網絡企業(yè)保護技巧

時間：2016-04-01 14:08:35 權威724由分享

網絡企業(yè)保護技巧

　　現在我們用的互聯網的時間越來越多，需要掌握的網絡技能也很多，那么你了解網絡企業(yè)保護技巧嗎?下面是學習啦小編整理的一些關于網絡企業(yè)保護技巧的相關資料，供你參考。

　　網絡企業(yè)保護技巧1、確保你的數字證書包括子域

　　為避免訪問者收到數字證書錯誤，一定要保證你的SSL證書覆蓋https://www.貴站域名.com和https://貴站域名.com這兩個 URL。你可以使用一個多域的SSL證書來實現此功能，這種證書通常會允許你指定多達三個主題選擇名稱(即SAN)，如貴站域名.com或者www.貴站域名.com

　　網絡企業(yè)保護技巧2、禁用對弱加密的支持。

　　幾乎所有的Web服務器都支持強加密算法(128位)或極強的加密算法(256位)，但許多服務器還在支持弱加密，黑客們會利用這個漏洞來損害企業(yè)網絡安全。我們沒有理由支持弱加密，只需用很短的時間來配置服務器就可以禁用弱加密：

　　SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW

　　網絡企業(yè)保護技巧3、使用擴展驗證(EV)的數字證書。

　　雖然對于網站的安全并非生死攸關，但擴展驗證證書卻可以在多數瀏覽器的地址欄中得到清晰的證實，即訪問者擁有了一個到達網站的安全的SSL連接。只有在認證授權采取了嚴格的措施來確認你的身份后，并且是你控制著發(fā)布證書的域名時，才會發(fā)布擴展驗證證書。

　　網絡企業(yè)保護技巧4、確保所有的認證階段都通過SSL進行。

　　保護用戶憑證至關重要，而這意味著在用戶提交表單時，你需要通過SSL連接發(fā)送用戶登錄的表單，并且借助SSL來保護其憑證。否則，就有可能被黑客截獲表單，并用一個別有用心的不安全表單來替換之，進而將用戶的憑證發(fā)送到黑客自己的服務器上。

　　網絡企業(yè)保護技巧5、不要在網頁上將SSL保護的內容與明文混在一起。

　　將二者混在一起會導致網站遭受損害，因為一個不受保護的源(如JavaScript)可被用于注入惡意代碼，或導致中間人攻擊。

　　網絡企業(yè)保護技巧6、使用HSTS協議來保護域名(包括子域)。

　　在用HSTS保護網站時，在初次訪問后，到網站的所有鏈接都會自動地從HTTP轉換為HTTPS，而且訪問者無法再次訪問網站，除非它擁有一個合法的、并非自已簽名的數字證書。這意味著黑客們無法將用戶重向到釣魚網站(黑客通過一個不安全的鏈接來控制此網站或竊取不安全的會話cookies)。

　　必須只能通過HTTPS的應答來發(fā)送嚴格傳輸安全(STS)的報頭，并且只需簡單的幾行就可以搞定其配置。對于Apache而言，可以這樣操作：

　　Header set Strict-Transport-Security "max-age=XXXXXX"

　　Header append Strict-Transport-Security includeSubDomains

　　網絡企業(yè)保護技巧7、使用HttpOnly 和Secure標記來保護cookies

　　用于認證的cookies在SSL會話期間可被用于損害會話的SSL安全性。HttpOnly標記可以使你發(fā)布的cookies對客戶端腳本不可見，所以客戶端無法通過跨站腳本攻擊漏洞來竊取cookies，而Secure標記意味著，只能通過一個加密的SSL連接來傳輸cookies，因而 cookies無法被截獲。

　　為了配置你的web服務器，使其能夠通過HttpOnly 和Secure屬性來發(fā)布cookies從而防護這兩種攻擊，你只需要簡單地增加將; Secure ; HttpOnly添加到Set Cookie Http響應報頭中：

　　Set-Cookie: =; = ; expires=; domain= ; secure; HttpOnly

　　網絡企業(yè)保護技巧8、禁用對SSLv2的支持。

　　該版本的SSL協議在15多年前就被證明是不安全的，但如今有許多Web服務器仍在使用它。禁用此協議用了不多少時間。例如，在Apache v2中，你需要對默認為配置進行改變：

　　將：SSLProtocol all

　　變?yōu)椋篠SLProtocol all -SSLv2

　　看過文章“網絡企業(yè)保護技巧”的人還看了：

　　1.網絡安全知識

　　2.企業(yè)網絡安全解決方案

　　3.信息網絡安全

　　4.網絡安全縱深防御

　　5.計算機網絡安全