一个Web服务器，从上到下可以分为上中下三层。最低层为操作系统层，如Windows或者Linux操作系统;中间层是Web服务程序、数据库服务等通用组件;最上面一层是与内容和业务相关的网页程序。只要这三层架构中，任何一层出现问题就可能会导致整个网站的安全受到威胁。为此我们在部署Web服务器安全策略的时候，决定不能够只关注上层的Web服务程序，而应该构建一个立体的Web防护网。

　　一、每一层都可能存在安全漏洞

　　在这里笔者要告诉大家一个非常不幸的消息。在Web服务器的三层架构中，任何一层都有或大或小的漏洞。在操作系统层面，无论采用Windows操作系统还是采用Linux操作系统，都不时的会有黑客可以远程利用的安全漏洞被发现。相比之下，Linux操作系统要比Windows操作系统安全一点。而中间层，如IIS、ASP、SQLServer也不时的有“漏洞门”的问题。最上层的网页程序，漏洞更是不少。如著名的SQL注入式攻击漏洞就是出现在网页程序层中。

　　虽然现在有比较多的安全防护产品，但是比较可惜的是，他们往往都只是针对一个特定的层面。或者说目前很多Web网站的防护技术并不过硬。如不少企业在Web服务器外面都会部署一个防火墙。但是因为针对Web服务器的攻击，很多是直接对应用层的漏洞发起的攻击行为，他们可以直接通过80端口来完成攻击的行为。在这种情况下，即使采用了防火墙也无济于事。当任何一层被攻破，那么其它两层即使保护的再好，最后的结果都只有一个，那就是失败。

　　总之，Web服务器的每一层都存在着比较严重的漏洞。如果要确保Web服务器的安全，那么必须要构建一个立体的防护网。

　　二、利用IPS构建一个立体的Web防护网

　　IPS(入侵防御系统)是一个集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能的一个综合性的防御系统。对于Web服务器来说，其基本上涵盖了上中下三个层面的内容。为此借助IPS技术，就可以为Web服务器构建一个立体的Web防护网。

　　众所周知，防火墙等设备，其主要关注的是网络层的基础安全，而不会涉及到应用层。而像SQL注入式攻击等等基本上都发生在应用层。为此对于Web服务器的安全贡献不是很大。而IPS技术与防火墙不同，其可以深入到应用层面。IPS防御系统会检测从报文头到报文负载的每一个字节，将数据流流与攻击特征字节进行对比，从而有效的发现隐藏在正常数据流中的攻击报文。可见通过IPS系统可以为Web服务器构建一个立体的防护网。

　　IPS防御系统的理论知识大家可以去查看具体的书籍，这不是笔者这里要重点讨论的内容。笔者这里需要强调的是，在部署IPS系统时需要注意的内容。

　　三、IPS选购时要选品牌、看技术实力

　　IPS与普通的安全产品不同，其核心的内容就是技术。具体的说，就是检测引擎。虽然现在市面上提供IPS产品的厂商有很多。但是根据笔者的了解，其效果是层次不齐。有些IPS产品，虽然打着ISP旗号，但是基本上起不到IPS的功能。这主要是因为检测引擎等核心技术，各个厂商都非常的看重。有些技术实力稍微薄弱一点的企业，就无法研发完善的检测引擎。而由于缺乏这个核心的技术，则IPS功能就只成了一个摆设。

　　为此企业在选购IPS防御系统的时候，主要需要关注的是厂商的技术实力。简单的说，就是需要选品牌的。国内在这一块做的不错的，主要有联想与华为等几家厂商。如联想的检测引擎，会对网络数据包进行收集和检测分析，并能够依据设定的安全策略对违反预设策略的事件实施阻断或者限制的操作。同时实时的向LEMSServer(相当于是一个日志服务器) 传送报警信息和事件过程记录。华为公司的IPS检测系统，采用的是其自主研发的FIRST(基于精确状态的全面检测)检测引擎。这个检测引擎集成了多项检测技术，实现了基于精确状态的全面检测。

　　笔者仔细研究过这两家企业的IPS防御系统。发现确实能够对Web服务器的安全起到不可替代的作用。而且两家厂商的技术实力都比较雄厚，为此对于检测引擎的升级也比较快。能够在最短的时间内，发现可疑的攻击行为。