WEB服务器【fú wù qì】主要是面向互【miàn xiàng hù】联网的🗒。所以，其是企业【qǐ yè】众多信息化🚰应用中【yīng yòng zhōng】最容易🧗受到攻㊗击的。现在企【xiàn zài qǐ】🏺业的【yè de】WEB应用越来越多【lái yuè duō】，特别是【tè bié shì】🔪其也逐渐在成🔕为其他信息化🚰应用的进口。如笔者企业【qǐ yè】，把OA系统【xì tǒng】、邮箱系🎁统的入😿口都捆绑在WEB服务器【fú wù qì】上。故WEB服务器【fú wù qì】安全是【ān quán shì】笔者众👔多工作【duō gōng zuò】中的重🏊中之重【zhōng zhī chóng】。

为了提【wéi le tí】高WEB服务器【fú wù qì】🕷的安全【de ān quán】🐊性，有众多【yǒu zhòng duō】的🐼方法。在这里【zài zhè lǐ】，笔者要【bǐ zhě yào】向大家推荐的【tuī jiàn de】🐼主要是【zhǔ yào shì】三种方【sān zhǒng fāng】法。如果只想通过🌟这三种方【sān zhǒng fāng】法来保障WEB服务器【fú wù qì】🕷的安全【de ān quán】🐊当然是【dāng rán shì】远远不【yuǎn yuǎn bú】💥够的🤛。但是【dàn shì】，若企业信息化管理人🍘员若疏忽了这三个方面的内〽容，则📺WEB服务器【fú wù qì】🕷的安全【de ān quán】🐊性是很难保障的🐼。

利器一：为WEB应用建立独立的服务器。

由于WEB服务器【fú wù qì】🍒可能遭受到的【shòu dào de】攻击【gōng jī】🎍，比【bǐ】ERP系统、办公自动化系统等应📒用服务【yòng fú wù】器🍒的几率【de jǐ lǜ】高的🤪多【duō】。所以👚，若把这🍟些应用【yīng yòng】放在WEB应用【yīng yòng】同一个服务器【fú wù qì】🍒中，则弱WEB服务器【fú wù qì】🍒遭受到攻击【gōng jī】🎍，则很有【zé hěn yǒu】可能殃🚌及到🦐ERP等关键【děng guān jiàn】🧑应用【yīng yòng】。

笔者企【bǐ zhě qǐ】👅业【yè】中虽😈然把OA系统【xì tǒng】🦔的接口【de jiē kǒu】绑定在WEB服务器上，但是，OA系统【xì tǒng】🦔与WEB应用仍然在不同的应【tóng de yīng】用服务⏲器上。这主要是为了方便员🐳工从企业【yè】💠外部访【wài bù fǎng】问【wèn】OA系统【xì tǒng】🦔。如此的好处【hǎo chù】，就是当WEB服务遭📫受到攻😾击不能【jī bú néng】🛩使用时【shǐ yòng shí】，最多员🍥工无法从企业【yè】💠外部访【wài bù fǎng】问【wèn】OA系统【xì tǒng】🦔;而不影响企业【yè】😵内部员【nèi bù yuán】工的正【gōng de zhèng】常访问【wèn】。

不过🏮，笔者以🐖前就犯🌞过类似【guò lèi sì】🕟的【de】错误。那时【nà shí】，企业由于资金【yú zī jīn】紧张，就把🕡WEB服务器【fú wù qì】🥪与【yǔ】🛄ERP系统服务器【fú wù qì】🥪部署在【bù shǔ zài】同一个【tóng yī gè】服【fú】⚾务器上。突然有一天企【yī tiān qǐ】业的【de】WEB服务器【fú wù qì】🥪遭受到【zāo shòu dào】🎡了不明👇身份的【shēn fèn de】👫人的【de】攻击【gōng jī】。他们可【tā men kě】能只是🏧出于好玩吧【wán ba】，没有对WEB服务器【fú wù qì】🥪产生多😠大的【de】危🌈害。只是🏧CPU与【yǔ】🛄内存的【de】使用率【shǐ yòng lǜ】居高不下。当把WEB服务器【fú wù qì】🥪跟外网断开好，就恢复正常了。但是【dàn shì】，这就使得同一个【tóng yī gè】服【fú】⚾务器上的【de】ERP应用无法运作。企业员😇工每次💳输入一张销售订单，从原来⏯的【de】3分钟变📗为现在【wéi xiàn zài】的【de】30分钟📟。这么慢【zhè me màn】🌾的【de】速度显然很【xiǎn rán hěn】难让人【nán ràng rén】🔽接受。从这个事件中，让笔者🏭懂得了一个真理🈲，把企业🏹内部应【nèi bù yīng】用放在【yòng fàng zài】WEB服务器【fú wù qì】🥪上是一个非常【gè fēi cháng】不明智的【de】做法。由于WEB服务器【fú wù qì】🥪其面向【qí miàn xiàng】🏹的【de】是互🤦联网🈁，所以【suǒ yǐ】，其很容易遭受👅到别人【dào bié rén】🚂的【de】恶意攻击【gōng jī】。殃及池【yāng jí chí】鱼，受到攻【shòu dào gōng】🗃击后，连【lián】👹企业内【qǐ yè nèi】部的【de】应用服务【yòng fú wù】都会受到牵🥛连【lián】👹。

所以【suǒ yǐ】😳，笔者第一个要【yī gè yào】提醒大🧜家的就是😃，在部署服务【fú wù】器🉐的时候，做好让😭WEB等面向【děng miàn xiàng】互联网【hù lián wǎng】的应用【de yīng yòng】服务【fú wù】🤸跟其他面🍍向内部【xiàng nèi bù】的应用【de yīng yòng】服务【fú wù】🤸在不同【zài bú tóng】的服务【fú wù】器🉐上部署。这在保【zhè zài bǎo】💾障WEB服务【fú wù】器🉐安全的同时，也提高了企业【le qǐ yè】其他应【qí tā yīng】用服务【fú wù】🤸的安全👴性。

利器二【lì qì èr】：事务日志【zhì】🥂，让你对【ràng nǐ duì】🏎WEB运行状况了如👩指掌。

其实🦉，WEB服务器【fú wù qì】只要采🚐取一定的保护🐭措施🎸，则攻击就需要一个过🍢程，不是说在一个🗿短时间【duǎn shí jiān】🤸内就可以【jiù kě yǐ】完成的。通常情👩况下，这个攻击的过👉程往往会在【huì zài】😍WEB服务器【fú wù qì】的事务🚩日志中【zhōng】🏡留下蛛【liú xià zhū】丝马迹【sī mǎ jì】。如非法💃攻击者视图通过密码字典破【zì diǎn pò】解工具，尝试网【cháng shì wǎng】站管理员的口【yuán de kǒu】😨令与密【lìng yǔ mì】码的时候，就会在【huì zài】😍WEB服务器【fú wù qì】的日志【de rì zhì】中【zhōng】🏡留下纪【liú xià jì】录。如果我【rú guǒ wǒ】们在事🧤务审核中【zhōng】，设置当用户密【yòng hù mì】👃码最多输入错误次数的话【de huà】，则当超过这个最大次【zuì dà cì】数的时【shù de shí】📁候，服务器【fú wù qì】就会在【huì zài】😍自己的日志【de rì zhì】中【zhōng】🏡纪录这条信息【tiáo xìn xī】🐰。此时，若网站管理人员可以【yuán kě yǐ】🌂看到这【kàn dào zhè】条信息【tiáo xìn xī】🐰，则他们【zé tā men】🕠就可以【jiù kě yǐ】及时的采取措施🎸，如更改复杂密🎿码等手🕦段♐，来提高【lái tí gāo】✉服务器【fú wù qì】的安全性【xìng】🀄。

所以【suǒ yǐ】，每一个【měi yī gè】WEB服务器【fú wù qì】的管理人员都必须要重视事务日志【wù rì zhì】的重要【de chóng yào】性【xìng】⏬。同时，为了让【wéi le ràng】🏈事务日志【wù rì zhì】发挥更大的🏜作用🐉，往往需【wǎng wǎng xū】要启用🐎审核功能。通过审核事件跟系统日志结🚠合起来，可以让日志服【rì zhì fú】务器纪🦖录一些常见的攻击行【gōng jī háng】🥘为。从而给🐨企业安🕴全人员🌻提供参【tí gòng cān】考【kǎo】。否则的🔏话【huà】，企业安🕴全人员🌻都不知【dōu bú zhī】💣道那里受到攻击了，那么他们也就💣根本无【gēn běn wú】法进行🍫及时的应对。

不过话🥦说话来，有些高🙁手攻击企业【qǐ yè】🀄WEB服务后🏸，不会再【bú huì zài】事务日【shì wù rì】🎸志上留🍦下任何痕迹【jì】🎇。这🎉　并不是【bìng bú shì】说事务日【shì wù rì】🎸志不管用了。而是因【ér shì yīn】为他们在结合🍈攻击后😥，会修改事务日【shì wù rì】🎸志的信息【xìn xī】。如某个攻击者💒窃取了管理员💬用户与密码后访问企【fǎng wèn qǐ】🎋业网站【yè wǎng zhàn】🛂中的机密信息【xìn xī】。一般情【yī bān qíng】🔐况下，这🎉个访问【gè fǎng wèn】纪录会在事😡务日【rì】志中有所显示【xiǎn shì】。但是【dàn shì】，一些高【yī xiē gāo】手会在推出之【tuī chū zhī】前修改事务日【shì wù rì】🎸志。删除这🎉些访问信息【xìn xī】，或者💒更改访【gèng gǎi fǎng】问者【wèn zhě】💒。让企业【qǐ yè】🀄安全管【ān quán guǎn】理人员🙀无从查起。为了让他们无法更改事务日【shì wù rì】🎸志文件【zhì wén jiàn】，则最好的方法🚘就是更改事务日【shì wù rì】🎸志文件【zhì wén jiàn】的路径🎏，并对其【bìng duì qí】😺进行及时的备【shí de bèi】份。由于不知道路【zhī dào lù】❤径的真🤙确位置【què wèi zhì】，所以🎠，及时不法攻击者想攻🙁击想修【jī xiǎng xiū】改日【rì】志🆖隐藏自己的踪迹【jì】🛤，都不可⛳能【néng】。

笔者现在的做【zài de zuò】法是，更改WEB服务器【fú wù qì】🔉的日志【de rì zhì】的默认【de mò rèn】路径。并且每【bìng qiě měi】隔三个【gé sān gè】小时对🐚事务日🗞志进行🔯异地备份【fèn】🤭。同时，结合事件审核功能，当日志🦃服务器【fú wù qì】🔉捕捉到一些异【yī xiē yì】🛏常信息🎼时，如某个用户一【yòng hù yī】直在试图登陆WEB服务器【fú wù qì】🔉的管理🍸站时【zhàn shí】🚖，就会像【jiù huì xiàng】企业管理人员🗂递交这🆎个异常信息🎼。通过日志的管【zhì de guǎn】理🍸，可以把WEB服务器【fú wù qì】🔉的一些安全隐患及时🚻的告知🌓给管理【gěi guǎn lǐ】人员🗂。

所以笔【suǒ yǐ bǐ】🚽者这里要向大家推荐的第二🥚把利器就是🏮WEB服务器💛的日志管理【guǎn lǐ】🍟 .管理【guǎn lǐ】员😍为了提【wéi le tí】高日志【gāo rì zhì】的安全【de ān quán】性，要修改【yào xiū gǎi】服务器💛日志的默认路径，并且定【bìng qiě dìng】时对其🔍进行异【jìn háng yì】地备份【dì bèi fèn】。同时，要跟其🚀他的功能🖊，如安全审核【shěn hé】🕢、账户安全策略等工具📔，结合使用，可以起🏽到事半【dào shì bàn】功倍的【gōng bèi de】作用。

利器三🚖：代码【dài mǎ】，影响WEB服务器安全的【ān quán de】最大杀🥁手【shǒu】📀。

对于【duì yú】🥗WEB服务器【fú wù qì】📺来说，代码是其安全【qí ān quán】的最大杀手之【shā shǒu zhī】一。很多WEB服务器【fú wù qì】📺被攻破【bèi gōng pò】，大部分🌙是由于【shì yóu yú】🈷代码设💚计不当所引起【suǒ yǐn qǐ】的。故管理好WEB服务器【fú wù qì】📺的代码🐒，是保障✂WEB服务器【fú wù qì】📺安全的首要任务【wù】。

为了提【wéi le tí】高代码🍹的安全性🌩，网站开【wǎng zhàn kāi】发者要【fā zhě yào】养成一些好的代码编😯写习惯。

一是不要直接采用网络上的代码。

有些开【yǒu xiē kāi】发者为🕛了工作【le gōng zuò】上的便利，会直接拷贝其他网友提供的🦏代码。但是【dàn shì】🌺，不幸的是🌺，天下没有白吃【yǒu bái chī】的午餐📷。有些人🦍免费提供这些【gòng zhè xiē】代码往往带有【wǎng dài yǒu】🧖不可告【bú kě gào】人的秘密。如现在💇网络上提供的🦏一些电【yī xiē diàn】子商务【zǐ shāng wù】平台与【píng tái yǔ】🥓网站论【wǎng zhàn lùn】坛代码🏹，代码提供者很有可能【yǒu kě néng】🆑会在代码中预留一个后门【hòu mén】。当他觉【dāng tā jiào】得有必【dé yǒu bì】要的话🥑，则就可🎲以很轻易的采用这个【yòng zhè gè】后门【hòu mén】对🔇其进行攻击。所以，若企业要在🦕WEB服务器🈸上实现🤛一些关【yī xiē guān】键应用【jiàn yīng yòng】，如客户【rú kè hù】🤨在线下🤜单等等【dān děng děng】🚀，则最好不要采【bú yào cǎi】用网络【yòng wǎng luò】上现成的编码🏎。只可以借鉴，不可以抄袭📮。最好的话🥑，自己开💥发。

二是增加的新功能不要在WEB服。

企业在😪发展🎺，WEB应用也逐渐在完善【wán shàn】。企业市场会提出一些新的需求【qiú】🌝。当开发者在开发某个【fā mǒu gè】功能【gōng néng】👛的时候【de shí hòu】🍖，最好不要直接【yào zhí jiē】在WEB服务器【fú wù qì】🛅上直接进行测🔽试。有条件【yǒu tiáo jiàn】的企业🎙，最好专门配置【mén pèi zhì】一个测【yī gè cè】🎮试服务器【fú wù qì】🛅，以方便🌈程序开发人员测试【cè shì】新功能【gōng néng】👛。特别是【tè bié shì】若把这个程序🆒开发外包给外【bāo gěi wài】🎥面的企业🎙的话，不能够为了贪🚒图方便【tú fāng biàn】，直接让对方在【duì fāng zài】现用的WEB服务器【fú wù qì】🛅上进行🌀测试【cè shì】。俗话说【sú huà shuō】🧘，知人知😦面不知心。对方很【duì fāng hěn】🅱可能在你不知情的情况下【kuàng xià】🦋，植入一个木马都说不【dōu shuō bú】定。所以【suǒ yǐ】，防人之心不可无。企业在😪新功能【gōng néng】👛的开发测试上【cè shì shàng】🚃还是要😂小心为【xiǎo xīn wéi】🤭妙。

三是尽量不要采用不安全的控件。

企业WEB应用跟⏫娱乐网站不同🆚。企业门【qǐ yè mén】户网站🐣强调的🦅是快速、稳定🥞、安全⛷;而娱乐网站则【wǎng zhàn zé】强调的🦅是美观、靓丽【liàng lì】♌、特效。为了【le】📀吸引眼球【qiú】，提高点🥣击率【jī lǜ】，娱乐网站往往会采用【huì cǎi yòng】🏨比较多【jiào duō】😚的特效🍭。为此【wéi cǐ】，他们会🚺在🏤WEB服务上🦃采用比较多【jiào duō】😚的控件来达到【lái dá dào】这个效果。但是【dàn shì】，这些控【zhè xiē kòng】件往往都有安全⛷漏洞，跟WEB服务器【fú wù qì】的安全【de ān quán】⛷背道而【bèi dào ér】驰【chí】🍿。如FLASH控件等【kòng jiàn děng】等【děng】。针对这种控件的攻击🦈，互联网上可能每天都在发生⏪。还说不定哪一天就落到企业【dào qǐ yè】🤱的头上【de tóu shàng】了【le】📀。所以，企业网【qǐ yè wǎng】站只追求稳定🗄、安全⛷，没有必要过多【yào guò duō】的采用控件来实现特【shí xiàn tè】技效果。

笔者向大家推荐的第🤰三把利【sān bǎ lì】器就是🔑要做好🐨代码的【dài mǎ de】💊安全设【ān quán shè】⬜计，尽量减🍺少采用【shǎo cǎi yòng】不安全🐝的控件【de kòng jiàn】🔙。企业网站应该【zhàn yīng gāi】追求稳定【dìng】、反映速【fǎn yìng sù】度等等。而过多的采用🛎控件🔙，跟这两个目标都是背道而驰【dào ér chí】的。