【摘要】作為網(wǎng)管人員最擔(dān)心Web服務(wù)器遭到攻擊，一旦遭到攻擊，網(wǎng)站的所有信息可能面目全非，直到整個(gè)Web系統(tǒng)全面癱瘓。因此，選擇安全性能好的Web服務(wù)器軟件尤其重要。作為Internet 上最流行的Web服務(wù)器軟件，Apache的安全性經(jīng)受了時(shí)間和市場(chǎng)的雙重檢驗(yàn)。取得了驚人的成功。了解Apache Server的特性，并進(jìn)行合理的配置將是每一個(gè)站點(diǎn)管理維護(hù)或開發(fā)人員必須關(guān)注的問題。

　　一、Apache 服務(wù)器的功能
　　
　　Apache Serve的前身是NCSA的httpd，曾經(jīng)在1995年成為最為流行的萬維網(wǎng)的服務(wù)器。因?yàn)閺?qiáng)大的功能和靈活的設(shè)置及平臺(tái)移植性，Apache Server取得了廣泛的信賴。Apache Server的主要功能有：

　　1、支持最新的HTTP1.1協(xié)議（RFC2616）。
　　2、極強(qiáng)的可配置和可擴(kuò)展性，充分利用第三方模快的功能。
　　3、提供全部的源代碼和不受限制的使用許可（License）。
　　4、廣泛應(yīng)用于windows 2000/NT/9x、Netware 5.x，OS/2 和UNIX家族極其他操作系統(tǒng)，所支持的平臺(tái)多達(dá)17余種。
　　5、強(qiáng)大的功能，涵蓋了用戶的需求，包括：認(rèn)證中的DBM數(shù)據(jù)庫(kù)支持；錯(cuò)誤和問題的可定制響應(yīng)的目錄導(dǎo)向功能；不受限的靈活的URL別名機(jī)制和重定向功能；虛擬主機(jī)（多宿主主機(jī)）支持多個(gè)域主頁共存一臺(tái)主機(jī)；超強(qiáng)的日志文件功能；利用站點(diǎn)的分析；拓展于維護(hù)等等。

　　正因?yàn)檫@些強(qiáng)大的優(yōu)勢(shì)，使Apache Server與其他的Web服務(wù)器相比，充分展示了高效、穩(wěn)定及功能豐富的特點(diǎn)。Apache Server 已用于超過600萬個(gè)Internet站點(diǎn)。

　　二、Apache 服務(wù)器的安全特性

　　作為最流行的Web服務(wù)器，Apache Server提供了較好的安全特性，使其能夠應(yīng)對(duì)可能的安全威脅和信息泄漏。

    1、采用選擇性訪問控制和強(qiáng)制性訪問控制的安全策略

　　從Apache 或Web的角度來講，選擇性訪問控制DAC（Discretionary Access Control）仍是基于用戶名和密碼的，強(qiáng)制性訪問控制MAC（Mandatory Access Control）則是依據(jù)發(fā)出請(qǐng)求的客戶端的IP地址或所在的域號(hào)來進(jìn)行界定的。對(duì)于DAC方式，如輸入錯(cuò)誤，那么用戶還有機(jī)會(huì)更正，從新輸入正確的的密碼；如果用戶通過不了MAC關(guān)卡，那么用戶將被禁止做進(jìn)一步的操作，除非服務(wù)器作出安全策略調(diào)整，否則用戶的任何努力都將無濟(jì)于事。

　　2、Apache 的安全模塊

　　Apache 的一個(gè)優(yōu)勢(shì)便是其靈活的模塊結(jié)構(gòu)，其設(shè)計(jì)思想也是圍繞模塊（Modules）概念而展開的。安全模塊是Apache Server中的極其重要的組成部分。這些安全模塊負(fù)責(zé)提供Apache Server的訪問控制和認(rèn)證、授權(quán)等一系列至關(guān)重要的安全服務(wù)。

　　mod_access模塊能夠根據(jù)訪問者的IP地址（或域名，主機(jī)名等）來控制對(duì)Apache服務(wù)器的訪問，稱之為基于主機(jī)的訪問控制。

　　mod_auth模塊用來控制用戶和組的認(rèn)證授權(quán)（Authentication）。用戶名和口令存于純文本文件中。mod_auth_db和mod_auth_dbm模塊則分別將用戶信息（如名稱、組屬和口令等）存于Berkeley-DB及DBM型的小型數(shù)據(jù)庫(kù)中，便于管理及提高應(yīng)用效率。

　　mod_auth_digest模塊則采用MD5數(shù)字簽名的方式來進(jìn)行用戶的認(rèn)證，但它相應(yīng)的需要客戶端的支持。

　　mod_auth_anon模塊的功能和mod_auth的功能類似，只是它允許匿名登錄，將用戶輸入的E-mail地址作為口令。

　　SSL（Secure Socket Lager），被Apache所支持的安全套接字層協(xié)議，提供Internet上安全交易服務(wù)，如電子商務(wù)中的一項(xiàng)安全措施。通過對(duì)通訊字節(jié)流的加密來防止敏感信息的泄漏。但是，Apache的這種支持是建立在對(duì)Apache的API擴(kuò)展來實(shí)現(xiàn)的，相當(dāng)于一個(gè)外部模塊，通過與第三方程序的結(jié)合提供安全的網(wǎng)上交易支持。