实例解析：高校网站如何防范黑客入侵挂马

【赛迪网-IT技术报道】近年来，Web网站篡改和挂马逐渐成为黑客攻击门户网站的主要手段。

据CNCERT监测报告显示，2009年，中国大陆有4.2万网站被黑客篡改！而另一种攻击手法——网页挂马仍然是黑客地下产业链的重要一环。各类操作系统和应用软件安全漏洞的披露以及网络热点事件、搜索热词的出现，都是黑客进行网页挂马的“契机”。

随着高校招生网络宣传工作的逐步展开，高校网站已经逐渐成为黑客关注的重点目标，而高校网络中心也将把网站安全工作提到了最高等级。但依然让人心有余悸的是，2010年高考前夕，5月14日一天之内，全国128所高校被集体挂马，其中不乏重点大学，这一数字已经超过2009年全年挂马数，黑客活动可谓日趋猖獗。而再早之前的2009年10月国庆60周年期间，中国大陆被篡改的网页有5793个，达到全年峰值。

传统防护 形同虚设

王立军作为一家高校网站的管理员，令他常常疑惑不解的是，明明自家的网站已经启用了安全防护机制，防火墙、IDS/IPS等安全设备一应俱全，为何还会轻而易举地就被黑客攻破？

对此，锐捷网络出口与安全产品专家给予了详细的解释：“虽然从表面上看，现有的安全设备都具有网站防护功能，但实际上，这种传统网站防护机制从防御手段来说，还存在着一些漏洞，给了黑客可乘之机！”

据锐捷网络出口与安全产品专家介绍，目前网站最常用的防御手段包括：防火墙、IDS/IPS、网页防篡改软件（部分单位自己开发），但是，上述三个手段存在不同的漏洞：

1、防火墙：不能防御通过80端口的HTTP攻击。防火墙基于访问控制实现，而要提供Web服务必须放行80端口。

2、IDS/IPS：不能保护客户自己编写的网站代码。IDS/IPS基于特征码识别，所谓特征码即针对Windows操作系统、Oracle数据库、IIS等通用系统的定期补丁；而客户的网站代码是自己编写的，没有人为其发布补丁。

3、网页防篡改软件：网站仍然可能被黑、不能通过合规性检查、部署复杂度高。

1）事后恢复治标不治本，可能再次被黑：目前针对中国网站的攻击，大量是通过工具的自动化攻击，只能事后恢复，无法避免连续被黑，最终对外体现的始终是被黑页面；而且一旦被黑就可能被搜索引擎抓取快照，影响已经传播出去了。

2）无法通过合规性检查需要：公安及上级机关检查网站安全，检查组一般采用漏洞扫描、攻击探测等手段，这种手段网页防篡改软件是无法发现的；即使能事后恢复，但是无法通过检查。

3）不能保护动态页面：网页防篡改软件的工作原理是对页面内容进行比对，发现变化则进行恢复；但是目前大部分网页使用的是SQL语句、动态脚本的动态页面；对于这种页面，每次显示的内容本身是不断变化的，无法进行比对。

4）部署复杂度高，可能引入安全性问题：要使网页防篡改软件起作用，需要把软件与网站代码整合起来方能进行工作，实施的复杂度相对较高；同时允许软件厂商修改网站代码，也可能带来信息安全隐患。

全新防护 滴水不漏

为了给门户网站提供一个最为全面、有效、简便的安全保障，锐捷网络门户网站保护解决方案提供了从网络层、应用层到Web层的全面防护；其中防火墙、IDS分别提供网络层和应用层防护，ACE对Web服务提供带宽保障；而方案的主体产品锐捷WebGuard（WG）进行Web攻击防御，全面提升网站安全防护能力，使网络中心安然度过敏感时期！

防网页篡改、挂马

高校、政府作为公共信息提供者，网页被篡改、挂马将造成不良社会影响，降低学校声誉。目前客户常用的防火墙、IDS/IPS、网页防篡改，无法解决通过80端口、无特征库、针对动态页面的Web攻击。WebGuard DDSE深度解码检测引擎能有效防御SQL注入、跨站脚本等。

高性能，一站式保护各院系网站

对于高校客户，往往拥有众多院系，而并非所有高校都将各院系网站统一管理。各院系网站技术运维能力相对较弱，经常成为攻击重点。WebGuard利用高性能多核架构，提供并行处理，可以支持在校园网出口部署，一站式保护各院系网站。

“零配置”运行，简化部署

WebGuard针对高教用户，集成默认配置模板，支持“零配置”运行。一旦上线，即可防护绝大多数攻击。后续用户可以根据网络情况，进行优化策略。同时，可以避免同类产品常见繁琐配置，客户无需具备专业的安全技能，即可拥有良好的体验。

满足合规性检查要求

继2008年北京奥运、2009年国庆60周年后，2010年上海世博会、广州亚运会先后举行。在重大活动前后，各级主管单位和公安部门纷纷发文，要求针对网站安全采取措施。WebGuard恰好能很好的满足合规性检查的需求，帮助用户顺利通过检查。

功能强大 简单易用

WG是锐捷网络推出的基于多核+ASIC架构的高性能、高可靠Web应用网关，相对于业界常见的Web防火墙产品，具有以下特色功能：

集成防病毒网关

中国网站攻击多为自动化攻击，对于这种攻击，往往涉及木马病毒，卡住病毒，就卡住了自动化攻击。

不少Web防火墙为IPS改装而来，也号称识别病毒，其主要原理是特征匹配，只检查文件头部，不检查文件内容，而WG对文件内容进行病毒扫描，同时对HTTP访问进行内容识别。

WG全面覆盖ICSA认证标准Wildlist，具备专业防病毒功能。

网页事后恢复功能

不少国内客户，接受网页防篡改软件的理念，希望WG兼具事前防御和事后恢复功，因此WG中集成了静态网页事后恢复功能。

“零配置”初次运行

Cisco、Impreva等厂商采用白名单工作方式，使用时需要针对每个页面的HTTP各字段进行配置，这需要客户具有较高的技术操作水平，否则无法发挥出产品功效。

WG针对国内常见的攻击，预置了攻击防御策略；设备上线，无需配置即可防御绝大多数攻击；同时也提供白名单功能，供高级客户使用。

关键字过滤

防止网站论坛被上传非法反动言论，或网页被篡改为非法言论；支持关键字过滤。