十二、模型论和系统论:模型和系统的结合。模型是系统的模型
十三、模型论和过程论:模型建立过程,应用过程
--------------------编程问答-------------------- 上面的内容有点虚,呵呵。
但没有经过检验的模型,是肯定有问题的。特别是,要设计该模型的需求,是大家大致可以通过攻击该防火墙分析出些名堂的。
网络通信,就是客户端,加通信信道,加服务器集合。
协议如果是经过验证的,还好。问题是现在的防火墙七国八制。
而且,该防火墙是寄生系统,这个意思很明白,它和寄主系统的共存系统,会有系统理论中的诸多问题,会发生诸多现象。因为协议相当于指令(个人对协议的一种方言性的解释),协议是通信规程嘛,给对端指令,因为它是复杂的自动机系统,必然作出反应。同时,具有过程特性。还会涉及资源问题。 --------------------编程问答-------------------- 楼上的回复似乎都很.......不靠谱
不如直接回:除非拔了网线,否则没有100%安全。安全措施只能提供一定程度的安全保障。 --------------------编程问答-------------------- 防火墙会划分出untrust/trust/dmz三种区域
你的WEB服务器就放置在DMZ区域内
如何保证其工作的安全呢,我觉得应该考虑如下几点:
1、WEB服务器本身的健壮性,比如APACHE本身的漏洞是否被解决了,服务器尽量少开放无用端口,服务器本身操作系统的安全性
2、采用NAT机制来保护服务器不被暴露在公网上
3、在防火墙上开启SYN FLOOD防护功能,以保护服务器不被DDOS
正在上班,没太多时间写很详细,有时间再来 --------------------编程问答-------------------- 就放个放火墙 起到的作用有限, 有很多攻击是看似正常的动作 引发的。 --------------------编程问答-------------------- 放到防火墙后面,作用非常有限
因为你是web服务器,自然允许所有的人访问(如果不是公网服务器那等于没说)
如果所有的人都可以访问了,防火墙的作用就更有限,防火墙的第一功能基于MAC或者IP的包过滤就不能用
另外WEB服务器,可以绕过你的防火墙,直接拿你的WebShell,比如SQL注入,这时候除非你在防火墙上装危险字符串过滤的模块。否则没有意义
比如你用动网做了个论坛,大家都知道动网漏洞多, 直接就通过网站漏洞就可以攻击你了 --------------------编程问答-------------------- 还得再加一个ids --------------------编程问答-------------------- 没有绝对的安全,多打补丁,多监控异常访问,web程序要多测试防范漏洞。
补充:云计算 , 云安全