Web安全设置和对策.doc

web安全设置和对策摘要：本文介绍了以web安全为现状，分析其存在的各类问题，并从操作系统安全和web服务器安全两方面，阐述了关于web安全的一些系统设置，并从iis平台、apache平台的对web安全设置做了介绍,最后，通过以上分析，得到一些具有普遍现实操作价值的措施，以期给大众一些有益的指导。关键词：web安全；iis、apache安全设置。1.背景及主要谈论内容互联网进入中国20年来，已成为人们生活中不可分割的一部分。web应用也迅速发展，各类网站数量直线上升。但伴随发展，日益突出的是安全问题，黑客攻击、病毒、漏洞等。人们在享受web便利的同时也要忍受web安全的威胁。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露，确保系统能连续、可靠、正常地运行，网络服务不中断。系统平台的安全和web服务器的安全是目前国内外web安全的主要研究方面。现有的常用系统，如windows、unix、linux，是黑客攻击的重点对象。系统平台安全研究主要在安全操作系统、安全数据库等，而服务器安全主要是apache、iis的安全配置与安全缺陷分析，包括安全模型，iis安全锁等。本文主要谈论他们的安全性和设置。我们团队的合作流程（注：猪八戒有两次确认机会）： 第一次确认（中标） 沟通（写作、设计等细节） 安排相关的人员完成稿件 客户确认 再一次修改和完善（或者不需要） 客户满意 最后猪八戒确认 赏金支付！2 系统平台安全 unix于1969年产生于at&t贝尔实验室，目前，也有许多国人开发的unix系统。对unix系统而言，主要的安全隐患来自一些应用的远程漏洞、本地漏洞和守护进程程序错误等安全漏洞。对unix，我们要做到的是周期性的常规检查，及时发现问题，及时解决问题。此外，周期性关注应用程序官方更新，打好补丁，也能在一定程度上保证unix系统安全。linux系统中的不必要服务、系统出入、登录密码、安全漏洞等是主要的安全关注点。这里，有一些工具可以很好保证web安全，像具备远程监察相关安全漏洞；检测系统缺失补丁的功能安全漏洞扫描器（nessus和nmap）。linux的安全还需要通过保持经常性的安全检查，保持最新的系统核心，采用安全工具，定用户账号的安全等级，以及增强安全防护工具等措施去保证。 windows作为微软microsoft软件帝国的城基，因其易学易用的特点而在桌面系统领域占据着统治地位。同时，随着众多业余编程用户的加入，使得windows的服务器系统得到了越来越多的应用，在我国，70%的用户使用windows系统作为服务器系统。但windows操作系统的大多数版本有一个共性：默认安装后安全性都非常差。比较明显的一个例子就是在用户登陆后，每个用户都具有硬盘分区的访问控制权。另外，系统还开放了一些服务（如messenger服务),允许通过迂回的方式绕过用户审核直接进入系统。这都是web安全的潜在危险因素。通俗的去比较windows和unix安全性，有这么一种说法：unix你用什么，它给你什么；windows它全部都给你，你爱用什么去拿什么。所以默认安装完成后，windows系统安全性很不理想。这很清楚地说明我们需要关闭一些服务以便保证windows系统的安全。接下来以windows servers 2003为例，说明一些提高windows系统的安全的设置。一：文件系统权限。需要将at.exe、attrib.exe、cmd. exe、format.exe 、net.exe、netstat.exe、regedit.exe、tftp.exe 文件全部设置为只允许用户访问。在c盘的权限问题上，只给system和administrators，另外要在windows目录要加上用户默认权限以防asp和aspx程序运行失败。二：网络通信。启动系统自身防火墙，改变端口。防火墙能很大程度上拦截外界对windows 2003系统的非法入侵，阻止外界非法对windows进行远程扫描，对提高服务器安全指数大有裨益。三：用户设置。系统用户数量最好保持一个，并由管理员设置一个安全有效的密码，管理员名称需要定期去更改等等。四：注册列表。syn攻击、icmp重定向报文攻击和关闭默认共享对提高系统安全都很有意义，这些都可以通过修改注册列表来实现。3 web服务器安全3.1 iis平台iis即internet information service，是由微软推出的服务平台。iis拥有相当精简的管理和配置，下面主要分析以win2003为基础的iis6的安全配置。在iis安装完成后会在wwwroot下生成目录，其默认设置包括msadc、iissamples、iishelp等在内的虚拟目录，这些设置并没有太多的额实际意义，他们位置不定，有时候在program files下，有时候在安装目录下，这样不明确的安装位置很可能造成很大伤害，完全可以删除。安装完成后，某些iis组件对系统会有潜在的安全隐患，可能会造成安全威胁，这些组件都应当从系统中去掉。当然，这些情况要根据个人而定。像是如果你不太需要通过服务器转发邮件，或提供新闻组服务，就可以删除smtp service和nntp service；如果你一般情况下不会通过web进行管理，我的建议是卸载掉internet服务管理器；而像样本页面和脚本，这些更多的意义在于显示iis的强大功能，基本无用，但它却会被用来执行应用程序，有必要可以删除。以上提到的组件，包括一些本文未提及的，全都是不必要的，建议根据实际情况处理。iis权限的问题上，一般说来，对一个文件夹永远也不应该同时设置写权限和执行权限，以防止攻击者向站点上传并执行恶意代码。iis文件设置必要权限时，要同时在其管理器和操作系统中进行，从而达到双重保障。最后我们要做的是禁止目录浏览，以防黑客将文件夹全部浏览而找到漏洞。最后，为站点上不同文件建立目录，并分配适当权限也是个很好的设置策略。在iis的应用程序映射中，会常用到的就是.asp的这个程序映射，其它的程序映射都极少会涉及。但目前已发现众多的程序映射存在缓存溢出问题，缓存溢出会成为黑客入侵的把柄。即使已经安装了系统最新的补丁程序，仍然没法保证安全。所以我们最好要删除某些映射如.htw、.ida、.idq、.cer、.cdx、 .asa、.htr、.idc、.shtm、. shtml、.stm、.printer。这步的具体操作是在“internet服务管理器”中，右击网站目录，选择“属性”，在其中选择“主目录”页面，点击“配置”，在弹出的“应用程序配置”对话框，操作“应用程序映射”页面，删除以上无用的程序映射。另外，如果偶然需要恢复这一类型文件时，可以选择安装系统修补程序来解决。具体操作为：选中相应的程序映射，再点击“编辑”按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选 “检查文件是否存在”选项。操作后，要求此类文件时，iis会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。 3.2 apache平台 apache server作为目前最流行和广泛的web服务平台，为广大用户提供了较好的安全保障。但apache server也有其缺陷和不足，使用http协议进行的拒绝服务攻击，会使apache对系统资源的需求剧增，最后使系统缓慢甚至瘫痪。攻击者可以发送一个超长请求使缓存区溢出，因为apache一般以root权限运行，进而攻击者可以获得root权限，接着控制整个系统。以下四个文件，httpd.conf主配置文件,srm.conf添加资源文件,access.conf设置文件，是apache web主要的三个配置文件，其中httpd.conf是apache功能实现和安全配置的发生地。一般情况下，如果在apache server进程包含有root用户特权，这就会给系统安全构成很大威胁。apache web的三个配置文件，他们的位置均在/usr/local/apache/conf目录下。apache的一些功能实现和安全配置主要是在httpd.conf文件中进行。所以，保证apache server以较低权限运行，及时更换httpd.conf中user选项，可使apache在相对安全的状态下运行。同样，apache 主目录的访问权限也要严格控制，以免普通用户意外修改目录内容。当然，apache的默认设置不能全部保障安全，还需要改变apache 服务器的确省访问特性。4 总结策略总要来实际实施使用才有意义，最后就在这里总结一些常用的web安全方法：对于web安全问题，有很多的对策。因为开发者也和我们普通用户一样关注它，漏洞一出现，往往开发者就会第一个作出反应，及时制作有效地补丁。所以打好补丁，定期更新系统对普遍使用者是很有效的安全策略。当然，安全问题的产生也有很大的责任在使用者的行为，像权限设置不恰当、密码过于简单易破解、大量地随意地下载一些绿色版和安全版软件等。为保证自身计算机web安全，我们自身应当杜绝这种引