【摘要】Internet及Web已成為許多人日常生活、工作及交流的一種主要工具。由于Internet是根據(jù)一定的共識(shí)進(jìn)行自制、在全球范圍內(nèi)實(shí)現(xiàn)的龐大的系統(tǒng)，它并不在法律和政治范圍內(nèi)運(yùn)行。作為Web管理員，感觸最深的是：確保Web安全不是件容易的事，并非一篇論文能說得清楚。由于Internet和Web技術(shù)的開放性和多層次性，決定了Internet和Web的安全需要格外的關(guān)注。本文就是作者根據(jù)日常工作環(huán)境，討論如何建立安全的Web站點(diǎn)。

　　在討論Web站點(diǎn)安全之前，了解Web的技術(shù)原理，對(duì)于Web安全工作者而言應(yīng)該是有益處的。
　　
　　一、Web技術(shù)簡(jiǎn)介

　　World Wide Web稱為萬(wàn)維網(wǎng)，簡(jiǎn)稱Web。它的基本結(jié)構(gòu)是采用開放式的客戶/服務(wù)器結(jié)構(gòu)(Client/Server),分成服務(wù)器端、客戶接收機(jī)及通訊協(xié)議三個(gè)部分。

　　1、服務(wù)器(Web服務(wù)器)

　　服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定、信息傳輸格式及服務(wù)器本身的基本開放結(jié)構(gòu)。Web 服務(wù)器是駐留在服務(wù)器上的軟件，它匯集了大量的信息。Web服務(wù)器的作用就是管理這些文檔，按用戶的要求返回信息。

　　2、客戶接收機(jī)(Web瀏覽器)

　　客戶機(jī)系統(tǒng)稱為Web瀏覽器，用于向服務(wù)器發(fā)送資源索取請(qǐng)求，并將接收到的信息進(jìn)行解碼和顯示。Web瀏覽器是客戶端軟件，它從Web服務(wù)器上下載和獲取文件，翻譯下載文件中的HTML代碼，進(jìn)行格式化，根據(jù)HTML中的內(nèi)容在屏幕上顯示信息。如果文件中包含圖像以及其他格式的文件(如聲頻、視頻、Flash等)，Web瀏覽器會(huì)作相應(yīng)的處理或依據(jù)所支持的的插件進(jìn)行必要的顯示。

　　3、通訊協(xié)議(HTTP協(xié)議)

　　Web瀏覽器與服務(wù)器之間遵循HTTP協(xié)議進(jìn)行通訊傳輸。HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)是分布式的Web應(yīng)用的核心技術(shù)協(xié)議，在TCP/IP協(xié)議棧中屬于應(yīng)用層。它定義了Web瀏覽器向Web服務(wù)器發(fā)送索取Web頁(yè)面請(qǐng)求的格式，以及Web頁(yè)面在Internet上的傳輸方式。

　　Web服務(wù)器通過Web瀏覽器與用戶交互操作，相互間采用HTTP協(xié)議相互通信(服務(wù)器和客戶端都必須安裝HTTP協(xié)議)。Web服務(wù)器也稱為HTTPd服務(wù)器(d是指UNIX系統(tǒng)中的daemon)。最早的Web服務(wù)器軟件是在UNIX系統(tǒng)上發(fā)展起來的，有CERN和NCSA兩種類型。現(xiàn)在占居市場(chǎng)分額最大的是Apache服務(wù)器軟件，并且可以在多種環(huán)境下運(yùn)行，如Unix、Linux、Solaris、Windows 2000等。在Window環(huán)境下，由于Microsoft得天獨(dú)厚的優(yōu)勢(shì)，因而IIS (Internet Information Server)成為Windows NT及 windows 2000下主要的服務(wù)器軟件。

　　Web瀏覽器軟件中，Netscape的Web瀏覽器NN(Netscape Navigator)、NC(Netscape Communicator)具有最廣泛的系統(tǒng)平臺(tái)支持，可以在所有平臺(tái)上運(yùn)行；Microsoft的IE(Internet Explorer)則是Windows平臺(tái)上運(yùn)行最完美的瀏覽器軟件。

　　Web服務(wù)器和Web瀏覽器之間通過HTTP協(xié)議相互響應(yīng)。一般情況下，Web服務(wù)器在80端口等候Web瀏覽器的請(qǐng)求, Web瀏覽器通過3次握手與服務(wù)器建立起TCP/IP聯(lián)接。

　　大多數(shù)Web服務(wù)器和Web瀏覽器已使用了HTTP/1.1版。HTTP1.1具有許多新的特色：

　　(1) 能夠識(shí)別主機(jī)名，允許多個(gè)虛擬主機(jī)名共存于一個(gè)IP上。
　　(2) 具有內(nèi)容協(xié)商的能力，允許服務(wù)器以多種格式存取資源，供Web服務(wù)器和Web瀏覽器選擇最佳版本。
　　(3) 通過持續(xù)性聯(lián)接加速Web服務(wù)器的響應(yīng)速度。
　　(4) 允許Web瀏覽器請(qǐng)求索取文件的某部分，從而為端點(diǎn)續(xù)傳功能提供更好的支持。