計算機網(wǎng)絡(luò)安全課程設(shè)計 WEB服務器的安全配置

1、 題 目： WEB服務器的安全配置 學 院： 信息學院 專 業(yè)： 網(wǎng)絡(luò)工程 姓 名： 湯佳慧 學 號： 1101010137 班 級： 信息A1111班 摘 要隨著計算機普及、互聯(lián)網(wǎng)的飛速發(fā)展，許多企業(yè)都開發(fā)了自己的WEB網(wǎng)站。WEB服務器是intranet（企業(yè)內(nèi)部網(wǎng)）網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補的損失，管理好、使用好、保護好WEB服務器中的資源，是一項至關(guān)重要的工作。安全部署WEB服務器是企業(yè)面臨的一項重要工作，其中系統(tǒng)安裝、安全策略和IIS安全策略對企業(yè)WEB服務器安全、穩(wěn)定、高效地運行至關(guān)重要?！娟P(guān)鍵字】WEB,服務器安全，協(xié)議安全，IIS設(shè)置

2、Abstract With the popularization of computers,the Internet rapid development,many companies have developed their own WEB site. The WEB server is Intranet (intranet) sites on the core, where in the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, u

3、se, protect the WEB server resources, is an important task.Deployment of the security WEB server is an enterprise is facing an important task, the system installation, security policy and security strategy of enterprise IIS WEB server security, stable, efficient operation is very important.keywordsW

4、EB,server security, security protocol, IIS set目 錄前 言1第一章 需求分析21.1 WEB服務器的概念21.2 WEB服務器存在的安全問題2第二章 安裝和配置IIS32.1 僅安裝必要的組件32.2 修改上傳文件的大小32.3 IIS安全設(shè)置4第三章 WEB服務器的安全設(shè)置103.1 選用NTFS文件系統(tǒng)103.2 選用單操作系統(tǒng)103.3 關(guān)閉Windows 2003不必要的服務103.4 禁用不必要的協(xié)議103.5 設(shè)置磁盤訪問權(quán)限113.6 關(guān)閉不必要的端口及更改遠程連接端口113.7 限制匿名訪問本機用戶123.8 限制遠程用戶對光驅(qū)或軟

5、驅(qū)的訪問133.9 限制NetMeeting 及禁用NetMeeting13第四章 WEB服務器安全評測15第五章 結(jié)論16參考文獻17致 謝18前 言 隨著計算機技術(shù)的突飛猛進，計算機網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個角落。小到個人的生活、工作，大至國家的發(fā)展以致整個文明的進步。計算機網(wǎng)絡(luò)在扮演著越來越重要的角色，越來越多的企業(yè)及個人都開發(fā)了自己的WEB網(wǎng)站。然而，在如今技術(shù)發(fā)達的時代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，黑客越來越猖獗。WEB服務器被攻擊，網(wǎng)站首頁被篡改，各種各樣的不安全因素存在我們周圍，如何更好的保證WEB服務器安全更好的防止黑客的入侵、攻擊是每一個人都很關(guān)心的話題。 WEB

6、服務器存在的安全問題從來就不是獨立的，系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如ARP等），網(wǎng)絡(luò)端口管理以及來自WEB服務器應用的安全，IIS本身的配置、權(quán)限等，這個直接影響訪問網(wǎng)站的效果和結(jié)果。第一章 需求分析1.1 WEB服務器的概念 WEB服務器是指駐留于因特網(wǎng)上某種類型計算機的程序。當WEB瀏覽器（客戶端）連到服務器上并請求文件時，服務器將處理該請求并將文件發(fā)送到該瀏覽器上，附帶的信息會告訴瀏覽器如何查看該文件（即文件類型）。服務器使用HTTP(超文本傳輸協(xié)議)進行信息交流，這就是人們常把它們稱為HTTP的服務器的原因。1.2 WEB服務器存在的安全問題 Internet的發(fā)展給企業(yè)和個人帶來了

7、革命性的改革和開飯。他們正努力通過利用Internet來提高辦事效率和市場反應速度，以便更具競爭力。通過Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全帶額新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內(nèi)部員工的安全訪問；以及保護企業(yè)的機密信息不受黑客和商業(yè)間諜的入侵。 隨著Internet的廣泛應用，許多企業(yè)開發(fā)了自己的WEB 網(wǎng)站。然而由于人為的無意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進行搗亂的各種病毒等，使得開發(fā)的網(wǎng)站存在多方面的安全問題。要保證企業(yè)的WEB網(wǎng)站的安全，僅選擇一個適合企業(yè)特點的防火墻、適合系統(tǒng)的殺毒

8、軟件是不夠的。更主要的是要在企業(yè)內(nèi)部WEB服務器的安裝、設(shè)置等多方面多做文章，以提高網(wǎng)站自身的免疫力。第二章 安裝和配置IIS2.1 僅安裝必要的組件選擇Internet(信息服務IIS)即可。原則是網(wǎng)站需要組件功能才安裝，比如ASP.NET或其它組件不需使用就不要安裝。2.2 修改上傳文件的大小Windows server 2003服務器，當上傳文件過大（超過200K）時，提示錯誤號 2147467259。原因是IIS6.0默認配置把上傳文件限制在200k，超過即出錯。解決方法如下：首先，停止以下服務：IIS admin serviceWorld Wide Web Publishing Se

9、rviceHTTP SSL然后找到：C:Windowssystem32inesrvmetabase.xml Windowssystem32inesrv編輯文件metabase.xml(不要用寫字板，要用記事本編輯，否則容易出錯。)找到：ASPMaxRequestEntityAllowed 默認為 204800 （200k），改成需要的！保存。最后，啟動上面被停止的服務，就完成了！注：可能會碰到metabase.xml 文件不能被保存，原因是你的服務未停干凈，建議重啟以后再進行上面的操作。2.3 IIS安全設(shè)置1刪掉c:/inetpub目錄，刪除iis不必要的映射。 2使用虛擬主機的每個web站

10、點都應該新建單獨的IIS來賓用戶。3IIS為每個虛擬主機設(shè)置來賓帳號，這樣即使一個網(wǎng)站由于后臺漏洞被入侵也不會波及整臺服務器,整個服務器管理權(quán)限不會淪陷。4IIS管理后臺設(shè)置限定IP地址訪問,僅僅開放需要進入后臺的IP。5IIS管理器內(nèi)一些文件夾內(nèi)只有圖片并沒有程序（例如image、pic），可將其運行權(quán)限設(shè)置為無（默認可運行腳本）。6將IIS日志默認保存位置修改至其它分區(qū)，防止黑客入侵后刪除安全事件及web日志。7防止ASP木馬程序入侵的三種辦法：（1）上傳目錄的權(quán)限選擇無執(zhí)行權(quán)限，即使上傳木馬也會因無執(zhí)行權(quán)限而入侵失敗。訪問時可執(zhí)行文件的ASP顯示：（2）上傳的文件加上IP地址限制，只允許

11、信息員機器IP地址訪問。a.目錄限定：b.文件限定： （3）在上傳文件中增加驗證程序，比如：<!-#include FILE="./admin/check.asp"->這樣打開頁面即提示：（4） 加入防注入代碼，在上傳文件入口處或關(guān)鍵程序中增加一行代碼調(diào)用防注入程序，可以登陸后臺對防注入程序進行管理，查看入侵掃描信息。代碼不要放在首頁，這樣影響網(wǎng)站打開速度，網(wǎng)站首頁的ASP代碼要盡可能少，最好已經(jīng)是HTML，調(diào)用數(shù)據(jù)庫內(nèi)容太多會影響網(wǎng)站速度。圖一 登陸后臺頁面圖二 入侵信息記錄在防注入系統(tǒng)后臺系統(tǒng)設(shè)置中推薦采用“直接關(guān)閉網(wǎng)頁”。鎖定IP可以封掃描IP，但不推薦使

12、用，以防誤操作一個局域網(wǎng)段的internet出口地址全部被封。這個自己在使用中可以慢慢體會。（5） 使用從網(wǎng)上摘抄的源代碼后臺需要對其進行改動，尤其是上傳文件名，比如upfile.asp改為jxic-upfile.asp。第三章 WEB服務器的安全設(shè)置3.1 選用NTFS文件系統(tǒng) NTFS文件系統(tǒng)比FAT系統(tǒng)多了安全控制功能，可以對不痛的文件夾設(shè)置不同的訪問權(quán)限，因此擁有更強大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導致系統(tǒng)不能正常啟動時，后果比較嚴重，因此平時應做好病毒的預防及系統(tǒng)的備份工作。；另外將系統(tǒng)盤與網(wǎng)站程序分

13、開放置。3.2 選用單操作系統(tǒng) 作為WEB服務器的計算機不要安裝多種操作系統(tǒng)，否則黑客會利用其攻擊Windows 2003系統(tǒng)，使系統(tǒng)重啟到另一個缺乏安全設(shè)置的操作系統(tǒng)進行破壞，將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)（包括其他應用程序）所在的分區(qū)分開，并在安裝時使用其自定義的目錄，以免攻擊者利用應用程序的漏洞（如微軟的IIS漏洞）導致系統(tǒng)文件的泄露，甚至讓入侵者遠程獲取管理員權(quán)限，不安裝WEB站點服務無關(guān)的軟件，安裝操作系統(tǒng)最新的補丁程序，否則黑客可能會利用低版本的補丁的漏洞對系統(tǒng)造成威脅，另外也給病毒帶來可乘之機。3.3 關(guān)閉Windows 2003不必要的服務 Windows 2003 系統(tǒng)中

14、包括許多服務，而這些服務可能包含各種安全漏洞，如：甲服務能暴漏賬號信息，乙服務在已知賬號名稱的情況下可以取得賬號的密碼。當這兩種服務都開通時，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運行時，可能會產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為WEB網(wǎng)站的Win2003系統(tǒng)，必須停掉沒有用的服務。3.4 禁用不必要的協(xié)議 NetBIOS 協(xié)議在WEB服務器上是黑客掃描工具的首選目標，因此，必須解除NetBIOS 與TCP/IP 協(xié)議的綁定。方法“設(shè)置控制面板網(wǎng)絡(luò)連接本地連接屬性TCP/IP屬性高級WINS禁用TCP/IP上的NetBIOS”。另外，NetBIOS、IPX/S

15、PX協(xié)議對WEB網(wǎng)站也沒有任何用處，只會被某些黑客工具利用，也必須禁用或刪除。操作如圖三所示。圖三 禁用NetBIOS 協(xié)議3.5 設(shè)置磁盤訪問權(quán)限 系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄（默認時為Windows）要加上users的默認權(quán)限，以保障ASP和ASPX等應用程序正常運行。其他磁盤可以此為參照，當某些第三方應用程序以形式啟動時，需加system用戶權(quán)限，否則啟動不成功。3.6 關(guān)閉不必要的端口及更改遠程連接端口 在Internet上，各主機間通過TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來進行互聯(lián)網(wǎng)絡(luò)中的路由選擇?？梢姡?/p>

16、數(shù)據(jù)包順利的傳送到目的主機是沒有問題的。問題處在哪里呢？我們知道大多數(shù)操作系統(tǒng)都支持多程序（進程）同時運行，那么目的主機應該把接收到的數(shù)據(jù)包傳送給眾多同時運行的進程中的哪一個呢？顯然這個問題有待解決，端口機制便由此被引入進來。 本地操作系統(tǒng)會給那些有需求的進程分配協(xié)議端口（protocol port，即我們常說的端口），每個協(xié)議端口由一個正整數(shù)標識，如：80，139,445，等等。當目的主機接收到數(shù)據(jù)包后，將根據(jù)報文首部的目的端口號，把數(shù)據(jù)發(fā)送到相應端口，而與此端口相對應的那個進程將會領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。 如果攻擊者使用軟件掃描目標計算機，得到目標計算機打開的端口，也就了解了目標計

17、算機提供了哪些服務。我們都知道，提供服務就一定有服務軟件的漏洞，根據(jù)這些，攻擊者可以達到對目標計算機的初步了解。如果計算機的端口打開太多，而管理者不知道，那么，有兩種情況：一種是提供了服務二管理者沒有注意，比如安裝IIS的時候，軟件就會自動增加很多服務，而管理者可能沒有注意到；一種是服務器被攻擊者安裝木馬嗎，通過特殊的端口進行通信。這兩種情況都是很危險的，說到底，就是管理員不了解服務器提供的服務，減少了系統(tǒng)安全系數(shù)。3.7 限制匿名訪問本機用戶 “開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“對匿名連接的額外限制”在下拉菜單中選擇“不允許SAM賬戶的匿名枚舉”“確定”

18、。操作如圖四所示。圖四 限制匿名用戶3.8 限制遠程用戶對光驅(qū)或軟驅(qū)的訪問 “開始”“程序”“管理工具”“本地安全策略”“本地策略”“安全選項”雙擊“只有本地登錄用戶才能訪問軟盤”在單選按鈕中選擇“已啟用（E）”“確定”。操作如圖五所示。圖五 限制遠程用戶對光驅(qū)軟驅(qū)訪問3.9 限制NetMeeting 及禁用NetMeeting 運行“gpedit.msc”“計算機配置”“管理模板”“Windows組件”“NetMeeting”“禁用遠程桌面共享”右鍵在單選按鈕中選擇“啟用（E）”“確定”。操作如圖六所示。圖六 限制共享第四章 WEB服務器安全評測 經(jīng)過以上設(shè)置服務器的所有分區(qū)均采用了NTFS格式進行設(shè)置并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機會。開啟防火墻能確保基本的防毒，安裝自動更新能及時的檢查系統(tǒng)及時更新微軟發(fā)布的安全補丁，及時給系統(tǒng)填補漏洞。僅安裝必要的IIS組件，開啟必要的端口及協(xié)議防止黑客利用掃描工具進行掃描。設(shè)置用戶權(quán)限，可以防止非法用戶的進入。設(shè)置相應的策略審核，可以及時的記錄系統(tǒng)的狀態(tài)，事件額發(fā)生。經(jīng)過這些設(shè)置，一個基本安全的服務器就正常運行了。 經(jīng)過自動更新的設(shè)置，一旦微軟有新的漏洞補丁發(fā)布，服務器立即就會自動更新，防止部分不法分子利用漏洞進行服務器掃描攻擊等。第五章 結(jié)論 由于本人在知識、經(jīng)驗