ASP网页编程之Asp的平安办理(12)
国内有些大的CRM厂商的ASP就写得不错.无论是概念还是它里面用JAVASCRIPT的能力.并不是说现在的程序员用了ASP.NET来写程序就可以说自己高档了平安附录C:收集平安的最好计划SteveRiley,MicrosoftCommunicationsIndustrySolutionsGroupConsultingPractice
2000年8月7日
这篇漫笔叙述了收集计划和平安的最好计划。只管收集的计划和平安回护办法良多,但只要某些办法和步骤深受很多业内助士的喜好。
选择路由器―第一道防地
应该利用选择路由器来回护任何面向Internet的防火墙。这类路由器只要两个接口:一个与Internet相连而另外一个与内部防火墙(或需要时与负载均衡的防火墙聚集)相连。一切打击中,快要90%触及到IP地点失贼,或改动源地点以使数据包看起来好像来自外部收集。传进数据包没有甚么来由能够来自外部收集。别的,因为一个收集的平安性一般取决于所毗连收集的平安性,因而最好能制止您的收集被用作假数据包的来历。选择路由器是完成这些目标的幻想办法。
应该将选择路由器设置为“allowallexceptthatwhichisspecificallydenied”(同意经由过程出格回绝之外的一切通讯)形态。如许,ACL就实行以下操纵:
界说一个进进选择器,它回绝任何源地点为外部收集地点的传进通讯。
界说一个外出选择器,它回绝源地点非外部收集的传出通讯。
回绝RFC1918中所断定的任何公用地点局限内源地点或方针地点的一切传进或传出通讯。
同意一切别的的传进和传出通讯。
这可制止年夜多半打击,由于夺取外部地点几近是一切打击的基础前提。将选择路由器前面的防火墙设置为“denyallexceptthatwhichisspecificallyallowed”(回绝除出格同意以外的一切通讯)形态。
(这部分信息的根据为RFC2267,“Networkingressfiltering:DefeatingdenialofserviceattackswhichemployIPsourceaddressspoofing”,1998年1月。)
对可用性请求较高的情况,可以使用两个选择路由器,并将两者毗连到一对防火墙负载均衡设备上。
防火墙―分层回护
典范的非军事区(DMZ)有两个防火墙。内部防火墙设置为只同意Internet和DMZ之间毗连所需的通讯。外部防火墙的设置要可以回护外部收集不受DMZ的影响―DMZ长短信托收集,因而有需要对外部收集实行回护。
甚么是DMZ?看看天下上唯一的政治方面的DMZ:南北朝鲜之间的地区。DMZ由其回护界限断定―在这类情形下,两个地舆界限,分离由独自的回护实体举行监督和回护。收集中的DMZ与此十分相似:某独自的收集部分经由独自的物理防火墙与(一般)两个别的收集相连。
DMZ与屏障子网。罕见的办法是利用具有多个接口的单一物理防火墙。一个接口毗连Internet,第二个接口毗连到外部收集,第三个接口毗连到一般称为DMZ的地区。这类系统布局不是真实的DMZ,由于单个设备卖力多个回护地区。这类计划切实其实切称号是屏障子网。屏障子网具有严峻缺点―单个打击便可损坏全部收集,由于一切收集段都与该防火墙相连。
DMZ的长处。为何部署DMZ?收集打击日益增添―有些只是出于好玩、夸耀本人的开玩笑才能,还一些是严峻的、有目标的公司特务和损坏。无效的平安系统布局是打击的一道屏蔽,同时该布局具有可调剂才能。真实的DMZ布局具有以下长处:
具有针对性的平安战略。每一个防火墙实行与回护工具对应的战略。
深切进攻。在平安遭到损坏时,设备的多个物理构件为平安办理员供应更多工夫来做出反响。这是为何要部署真实的DMZ而不是屏障子网的独一、也是最主要的缘故原由。
改善功能。两设备间通讯反省的职责分隔,每一个特定回护区设置一台设备。
可扩大性。可依据必要扩大防火墙―内部防火墙处置的负载一般必需比外部防火墙高良多。像RadWaresFireProof如许的手艺能够跨防火墙农场而均衡负载。
打消妨碍点。为了取得高可用性,应该最少部署与一对防火墙完整合用的一对防火墙负载均衡器。如许防火墙便可与DMZ中心互换机完整婚配。
防火墙范例
今朝有三种防火墙:
基础数据包选择器。
形态检测数据包选择器。
使用程序代办署理。
基础数据包选择器。把复杂的数据包选择作为一种防火墙已不罕见,由于几近一切的路由器都可实行此功效。数据包选择只是复杂地依照一组划定规矩对照传出和传进数据包的端口、协定和地点。不切合划定规矩的数据包被防火墙停止。基础的数据包选择供应很少的平安性,由于良多种打击可容易地绕过它。
形态检测数据包选择器。这些防火墙除反省独自的数据包外还对流程举行反省。形态反省引擎跟踪每一个毗连的启动并确保启动与某个先前登录的毗连响应的一切通讯。切合防火墙划定规矩但没法映照就任何毗连的未经哀求数据包将被停止。形态反省比基础数据包选择更加平安,但仍是大概遭到可以经由过程防火墙可用协定(如HTTP)的进侵的打击。两类数据包选择器都没法剖析任何数据包的内容。别的,两类数据包选择防火墙几近都没法在依照划定规矩集举行盘算之前将碎片数据包从头组装起来。因而,某些范例的打击得以用崇高高贵技能制造的数据包碎片举行乐成传送。
使用程序代办署理。使用程序代办署理供应最高的平安级别。毗连欠亨过代办署理,而传进毗连在代办署理处被中截,并由代办署理完成与方针服务器的毗连。使用程序代办署理反省无效载荷并可断定它是不是切合协定。比方,一般的HTTP哀求有断定的特性。经由过程HTTP传送的打击将与这些特性有所收支(最明显的是经由过程HTTP哀求传送的通讯具有过量传进信息量),并将被停止。使用程序代办署理还不容易遭到碎片的打击。因为为使用程序代办署理施加了负载,因而它在三类防火墙手艺中速率最慢。
云云说来,哪一种手艺最好呢?谜底取决于您所需的平安级别。一些形态反省防火墙入手下手到场使用程序代办署理功效;Checkpoint的Firewall-1就是如许的实例。
基于主机的防火墙回护。完全进攻应该是任何平安计划的计划方针。选择路由器和传统的DMZ供应三层回护,它们一般足以回护年夜多半收集服务。关于高度平安的情况,基于主机的防火墙还可供应另外一层的回护。基于主机的防火墙同意平安办理员断定具体全面的平安战略,以使服务器的IP栈只对该服务器上使用程序所请求的端口和协定开放。一些基于主机的防火墙还实行传出回护,以匡助确保某台遭到损坏的呆板不会影响统一收集上的别的呆板。固然,基于主机的防火墙的确增添了一般体系办理的包袱。招考虑仅对那些包括相当主要数据的服务器增添基于主机的回护。
DMZ系统布局―平安和功能
另外一类罕见的打击是从线路上窥伺数据包。只管有比来呈现的防窥伺工具(大概常常不成靠),但用复杂集线器构建的收集仍是很简单遭到这类打击。(而且反防窥伺工具也大概使它成为一项主要议题。)利用互换机替换集线器可打消此缺点。在共享介质收集(即用集线器构建的收集)中,一切的设备可瞥见一切的通讯。一般收集接口对非发给它的数据帧不举行处置。混同形式的接口将把每帧的内容向上传到盘算机的协定栈。该信息关于有协定剖析器的打击者大概十分有代价。
互换收集能够实践根绝这类情形的产生。互换收集中任何呆板的收集接口将只能看到出格发给该接口的那些帧。在这里混同形式没有甚么分歧,由于NIC不辨认别的任何收集通讯。打击者窥伺互换收集的独一已知办法是:打击者损坏互换机自己并变动其操纵,如许互换机最少在一个端口充溢了一切通讯。损坏互换机很难,而且很快会被收集办理员发明。
互换收集还免除了利用双主机DMZ服务器的需要。双主机供应不了更多的附加回护;附加的NIC不克不及避免来自已损坏盘算机的打击。可是在必要高可用性或高功能情形下,利用两个NIC大概加倍合适。
打消妨碍点。在必要高可用性的情况中有需要利用两个NIC。一种实在可行的计划计划是在中心部分包含两台互换机,并在每台服务器中包含两个NIC。一个NIC毗连到一台互换机,另外一个NIC毗连到另外一台互换机。
外部收集的情形怎样?出于一样的缘故原由,外部收集也应该用互换机来构建。假如必要高可用性,请依照DMZ中一样的准绳。
聚集互连。不管在DMZ仍是在外部收集中,都利用集线器毗连一切聚集。Microsoft不倡议利用跨接电缆,由于它们不克不及供应确保介质敏感型操纵一般事情所需的电子旌旗灯号。
IPSec―信托DMZ的一种更平安的选择
假如一切的服务器都在运转Windows2000,则应该利用Internet协定平安(IPSec)来回护DMZ和外部收集之间一切通信的平安。IPSec供应以下功效:
身份考证。能够断定如许的战略,使得只要那些必要相互通信的盘算机才能够相互通信。
加密。已侵进到DMZ的进侵者没法将通讯注释进或注释出外部收集。
回护。IPSec回护收集制止重放打击、工资干涉打击和经由过程尺度协定(如ICMP或HTTP)举行的打击(这些打击可经由过程基础防火墙和形态反省数据包选择器防火墙)。
启用IPSec后,外部防火墙必需只同意IPSec、IKE、Kerberos和DNS通讯,如许进一步增强了外部收集的平安性。外部防火墙中不会有别的毛病。关于各类使用程序有毛病的尺度防火墙划定规矩,进侵者能够经由过程Firewalk如许的工具断定防火墙的战略;而将一切通讯封装在IPSec中并只许利用该协定,可埋没对打击者大概有效的实行细节(可是还应拜见上面的“大概的平安含义”)。下表列出了应该在防火墙中开启的服务:服务
地位
申明
Domain
端口53/tcp和53/udp
域名服务
kerberos
端口88/tcp和88/udp
Kerberosv.5身份考证
isakmp
端口500/udp
Internet密钥互换
esp
协定50
IPSec封装的平安无效载荷
ah
协定51
对于中小型web应用来说,php有很强的竞争力,linux+apache+mysql+php(lamp)的组合几乎可以胜任绝大多数网站的解决方案,对于大型应用来讲,对于系统架构要求更高,需要有成熟的框架支持,jsp的struts是个不错的框架,国内介绍它的资料也非常多,应用逐渐广泛起来。asp就不用说了, 在平时的学习过程中要注意现学现用,注重运用,在掌握了一定的基础知识后,我们可以尝试做一些网页,也许在开始的时候我们可能会遇到很多问题,比如说如何很好的构建基本框架。 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。 封装性使得代码逻辑清晰,易于管理,并且应用到ASP.Net上就可以使业务逻辑和Html页面分离,这样无论页面原型如何改变,业务逻辑代码都不必做任何改动;继承性和多态性使得代码的可重用性大大提高。 作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。 哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的? 作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。 ASP也是这几种脚本语言中最简单易学的开发语言。但ASP也是这几种语言中唯一的一个不能很好支持跨平台的语言。 因为ASP脚本语言非常简单,因此其代码也简单易懂,结合HTML代码,可快速地完成网站的应用程序。 我认为比较好的方法是找一些比较经典的例子,每个例子比较集中一种编程思想而设计的。
页:
[1]