网站服务器安全配置

1、第五章电子商务网站管理.学习要点 掌握常见防火墙的运用方法 学会运用效力器版杀毒软件 保证效力器平安的一些常规设置 .问题的提出1综合实例设置相对平安的Windows 2003 Server系统主要内容综合实例设置相对平安的Windows 2003 Server系统人员管理 2网站功能管理 3网络操作系统管理 4数据管理 5电子商务网站设备管理 6电子商务网站环境管理 7网络平安 8.6.1问题的提出 网络构架 Windows Server 2003 自带的防火墙叫做Internet衔接防火墙 (ICF)， 是一种防火墙软件，可以拦截来自网络中的非法通讯。Windows Server2003

2、Standard Edition Windows Server2003 Enterprise Edition(32位) Internet 衔接防火墙Internet 衔接共享网桥 包含在不包含在Windows Server2003 Web EditionWindows Server2003 Datacenter Edition (32位)Windows Server2003(64位) .6.1 防火墙软件的运用案例网络构架.启用Internet衔接防火墙 . 在“控制面板中选择“网络衔接，双击 “本地衔接，点击“属性按钮系统将弹出 “本地衔接 属性窗口 在“本地衔接 属性窗口中选择“高级选 项

3、卡，然后在该选项卡中选择“设置按钮 系统弹出“Windows 防火墙窗口 系统默许防火墙是封锁的，在“Windows 防火墙窗口中选择“启用便可以启动 Internet 衔接防火墙。启动Internet 衔接防 火墙之后在“网络衔接窗口中的本地衔接 图标将变为 ，网络中的其他用户将不 可以访问系统所提供的效力。.6.1 防火墙软件的运用案例管理构架体系.添加允许经过防火墙的端口 . 为了使网络中的平安效力可以经过某些端 口访问本系统，可以在“Windows 防火墙 窗口中选择“例外选项卡，在“例外选项 卡中可以添加允许经过防火墙访问系统的 程序和端口 例如诺顿杀毒软件在遨游客户端时运用的 是

4、SAVRoam 效力经过1056端口衔接到服 务器的，可以在“例外选项卡中点击“添加 端口(O)按钮，然后在弹出的 “添加端口 窗口中添加1056端口，从而使诺顿效力可 以经过防火墙。 .6.1 防火墙软件的运用案例管理构架体系.添加允许经过防火墙的效力. Internet 衔接防火墙在没有添加效力之 前，效力器所提供的任何效力都不允许 网络中的计算机访问。如Web效力，为 了使其他计算机可以访问效力器的Web 效力就必需在Internet 衔接防火墙中进展 添加 在“Windows 防火墙窗口中选择“高级 选项卡，在该选项卡中选择对外效力的 网络衔接 在 “高级选项卡中点击右侧第一个 “设

5、置按钮，系统弹出“高级设置对话框， 在该对话框中选择“Web效力器 ()， 然后点击“确定按钮，这样在网络中的其 他计算机就可以访问效力器所提供的Web 效力了。 .6.1 防火墙软件的运用案例管理构架体系.添加允许经过防火墙的呼应恳求 . 添加了Web效力以后，网络中 的其他计算机可以访问效力器 的Web效力，但是其他计算机 在DOS窗口中运用Ping命令时， 会前往“Request timed out.，这 时候效力器是禁Ping的。 要是效力器可以呼应Ping命令， 需求在“高级设置对话框中选择 “ICMP选项卡，ICMP是Internet 控制音讯协议，在“ICMP选项 卡中选择“允许

6、传入相应恳求， 最后点击“确定按钮就可以了。.6.1 防火墙软件的运用案例管理构架体系 天网防火墙是国内外针对个人用户最好的中文软件防火墙之一，在个人计算机上安装一套天网防火墙个人版，能协助拦截一些来历不明、有害敌意访问或攻击行为。 天网个人版防火墙运用程序界面.6.1 防火墙软件的运用案例管理构架体系平安级别中一切运用程序初次访问网络时都将讯问，曾经被认可的程序那么按照设置的相应规那么运作计算机将完全信任局域网，允许局域网内部的机器访问本人提供的各种效力文件、打印机共享效力但制止互联网上的机器访问这些效力。适用于在局域网中提供效力的用户一切运用程序初次访问网络时都将讯问，曾经被认可的程序那么

7、按照设置的相应规那么运作制止访问系统级别的效力如HTTP等,局域网内部的机器只允许访问文件、打印机共享效力。运用动态规那么管理，允许授权运转的程序开放的端口效力，比如网络游戏等软件提供的效力。适用于普通个人上网用户。高一切运用程序初次访问网络时都将讯问，曾经被认可的程序那么按照设置的相应规那么运作。制止局域网内部和互联网的机器访问本人提供的网络共享效力文件、打印机共享效力，局域网和互联网上的机器将无法看到本机器。除了曾经被认可的程序翻开的端口，系统会屏蔽掉向外部开放的一切端口。也是最严密的平安级别。低级别描画扩基于“中平安级别再配合一系列专门针对木马和间谍程序的扩展规那么，可以防止木马和间谍程

8、序翻开TCP或UDP端口监听甚至开放未答应的效力。适用于需求频繁试用各种新的网络软件和效力、又需求对木马程序进展足够限制的用户。试用版用户不享用这项效力。自定义假设您了解各种网络协议，可以本人设置规那么设置规那么不正确会导致您无法访问网络。适用于对网络有一定了解并需求自行设置规那么的用户。.6.2 综合实例 设置相对平安的Windows Server 2003系统 () 当今时代是Internet的时代，在Internet上发布本人的站点对外提供效力曾经不是一件难事，但保证效力器平安却是网络管理员最重要的职责之一。经过对本节的学习可以设置相对平安的操作系统，用于防御普通性的黑客攻击。 硬件环境

9、1CPU：奔腾2.0GHz 2内存：DDR 256M3光驱：52X CDROM4硬盘：80G5网卡：100M软件环境1系统软件： Windows Server 2003 (中文版)2运用软件： Serv-U-用于设置FTP SQL Server-建立数据库 Norton AntiVirus -杀毒软件3工具软件： Winrar-紧缩/解紧缩 Ghost-操作系统备份提供效力1DNS效力： 域名解析2FTP效力： 文件传输3WWW效力： 网站阅读.6.2 综合实例 设置相对平安的Windows Server 2003系统 () 实施步骤 安装操作系统1根据系统所提供的效力需求对硬盘分为三个盘符，

10、C、D、和E C盘：15G，用于存放系统文件。D盘：50G，用于存放WEB站点文件、 FTP站点文件及数据库文件。E盘：剩余硬盘空间，用于存放效力器 的镜像文件、各种软件的安装文件、 备份文件及各种日志文件。硬盘分区 .6.2 综合实例 设置相对平安的Windows Server 2003系统 () 实施步骤 安装杀毒软件 2杀毒软件是一切计算机必需装的， 包括效力器在内 杀毒软件不但可以为效力器提供最 根本的防护，而且还可以防止黑客 上传木马程序杀毒软件对计算机是实时检测的， 当木马程序预备运转时，杀毒软件 会将其杀掉 安装运用软件 3安装其他运用软件时可以运用默 认安装方式安装SQL Se

11、rver时要留意以下两 点： 1.不要运用sa作为数据库的默 认用户名，需求进展修正； 2.安装终了后，在建立数据库 时要将数据库的存放途径路 径进展修正安装补丁或晋级4没有安装杀毒软件之前尽量不要 上网在线更新补丁，有条件的话 可以运用其他计算机下载补订数 据包，然后再进展更新 补丁包安装终了后再上网更新杀 毒软件的病毒库，病毒库一定要 更新到最新为止最后到微软网站察看能否有最近 的更新，直到IE阅读器显示“安 装更新程序0.6.2 综合实例 设置相对平安的Windows Server 2003系统 () 实施步骤 禁用Guest账号 5Guest帐户即来宾帐户，它 可以访问计算机，但遭到限

12、 制。而且Guest用户也会被 黑客利用，有很多Guest用 户得到管理员权限的方法， 所以禁用或删除Guest帐户 是最好的方法更改超级用户名并设置密码 6没有任何权限的帐户真正的超级用户 在图中，Administrator为圈套用户，而真正的超级用户名为sgnrn Windows Server 2003的超级用户是Administrator，只需知道了超级用户的密 码便可以畅通无阻了，因此可以再建立一个名为Administrator的圈套用户， 并且运用复杂的字符串为密码，然后让该用户不具有任何权限，这样就算黑 客费尽周折破解了这个用户的密码，也不会利用该用户对效力器进展攻击 .6.2 综

13、合实例 设置相对平安的Windows Server 2003系统 () 实施步骤 设置用户访问权限 7设置用户的访问权限只需一 个原那么，就是只开放用户所 需求的权限，其它权限一概 封锁设置用户权限时首先将一切 磁盘设置为只允许超级用户 访问，并开放一切权限，其 它用户均删除用户访问权限的设置可以有 效的抑制黑客入侵，假设服 务器还需求设置其他特殊用 户或权限，可以另行设置 由于D盘需求存放WEB站点文件、FTP站点文件及数据库文件，应该允许其他用户阅读，但并不要求其具有写或更改的权限，所以可以设置Everyone用户对D盘具有“读取和运转、“列出文件夹目录和“读取权限 .6.2 综合实例 设

14、置相对平安的Windows Server 2003系统 () 实施步骤 禁用不运用的效力 8在特定的情况,一些效力有能够会变成黑客可利用的工具。“效力控制台可以让用户封锁不需求的效力 可以在“控制面板中翻开“管理工具窗口，在“管理工具窗口中运转“效力快捷方式就可以翻开“效力界面， 该界面显示了效力器所运转的一切效力 建议禁用的效力Computer Browser维护网络计算机更新，禁用 Distributed File System 局域网管理共享文件，不需要可禁用 Distributed linktracking client用于局域网更新连接信息，不需要可禁用Error reporting

15、 service 发送错误报告，不需要可禁用 Microsoft Serch提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide telnet服务所使用的，不需要可禁用 PrintSpooler 打印服务，如果没有打印机可禁用 Remote Registry 远程修改注册表，不需要可禁用 Remote Desktop Help Session Manager 远程协助，不需要可禁用 .6.2 综合实例 设置相对平安的Windows Server 2003系统 () 实施步骤 设置IIS效力 设置FTP效力 修正日志文件目录 系统备份 其他备份 910111213 不运用默许的Web 站点建立Web效力， 可以在IIS里面重新 建立一个Web站点， 并将默许的Web站点 删除。 删除IIS默许创建的 Inetpub目录，由于 该目录具有平安隐 患。 尽量修正一切日 志文件的默许目 录，以防止黑客 恶意删除日志文 件 另外有些日志文 件可以在被攻击 以后用来分析攻 击源，或攻击手 段 FTP效力可以使 用IIS中所提供的 FTP功能，也可以 运用Serv-U，但是 要运用最新版本， 由于低版本的Serv-U 软件有破绽，最新 版本会好一些 将C盘制造一个 GHOST备份，并将 镜像文件存放在E 盘中，以备未来系 统解体时