抛开微软在漏洞方面的坏名声, IIS和Apache这两个平台的脆弱性不相上下,许多安全攻击都可以追溯到管理员因技术方面的欠缺导致的错误配置。
网站管理员新近才开始在公司的网站服务器平台上投入大量精力。从前,如果选用的操作系统是Windows系列的,那么他们就运行微软的Internet信息服务器(IIS,Internet Information Server),而如果选用了Linux/Unix系列操作系统呢,用的就是Apache。ISS和Apache就像两条平行线,无限伸展却永无交点。
但是时代变了,Apache Http服务器方面打破坚冰!他们推出了一个Apache的兄弟服务器,可以在Windows下运行,该服务器也是由最初的NCSA httpd服务器(注:NCSA httpd服务器是Apache之父,设定文件和Apache极为神似)衍生而来的。这样一来,Windows管理员起码有了可选定余地,也就灵活许多。但是,可别期望微软会有相应的行动,短期内,他们是绝不可能发布可适用于Linux的IIS的。要选择合适的Web平台,从安全方面讲,以下四方面的因素值得考虑:
服务器固有的漏洞
抛开微软在漏洞方面的坏名声,公正一点地说,这两个平台的脆弱性不相上下。CERT漏洞数据库新近一个调查研究显示,IIS漏洞和Apache漏洞被攻击的几率之比是28:25。在信息安全领域,这分不出高下。
现有的Web管理知识
如果你们的Web管理员一直在用其中一个平台,并且他对这个平台的安全设置非常熟悉,这一点是个关键因素,非常重要。许多安全攻击的发生都可以追溯到管理员因为技术方面的欠缺而产生的错误配置。刚接触一个全新的平台时是非常容易出错的!
操作系统管理员是否胜任
Web服务器的安全直接受到底层操作系统安全的影响。如果某个黑客可以获得操作系统管理员的权限,那么他要攻破Web服务器就易如反掌了。从这个角度来讲,选用Web服务器时,一定要把系统管理员的技术水平考虑在内。如果所选用的操作系统是Windows系列的,这一点还不太重要,因为IIS和Apache都可以在Windows上运行。但是,如果操作系统是Linux系列的,分析选用Web服务器的过程中,就要多考虑考虑Apache了,因为如果选用IIS,就需要系统管理员学习很多新知识,掌握在Windows环境下工作的知识和技能。
开发人员的技术水平
如果需要用ASP、PHP、CGI等制作动态网页,那么就要考察一下开发人员的安全技术水平了。和操作系统管理员一样,开发人员在熟悉的环境中不容易犯安全方面的错误。如果你们的开发人员习惯于在某种特定的环境下工作,那一定把这个因素考虑在内。不过,同时也应该认识到,许多网站开发系统留给平台的端口和留给Internet的端口是不同的。打个比方,Sun Java系统ASP(前身为Chilisoft ASP)和Apache ASP使得在红帽服务器上使用ASP技术是可以的。类似地,也可以在IIS服务器上安装配置PHP。
需要注意的是,我们是从信息安全的角度讨论这个问题的。虽然IIS和Apache在性能上很相似,但在做安全分析时,如果其中一个Web服务器在某一点上对贵单位有利,结果就会有很大不同。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
Apache安全和强化的十三个技巧(二)
“mod_security”和“mod_evasive”是Apache在安全方面非常流行的两个模块。mod_security作为防火墙而运行,它允许我们适时地监视通信,还可以有助于我们保护网站或Web服务器免受暴力破解攻击。
-
Apache安全和强化的十三个技巧(一)
Apache是一个流行的web服务器软件,其安全性对于网站的安全运营可谓生死攸关。本文将介绍一些可帮助管理员在Linux上配置Apache确保其安全的方法和技巧。
-
如何制定Apache安全最佳做法?
Apache HTTP Server占Web服务器市场的份额超过50%,这也使其成为最热门的攻击目标,企业必须制定Apache安全最佳做法。
-
如何保障IIS安全避免服务器遭到攻击
由于众所周知的原因,微软的产品总能吸引黑客们的目光,IIS也不例外。IIS是什么?即因特网信息服务,作为当今流行的Web服务器之一,它提供了……