web服务器安全毕业设计说明书

安全计算机机房的构建与评测WEB 服务器安全部分摘 要随着计算机普及、互联网 INTERNET 飞速发展，许多企业都开发了自己的 WEB 网站。WEB 服务器是 Intranet（企业内部网）网站的核心，其中的数据资料非常重要，一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好 WEB 服务器中的资源，是一项至关重要的工作。安全部署 WEB 服务器是企业面临的一项重要工作，其中系统安装、安全策略和 IIS 安全策略对企业 WEB 服务器安全、稳定、高效地运行至关重要，该文是基于 Windows 2003 平台来介绍。关键词：WEB，服务器安全，协议安全，IIS 设置THE SECURITY OF THE COMPUTER ROOM CONSTRUCTION AND EVALUATION-WEB SERVER SECURITY SECTIONABSTRACTwith the popularization of computers, the Internet INTERNET rapid development, many companies have developed their own WEB site. The WEB server is Intranet ( intranet ) sites on the core, wherein the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the WEB server resources, is an important task. Deployment of the security WEB server is an enterprise is facing an important task, the system installation, security policy and security strategy of enterprise IIS WEB server security, stable, efficient operation is very important, this article is based on the Windows 2003 platform to introduce.Keywords: WEB, server security, security protocol, IIS set目 录第 1章 前言.11.1 本文目的及意义 .11.2 本文主要内容 .1第 2章 WEB 服务器介绍.22.1 WEB 服务器概念 .22.2 WEB 服务器存在的安全问题 .2第 3章 WEB 服务器安全设置.43.1 选用 NTFS 文件系统 .43.2 选用单操作系统 .43.3 关闭 Windows2003 不必要的服务 .53.4 禁用不必要的协议 .53.5 设置磁盘访问权限 .53.6 关闭不必要的端口及更改远程连接端口 .63.7 限制匿名访问本机用户 .83.8 限制远程用户对光驱或软驱的访问 .83.9 限制 NetMeeting 及禁用 NetMeeting.93.10 注册表防止小规模 DDOS 攻击 .93.11 防火墙及自动更新设置 .10第 4章 IIS 策略应用 .134.1 不使用默认的 WEB 站点将 IIS 与系统盘分开 .134.2 删除不要的 IIS 扩展名映射 .134.3 更改 IIS 日志的路径 .134.4 只选择网站和 WEB 所必需的服务和子组件 .144.5 删除未使用的帐户及设置强密码 .144.6 使用应用程序池 .154.7 将网站或应用程序分配到应用程序池 .16第 5章 WEB 服务器安全评测.17结束语.20参考文献.21致 谢.22第 1章 前言1.1本文目的及意义随着计算机技术的突飞猛进，计算机网络的日新月异，网络已经深入到我们生活的各个角落。小到个人的生活、工作，大至国家的发展以致整个文明的进步。计算机网络在扮演着越来越重要的角色，越来越多的企业及个人都开发了自己的 WEB网站。然而，在如今技术发达的时代，随着互联网技术的发展黑客越来越猖獗。WEB服务器被攻击，网站首页被篡改，各种各样的不安全因素存在我们周围，如何更好的保证 WEB 服务器安全更好的防止黑客的入侵、攻击是每一个人都很关心的话题。可是我们如何确定采取的措施能够创建一个安全的 WEB 服务器，使其不太可能受到外部黑客或内部不良分子的破坏呢？本文以 Windows 系统为基础进行表述。1.2本文主要内容WEB 服务器存在的安全问题从来就不是独立的，系统漏洞，系统权限，网络环境（如 ARP 等）、网络端口管理以及来自 WEB 服务器应用的安全，IIS 本身的配置、权限等，这个直接影响访问网站的效率和结果。本文介绍了什么是 WEB 服务器，WEB 服务器安装需要注意的问题以及如何更好的保证 WEB 服务器的安全。第 2章 WEB 服务器介绍2.1 WEB服务器概念WEB 服务器是指驻留于因特网上某种类型计算机的程序。当 WEB 浏览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附带的信息会告诉浏览器如何查看该文件（即文件类型） 。服务器使用 HTTP（超文本传输协议）进行信息交流，这就是人们常把它们称为 HTTP 的服务器的原因，WEB 服务器应用实例如图 1-1 所示。 图 1-1 WEB 服务器的应用WEB 服务器不仅能够存储信息，还能在用户通过 WEB 浏览器提供的信息的基础上运行脚本和程序。2.2 WEB服务器存在的安全问题Internet 的发展给企业和个人带来了革命性的改革和开放。他们正努力通过利用 Internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 Internet，企业可以从异地取回重要数据，同时又要面对 Internet 开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。随着 Internet 的广泛应用，许多企业开发了自己的 WEB 网站。然而由于人为的无意失误，黑客的恶意攻击，以及借助网络及系统软件的漏洞和“后门”进行捣乱的各种病毒等，使得开发的网站存在多方面的安全问题。要保证企业的 WEB 网站的安全，仅选择一个适合企业特点的防火墙、适合 Win2003 的杀毒软件是不够的。更主要的要在企业内部 WEB 服务器的安装、设置等方面多做文章，以提高网站自身的免疫力。第 3章 WEB 服务器安全设置由于本篇文章以 Windows 为基础进行研究的，所以在此 Linux 系统不再叙述。Windows 系统是企业网站的基础，只有充分利用其自身的功能实现对系统的安全控制才能保证网站及数据的安全。3.1 选用 NTFS文件系统 NTFS 文件系统比 FAT 系统多了安全控制功能，可以对不同的文件夹设置不同的访问权限，因此拥有更强大的安全性。需要注意的是，目前大多数反病毒软件没有提供对软盘启动后 NTFS 分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动时，后果比较严重，因此平时应做好病毒的预防及系统的备份工作。另外将系统盘与网站程序分开放置。3.2 选用单操作系统作为 WEB 服务器的计算机不要安装多种操作系统，否则黑客会利用其攻击Windows 2003 系统，使系统重启到另一个缺乏安全设置的操作系统进行破坏，将操作系统文件所在分区与 WEB 数据（包括其他应用程序）所在的分区分开，并在安装时使用其自定义的目录，以免攻击者利用应用程序的漏洞（如微软的 IIS 漏洞）导致系统文件的泄露，甚至让入侵者远程获取管理员权限，不安装与 WEB 站点服务无关的软件，安装操作系统最新的补丁程序，否则黑客可能会利用低版本的补丁的漏洞对系统造成威胁，另外也给病毒带来可乘之机。3.3 关闭 Windows2003不必要的服务Windows2003 系统中包括许多服务，而这些服务可能包含各种安全漏洞，如：甲服务器能暴漏账号信息，乙服务在已知账号名称的情况下可以取得账号的密码。当这两种服务都开通时，系统也就被攻破。其次，不同的软件在同一系统下运行时，可能会产生一定的冲突，从而产生新的漏洞，而这些漏洞是未知的。因此，作为 WEB网站的 Win2003 系统，必须停掉没有用的服务。3.4 禁用不必要的协议NetBIOS 协议在 WEB 服务器上是黑客扫描工具的首选目标，因此，必须解除NetBIOS 与 TCP/IP 协议的绑定。方法“设置控制面板网络连接本地连接属性TCP/IP属性高级WINS禁用 TCP/IP 上的 NetBIOS。另外，NetBIOS、IPX/SPX 协议对 WEB 网站也没有任何用处，只会被某些黑客工具利用，也必须禁用或删除（操作如图 3-1）。图 3-1 禁用不必要协议3.5 设置磁盘访问权限系统磁盘只赋予 administrators 和 system 权限，系统所在目录（默认时为Windows）要加上 users 的默认权限，以保障 ASP 和 ASPX 等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加 system 用户权限，否则启动不成功。3.6 关闭不必要的端口及更改远程连接端口在 Internet 上 ， 各 主 机 间 通 过 TCP/IP 协 议 发 送 和 接 收 数 据 包 ， 各 个 数 据 包根 据 其 目 的 主 机 的 IP 地 址 来 进 行 互 联 网 络 中 的 路 由 选 择 。 可 见 ， 把 数 据 包 顺 利 的传 送 到 目 的 主 机 是 没 有 问 题 的 。 问 题 出 在 哪 里 呢 ?我 们 知 道 大 多 数 操 作 系 统 都 支持 多 程 序 （ 进 程 ） 同 时 运 行 ， 那 么 目 的 主 机 应 该 把 接 收 到 的 数 据 包 传 送 给 众 多 同时 运 行 的 进 程 中 的 哪 一 个 呢 ？ 显 然 这 个 问 题 有 待 解 决 ， 端 口 机 制 便 由 此 被 引 入 进来 。本 地 操 作 系 统 会 给 那 些 有 需 求 的 进 程 分 配 协 议 端 口 （ protocol port， 即 我们 常 说 的 端 口 ） ， 每 个 协 议 端 口 由 一 个 正 整 数 标 识 ， 如 ： 80， 139， 445， 等 等 。当 目 的 主 机 接 收 到 数 据 包 后 ， 将 根 据 报 文 首 部 的 目 的 端 口 号 ， 把 数 据 发 送 到 相 应端 口 ， 而 与 此 端 口 相 对 应 的 那 个 进 程 将 会 领 取 数 据 并 等 待 下 一 组 数 据 的 到 来 。如 果 攻 击 者 使 用 软 件 扫 描 目 标 计 算 机 ， 得 到 目 标 计 算 机 打 开 的 端 口 ， 也 就 了解 了 目 标 计 算 机 提 供 了 哪 些 服 务 。 我 们 都 知 道 ， 提 供 服 务 就 一 定 有 服 务 软 件 的 漏洞 ， 根 据 这 些 ， 攻 击 者 可 以 达 到 对 目 标 计 算 机 的 初 步 了 解 。 如 果 计 算 机 的 端 口 打开 太 多 ， 而 管 理 者 不 知 道 ， 那 么 ， 有 两 种 情 况 ： 一 种 是 提 供 了 服 务 而 管 理 者 没 有注 意 ， 比 如 安 装 IIS 的 时 候 ， 软 件 就 会 自 动 增 加 很 多 服 务 ， 而 管 理 者 可 能 没 有注 意 到 ； 一 种 是 服 务 器 被 攻 击 者 安 装 木 马 ， 通 过 特 殊 的 端 口 进 行 通 信 。 这 两 种 情况 都 是 很 危 险 的 ， 说 到 底 ， 就 是 管 理 员 不 了 解 服 务 器 提 供 的 服 务 ， 减 小 了 系 统 安全 系 数 。图 3-2 常用端口常用端口图 3-2 在缺省情况下，所有的端口将对外开放，而有些黑客工具可以扫描那些可以利用的端口，所以为了系统安全关闭不用的端口为最佳。常用端口(见图 3-2).关闭端口具体操作如下。本地连接属性Internet 协议(TCP/IP) 属性高级选项TCP/IP 筛选属性把勾打上，操作如图 3-