網路企業保護技巧

　　現在我們用的網際網路的時間越來越多，需要掌握的網路技能也很多，那麼你瞭解嗎?下面是小編整理的一些關於的相關資料，供你參考。

　　1、確保你的數字證書包括子域

　　為避免訪問者收到數字證書錯誤，一定要保證你的SSL證書覆蓋 URL。你可以使用一個多域的SSL證書來實現此功能，這種證書通常會允許你指定多達三個主題選擇名稱***即SAN***，如貴站域名或者

　　2、禁用對弱加密的支援。

　　幾乎所有的Web伺服器都支援強加密演算法***128位***或極強的加密演算法***256位***，但許多伺服器還在支援弱加密，黑客們會利用這個漏洞來損害企業網路安全。我們沒有理由支援弱加密，只需用很短的時間來配置伺服器就可以禁用弱加密：

　　SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW

　　3、使用擴充套件驗證***EV***的數字證書。

　　雖然對於網站的安全並非生死攸關，但擴充套件驗證證書卻可以在多數瀏覽器的位址列中得到清晰的證實，即訪問者擁有了一個到達網站的安全的SSL連線。只有在認證授權採取了嚴格的措施來確認你的身份後，並且是你控制著釋出證書的域名時，才會釋出擴充套件驗證證書。

　　4、確保所有的認證階段都通過SSL進行。

　　保護使用者憑證至關重要，而這意味著在使用者提交表單時，你需要通過SSL連線傳送使用者登入的表單，並且藉助SSL來保護其憑證。否則，就有可能被黑客截獲表單，並用一個別有用心的不安全表單來替換之，進而將使用者的憑證傳送到黑客自己的伺服器上。

　　5、不要在網頁上將SSL保護的內容與明文混在一起。

　　將二者混在一起會導致網站遭受損害，因為一個不受保護的源***如JavaScript***可被用於注入惡意程式碼，或導致中間人攻擊。

　　6、使用HSTS協議來保護域名***包括子域***。

　　在用HSTS保護網站時，在初次訪問後，到網站的所有連結都會自動地從HTTP轉換為HTTPS，而且訪問者無法再次訪問網站，除非它擁有一個合法的、並非自已簽名的數字證書。這意味著黑客們無法將使用者重向到釣魚網站***黑客通過一個不安全的連結來控制此網站或竊取不安全的會話cookies***。

　　必須只能通過HTTPS的應答來發送嚴格傳輸安全***STS***的報頭，並且只需簡單的幾行就可以搞定其配置。對於Apache而言，可以這樣操作：

　　Header set Strict-Transport-Security "max-age=XXXXXX"

　　Header append Strict-Transport-Security includeSubDomains

　　7、使用HttpOnly 和Secure標記來保護cookies

　　用於認證的cookies在SSL會話期間可被用於損害會話的SSL安全性。HttpOnly標記可以使你釋出的cookies對客戶端指令碼不可見，所以客戶端無法通過跨站指令碼攻擊漏洞來竊取cookies，而Secure標記意味著，只能通過一個加密的SSL連線來傳輸cookies，因而 cookies無法被截獲。

　　為了配置你的web伺服器，使其能夠通過HttpOnly 和Secure屬性來發布cookies從而防護這兩種攻擊，你只需要簡單地增加將; Secure ; HttpOnly新增到Set Cookie Http響應報頭中：

　　Set-Cookie: =; = ; expires=; domain= ; secure; HttpOnly

　　8、禁用對SSLv2的支援。

　　該版本的SSL協議在15多年前就被證明是不安全的，但如今有許多Web伺服器仍在使用它。禁用此協議用了不多少時間。例如，在Apache v2中，你需要對預設為配置進行改變：

　　將：SSLProtocol all

　　變為：SSLProtocol all -SSLv2

　　看過文章“

　　1.網路安全知識

　　2.企業網路安全解決方案

　　3.資訊網路安全

　　4.網路安全縱深防禦

　　5.計算機網路安全