为什么需要网站安全策略
“既然护卫神.防入侵系统那么强大,为什么还需要网站安全策略呢?”这应该是很多用户心中的疑问。

简单来说,之所以需要网站安全策略,不是防入侵系统不行,而是网站自身缺陷的原因。

接下来我们就为您详细讲解网站安全策略的好处,以及和防入侵系统的区别。


1、功能区别

网站安全策略是对单个网站做ACL加固和访问加固。

防入侵系统则是对服务器做整体防护,很难精确到具体的每个网站,并且没法做ACL加固。


什么是ACL加固?

工程师通过人工分析网站结构,基于“精确区分游客和管理员”的理念,对每一个文件进行ACL权限加固,最大限度降低游客的操作权限,让游客无权做任何入侵操作。


什么是访问加固?

简单说就是限制文件和目录的Web访问权限,例如:禁止访问、禁止脚本以及其他访问限制等。


2、网页木马问题

防入侵系统支持在上传时、保存前、保存时、保存后进行全方位的木马查杀。

但一个众所周知的问题,所有杀毒软件都是采用病毒样本和行为分析模式,先有病毒后有杀毒。

黑客可以不断变种木马,让所有杀毒软件都没法及时查杀。没有一家杀毒软件公司敢承诺有100%的查杀效果,防入侵系统也只有最多99%的查杀能力。

部署安全策略以后,不再使用病毒库和行为分析模式,直接免疫网页木马。


3、在线上传问题

虽然可以通过“静态目录保护”,禁止上传目录执行动态脚本。或者通过“命名防护”,禁止上传目录保存动态脚本文件。

但是有的在线上传程序支持自定义上传目录,黑客可以把网页木马上传到网站根目录(是的,就是跟目录),您总不至于禁止根目录执行动态脚本吧,那网站基本就废了。

部署安全策略,会做严格的ACL权限加固,只能上传到指定目录,其他任何目录都不行。


4、防篡改副作用问题

防篡改模块可以锁定网站文件,禁止保存动态脚本文件,但存在诸多副作用,例如:

1、不便于用户自己维护

2、PHP缓存文件无法生成

3、生成静态功能不可用

而使用网站安全策略,则不存在这些问题。既没有副作用,又能解决安全问题。


综上所述,网站安全策略主要面向自身存在重大缺陷的网站,有效解决“不同网站,结构不同,内容不同,漏洞也不同”的问题。


那么,是不是意味着可以只要安全策略,不要防入侵系统了呢?

答案是否定的,因为安全策略只有两个功能:ACL加固和访问加固。对于SQL注入、暴力破解、远程登录、软件漏洞、系统漏洞均没有防护能力。因此网站安全策略只是防入侵系统的安全补充。



上一篇:如何开启Nginx的兼容模块选项