【IT168 专稿】从实际应用的角度，帮你制定WEB服务器安全策略。

　　一、转换角色，把自己当作可能的攻击者

　　大部分时候，我们若只是站在WEB管理员的角度上考虑问题，可能就发现不了Web服务器的漏洞。相反，我们此时若能够换个角度，把自己当作可能的攻击者，从他们的角色出发，想想他们可能会利用那些手段、哪些Web服务器的漏洞进行攻击，或许，我们就可以发现Web服务器可能存在的安全漏洞，从而早先一步，修补安全漏洞，防止被木马或者病毒攻击。

　　从公司外面访问自己的Web服务器，进行完正的检测，然后模拟攻击自己的网站，看看，会有什么样的结果。这对于WEB的安全性来说，可能是一种很好的方法。如我们可以假当攻击者，利用扫描工具，对Web服务器进行扫描，看看有否存在可以被攻击的服务。有些东西我们平时可能不会引起我们重视，但是，利用黑客常用的工具进行扫描，就会发现一些可能会被他们利用的服务或者漏洞。如在服务器安装的时候，操作系统会默认的安装并启动一些不需要的服务;或者在服务器配置的时候，需要启动一些服务，但是事后没有及时的关闭，从而给了不法攻击者一个攻击的机会。最常见的如SNMP服务，又称简单网络管理协议。这个服务在系统安装完毕后，默认情况下是开启的。但是，这个服务可以为攻击者提供服务器系统的详细信息，如Web服务器是采用了什么操作系统，在服务器上开启了什么服务与对应的端口等等宝贵的信息。攻击者只有了解这些最基本的信息之后，才能够开展攻击。

　　我们安全管理人员，在平时的时候可能不会发现这个问题，但是，若能够利用黑客的扫描工具一扫描，就能够发现问题的所在。故笔者认为在必要的时候，需要换个角度，从攻击的角色出发，考虑他们会采用什么样的攻击方法。如此的话，我们才可以避免“当局者迷”的错误，保障Web服务器的安全。