“既然護(hù)衛(wèi)神.防入侵系統(tǒng)那么強(qiáng)大，為什么還需要網(wǎng)站安全策略呢？”這應(yīng)該是很多用戶心中的疑問。

簡單來說，之所以需要網(wǎng)站安全策略，不是防入侵系統(tǒng)不行，而是網(wǎng)站自身缺陷的原因。

接下來我們就為您詳細(xì)講解網(wǎng)站安全策略的好處，以及和防入侵系統(tǒng)的區(qū)別。

1、功能區(qū)別

網(wǎng)站安全策略是對單個(gè)網(wǎng)站做ACL加固和訪問加固。

防入侵系統(tǒng)則是對服務(wù)器做整體防護(hù)，很難精確到具體的每個(gè)網(wǎng)站，并且沒法做ACL加固。

什么是ACL加固？

工程師通過人工分析網(wǎng)站結(jié)構(gòu)，基于“精確區(qū)分游客和管理員”的理念，對每一個(gè)文件進(jìn)行ACL權(quán)限加固，最大限度降低游客的操作權(quán)限，讓游客無權(quán)做任何入侵操作。

什么是訪問加固？

簡單說就是限制文件和目錄的Web訪問權(quán)限，例如：禁止訪問、禁止腳本以及其他訪問限制等。

2、網(wǎng)頁木馬問題

防入侵系統(tǒng)支持在上傳時(shí)、保存前、保存時(shí)、保存后進(jìn)行全方位的木馬查殺。

但一個(gè)眾所周知的問題，所有殺毒軟件都是采用病毒樣本和行為分析模式，先有病毒后有殺毒。

黑客可以不斷變種木馬，讓所有殺毒軟件都沒法及時(shí)查殺。沒有一家殺毒軟件公司敢承諾有100%的查殺效果，防入侵系統(tǒng)也只有最多99%的查殺能力。

部署安全策略以后，不再使用病毒庫和行為分析模式，直接免疫網(wǎng)頁木馬。

3、在線上傳問題

雖然可以通過“靜態(tài)目錄保護(hù)”，禁止上傳目錄執(zhí)行動態(tài)腳本�；蛘咄ㄟ^“命名防護(hù)”，禁止上傳目錄保存動態(tài)腳本文件。

但是有的在線上傳程序支持自定義上傳目錄，黑客可以把網(wǎng)頁木馬上傳到網(wǎng)站根目錄（是的，就是跟目錄），您總不至于禁止根目錄執(zhí)行動態(tài)腳本吧，那網(wǎng)站基本就廢了。

部署安全策略，會做嚴(yán)格的ACL權(quán)限加固，只能上傳到指定目錄，其他任何目錄都不行。

4、防篡改副作用問題

防篡改模塊可以鎖定網(wǎng)站文件，禁止保存動態(tài)腳本文件，但存在諸多副作用，例如：

1、不便于用戶自己維護(hù)

2、PHP緩存文件無法生成

3、生成靜態(tài)功能不可用

而使用網(wǎng)站安全策略，則不存在這些問題。既沒有副作用，又能解決安全問題。

綜上所述，網(wǎng)站安全策略主要面向自身存在重大缺陷的網(wǎng)站，有效解決“不同網(wǎng)站，結(jié)構(gòu)不同，內(nèi)容不同，漏洞也不同”的問題。

那么，是不是意味著可以只要安全策略，不要防入侵系統(tǒng)了呢？

答案是否定的，因?yàn)榘踩�策略只有兩個(gè)功能：ACL加固和訪問加固。對于SQL注入、暴力破解、遠(yuǎn)程登錄、軟件漏洞、系統(tǒng)漏洞均沒有防護(hù)能力。因此網(wǎng)站安全策略只是防入侵系統(tǒng)的安全補(bǔ)充。