《电子商务应用》-第4章 电子商务网站运营与维护

教学目标了解电子商务网站的运营和安全维护内容。包括选择硬件服务器环境、域名的注册、综合的网站推广技术和保障网站安全运行和在故障情况下的处理。商务网站的运营，内容从商务活动到技术保证，可以说是多种知识的结合。掌握这些相关技能是运营商务网站的必备条件和组成部分。关键词汇电子商务网站、网站推广、域名注册、商务网站安全、服务器供应商知识回顾

1．服务供应商的选择

服务供应商（ISP）所提供的服务，决定了电子商务网站的硬件环境。电子商务网站运营中最大的投资就是选择服务供应商支付资金并得到硬件服务。硬件服务主要包括供应商提供的服务器主机和带宽能力。服务器主机是电子商务网站的宿主，服务器质量的很大程度上决定了电子商务网站的运营是否能够持续稳定。除去服务器本身的服务能力，带宽是另一个决定为用户提供服务能力的硬性指标。原则上，我们认为越大的带宽可以提供的数据流量就越大，同时为更多用户服务的能力也就越强，用户打开页面的等待时间也就越短，可以为电子商务网站留住更多的潜在客户。2．域名注册及管理

域名就像是互联网上的身份证或者门牌号码一样，只有为电子商务网站申请了域名，包括英文和正在大力推广的中文域名，电子商务网站才能被众多互联网的用户找到并浏览。可以说域名的注册相当与现实业务中的租赁和购买店铺一样。

域名的申请和注册有相应的域名管理机构来完成，电子商务网站的运营的中域名的申请和注册是必不可少的环节，而且随着运营状况的改变（比如说服务供应商的改变）域名信息要随之发生变化，这就涉及到了域名的管理。3．电子商务网站推广电子商务网站的运营，网站的推广是至关重要的。既是制作再优良的网站，没有好的策划宣传，不为用户所知道和了解，那么商业的业绩也是可想而知的。如何做好电子商务网站的宣传是摆在每个电子商务网站管理者面前最难的问题，在几种常用的推广的方法上进行结合自身特点的创新，是当前一种新的探索方向。4．电子商务网站安全与维护互联网是开放的，开放性带来了无限的商机，也带来的形形色色的安全问题。电子商务网站自身的安全问题，如何保护好自己的商务网站；电子商务交易的安全问题，如何保证用户的资金在交易过程中是安全的；诸如此类的安全问题，困绕者每个电子商务的经营者和电子商务的用户，怎么做才能最大限度实现电子商务的安全，是不容忽略的现实问题。电子商务网站的运营，必然带来电子商务网站的维护，这个维护既包含了硬件的维护、功能的维护，也包含了数据的维护和安全的维护。商务网站的稳定运行，需要制定详细的维护方案，并依据此进行操作，以保证网站的正常经营。4.1服务供应商的选择4.1.1服务器和宽带的配置服务器是对于专门处理应用系统的一种计算机的统称。从包含处理器的个数来分，服务器分为单路服务器、双路服务器、四路服务器、8路服务器等等，其中将4路以上统称多路服务器;从处理器架构来分，服务器包括RISC服务器和X86服务器，一般我们对通用基于X86服务器称为PC服务器。Web应用的不同对服务器要求也不同。如，采用静态页面处理的应用系统对系统要求不高，甚至可以使用单路服务器满足要求，采用动态页面处理的机器，需要通过多台双路或更高的处理能力强的服务器组成集群系统来完成。除去服务器本身的服务能力，带宽是另一个决定为用户提供服务能力的硬性指标。原则上，我们认为越大的带宽可以提供的数据流量就越大，同时为更多用户服务的能力也就越强，用户打开页面的等待时间也就越短。选择合适的服务器和宽带接入是电子商务网站成功运营的基础。在选择的时候，应从技术要求和资金消耗两个方面考虑。服务器和宽带技术必须满足网站的访问需求。稳定的服务器环境，网站的程序可以正常运行，不至于频频发生访问错误。在运行过程中积累的用户数据和商品数据信息可以安全的存储，不产生丢失。必要的带宽，可以保证多用户的同时访问，不发生无法连接或者等待时间过长的情况。这都是运行一个商务网站基本的需求。服务器和宽带的接入，投入的资金是比较大的。一般大中型的网站会考虑自己购买服务器放入服务商的机房并选择相应的宽带接入方式。在满足现有的运行要求并有一定冗余的基础上，尽可能的降低资金的投入，缩小网站初期的投入，也是作为运营者应重点考虑的内容。下面以TnCom公司WEB平台的搭建为例，讲述WEB平台服务器和宽带的配置设计。在TnCom项目实施的时候，可以选择的商业javaWeb服务器有IbmWebSphere，BeaWebLogic。这两种服务器功能齐全而强大，支持所有的java服务容器标准，适合成品商业javaWeb应用的发布。但是这两种服务器是商业服务器，价格昂贵，而且对系统资源要求极高。特别是Websphere配置复杂，如果不配合采用ibmWebsphereStudioApplication非常不适合对项目进行二次开发。而且他们不同的版本对servlet.jar等jdk的要求不同。在自由代码领域，有许多免费的轻型的JavaWeb服务器可以供我们选用，如Tomcat，Resin，Orion等等。他们使用都很方便，占用资源也很少，适合开发中不断的调试；还可以和Jbuilder这样的集成开发工具集成使用。根据实际开发中的情况来看，JakataTomcat和SunJava结合的最好，和其他应用服务器配合使用可支持完整的j2ee标准，应用也很广泛。但是从Java普遍存在的编码问题来看，还是Resin解决的最好。还有从项目规模的使用角度讲，Resin比Tomcat方便，而且Resin也可以结合Jbuilder6等ide使用。从而该项目使用了Resin做为Web服务器。4.1.2案例一Resin可以在/download/index.xtp免费下载和使用。把Resin作为收费产品发布是需要付费的，目前的版本是2.10。下载Resin时选择ArchiveVersions中的windows.zip的普通安装包resin-2.1.0.zip。把该zip包解压到任何目录下面，如d:\resin。以下介绍都假设Resin安装在d:\resin下。进入d:\resin\bin，键入httpd，可以在命令行控制台下运行Resin服务器。此时弹出一个有start和stop两个Radio按纽和一个close按纽的对话框。在这里可以看到Resin的运行信息。这些信息同时Resin可以在d:\resin\log目录下面的stdout.log日志文件中察看到。如：Resin2.0.4(builtThuNov1517:56:24PST2001)Copyright(c)1998-2001CauchoTechnology.Allrightsreserved.StartingResinonWed,23Jan200214:41:47+0800(CST)httplisteningto*:80srunlisteningtohaitaiserver:6802点选stop，可以停止当前的Resin服务器进程；再点选start，又可以开启新的Resin服务器进程。关闭该对话框，则回到Command控制台的盘符提示状态下。如果在nt4或者win2k环境下，需要把Resin当成服务，只需要在Command控制台的该目录下，键入httpd?install，就可以在管理工具的服务下面看到新增了一条ResinWebServer的自动的服务。以后只要进入nt4或者win2k，就可以启动Resin服务。该服务也可以像其他服务一样设置成手动或者禁用状态。注意有的时候在安装完服务后，启动Resin，并不能看到自己写的Resin例程可以被解析，浏览器显示服务器找不到错误。只要重新启动win2k或者nt，就能解决该问题。Resin服务器和大多数JavaWeb服务器一样，通过一个Xml文件配置。进入d:\resin\conf目录，打开resin.conf，这是一个xml格式的文本。这里面有很多标记，先查找到：<http-server>。在<http-server></http-server>标记对中的配置和resin的JavaWeb服务器有关。找到<app-dir>，在<app-dir></app-dir>标记对中的表示resin的根，相当于Apache的htdocs或者IIS的wwwroot。Resin自带http服务器，但是也可以不使用它，采用Apache或者IIS做http服务器。再查找<httpport=´8080´/>标记，它可以这样配置<httphost=´localhost´port=´80´/>。host参数指定的是服务器，port指定的是http端口，默认是localhost和8080。还有<srunhost=´localhost´port=´6802´/>标记。这个是jsp和javaServlet的引擎配置。一般默认就可以了，除非6802端口已经被别的程序占用了。然后，配置jdk。这个需要在classpath中设置。右键点击我的电脑，在系统特性的高级标签中，点击环境变量，在系统变量中新建一个环境变量，变量名为classpath，值为jdk所在的目录；再新建另外一个环境变量，变量名为path，值为javac.exe和java.exe所在的目录（在jdk所在的目录下面的bin目录下）。一般这样子配置以后，Resin就可以使用了。在d:\resin\doc中（假设你的<appdir></appdir>对中的名称是doc，也就是根是d:/resin/doc，而且你的<httphost=´localhost´port=´80´/>如左配置），随便写一个jsp文件，如可以写个test.jsp文件，内容为<%=1+2+3%>。然后，在浏览器中，键入http://localhost/test.jsp。如果你可以看到浏览器显示相应提示，则表示Resin服务器已经可以正常运行了。注意，修改配置后，一般重新启动resin才能看到变化。使用Resin开发TnCom项目时，需要建立自己的WebApp。这里不介绍ResinCmp/Ejb的开发和使用，只介绍用Resin开发普通的jsp\javaservlet项目。在这里还要谈到resin.conf的配置。Resin中的应用可以有2种方式发布：一是在Resin的目录下发布；二是打包成War发布。1．在Resin的目录下发布在resin.conf中查找<web-app>标签，该标签表示一个web应用。标签中，id属性表示该应用的Web路径。如<web-appid=´/test´>，表示该应用在Web上访问的时候应该用http://hostname/test/来访问。app-dir属性表示该应用的实际路径。如

<app-dir>d:\resin\doc\test</app-dir>表示该应用在d:\resin\doc\test目录下面。默认值为根下面的和id同名的目录。Resin可以配置3种error：404错误也就是文件找不到错误页；Exception违例页；不能连接java引擎页。他们分别可以这样子设置。

404文件找不到页

<web-appid=´/app1´><errorerror-code=´404´location=´/file_not_found.jsp´/></web-app>

Exception违例页

<web-appid=´/foo´><errorexception-type=´java.lang.NullPointerException´location=´/nullpointer.jsp´/></web-app>

不能连接到srunServlet引擎错误页

该页设置和应用无关，属于服务器的设置。<http-server><errorexception-type=´connection´location=´/missing_file.html´/></http-server>

classpath的设置

参见下面的语句：

<classpathid=´WEB-INF/classes´source=´WEB-INF/src´compile=´true´/>

id参数的值表示classpath中编译后的class的存放路径；source参数的值表示classpath中java源代码的存放路径；compile中的值可能是true或者false，表示是否由Resin的srun自动编译java源代码。Classpath的设置一般和javaBean或者Servlet的使用有关。id的值表示javaBean的编译好的包存放的根，source的值表示javaBean的java源代码存放的根。Servlet相同。

Servlet的设置

参见下面的语句：

<servlet-mappingurl-pattern=´*.xtp´servlet-name=´xtp´/><servlet-mappingurl-pattern=´*.jsp´servlet-name=´jsp´/><servlet-mappingurl-pattern=´/servlet/*´servlet-name=´invoker´/>

一般就是指定那些需要通过srun的解析。比如在这里，把*.jsp改成*.jss，其他不变，那么只要在访问时遇到

*.jss的文件就和原来遇到*.jsp一样处理。通过这个可以指定解析的引擎，如以下的配置：

<servlet-mappingurl-pattern=´*.xtp´servlet-name=´com.caucho.jsp.XtpServlet´/>

在Servlet中，也可以指定servlet。如

<servletservlet-name=´hello´servlet-class=´test.HelloWorld´/><servlet-mappingurl-pattern=´/hello.html´servlet-name=´hello´/>在servlet-mapping中有个重要的参数case-sensitive如果在windows上，最好配置成false，忽略大小写，从

而和windows的约定一致。

Session的配置

参见如下的配置语句：

<session-config><session-max>4096</session-max><session-timeout>30</session-timeout><enable-cookies>true</enable-cookies><enable-url-rewriting>true</enable-url-rewriting><file-store>WEB-INF/sessions</file-store></session-config>

session-max：最大session数量session-timeout：session过期时间，以分钟为单位。

是否允许cookie：指session是否采用cookies。如果采用cookies，浏览器必须支持session才能使用，发布时建议改成false。enable-url-rewriting和enable-cookies一般配合使用。如果enable-cookies是false，enable-url-rewriting应该设成true比较合适。file-store：该配置指示服务器是否把session作为文件存放在服务器上。如果把该项注释掉，则在你的web-app目录下的WEB-Inf/sessions目录不保存序列化后的session对象。Session还有jdbc-store配置，对应着把session通过jdbc永久保存在数据库中。其实也就是会话变量的序列化后的保存和重新载入的物理实现。在这里session还支持了多服务器的设置问题，

通过tcp-store参数设置。由于涉及到负载平衡的问题，下面是一个例子：

<http-server>

<httpid=´a´port=´80´/><srunid=´a´host=´host-a´port=´6802´/>

<hostid=´´><web-appid=´´>

<session-config><tcp-store/><always-load-session/></session-config></web-app></host>

</http-server>

这个例子表示session是按照tcpring的方式传递。

temp-dir的设置temp-dir指的是应用的临时目录。也就是在javax.servlet.context.tempdir中用到的目录。模认是应用目录下的WEB-INF\tmp目录。以上的设置都可以在<web-app>标签对中设置，控制某个web应用的设置。2．打包成War发布以下是介绍对如何在resin下使用已经打包成War的javaWeb应用进行发布。其实这个是最简单也是最清晰的良好方法。在TnCom中，所有的子项目都打包成ear发布。其中，Web应用打包成war，ejb应用打包成jar。在resin中，这些都可以直接部署。这里我只对打包成war的Web应用的部署做介绍。在resin.conf中，查找这个：<war-dirid=´webapps´/>。他表示war文件应该被拷贝的路径。这里指的是相对于resin的安装路径，如以上的设置表示d:\resin\webapps。只要重新启动Resin就可以了。Resin会把该war自动解包到webapps目录下。你可以在command控制台或者stdout.log中看到类似于[2002-04-2709:56:21.680]initializingapplicationhttp://haitaiserver:8080/rwtest的语句。这个表示该Web应用是自动安装的。只要这个应用是符合j2ee标准的Web应用，应该不会有问题。通过如上显示的路径就可以访问到这个应用。如果你到d:\resin\webapps\rwtest中浏览，你会看到Resin已经为你生成了rwtest目录，下面是META-INF和WEB-INF还有你自己的JSP\servlet文件和目录。是完全符合j2ee的结构的。你可以在rwtest目录下建立新的jsp\servlet，一样可以被编译和解析并运行的。在实际操作中，可以使用Jbuilder或者WebSphere等Ide工具进行集成调试和打包，非常的方便。Resin中如果定义了错误页，则出错后最常见的一大串Exception不会被看到，直接跳转到错误页。所以建议开发中先不设置错误页。jsp错误中最常见的就是NullpointException，其次是名称的拼写错误。错误也可以在Resin安装目录下的log目录下的stderr.log中找到。通过对该log文件的分析可以看到很多有用的错误信息。在调试jsp的时候，如果定义了compile为true，jsp先被翻译成Servlet的java文件，再被编译成class文件。可以在你自己的work目录中找到该文件。java的名称在Resin中是这样子定义的：原先的jsp文件名前加下划线，再加上_jsp这个字样。所以在java应用中的命名不要以_jsp结尾，也不要出现中文名称等字符；其实名称以_jsp为开头也是不合法的。关于java对多国语言的支持问题，在Resin中得到了很好的解决。以jsp为例，参考Resin自动生成的javaServlet文件。只要在任何的jsp文件的最开始处增加：

<%@pagecontentType="text/html;charset=gb2312"%>

中文问题就解决了。察看生成的Servlet源文件片断：

response.setContentType("text/html;charset=gb2312");request.setCharacterEncoding("GB2312");

以上为设置字符集privatestaticbyte[]_jsp_string26;privatestaticbyte[]_jsp_string27;

_jsp_string26="\r\n</table>\r\n<tableclass=\"type\">\r\n<tr>\r\n<td>".getBytes("GB2312");_jsp_string27="\r\n</td><td>\r\n</tr>\r\n<!--\r\n<tr>\r\n<td>\r\".getBytes("GB2312");

以上是对页面的显示的编码。其中，getBytes("gb2312")是静态编码，这是Resin为了解决某些环境下还是不能正常显示而设置的。在Resin的配置文件(/conf/resin.conf)中，可以通过设置<jspprecompile=´true´static-encoding=´false´recompile-on-error=´true´/>中的static-encoding属性为true或者false，来控制是否静态编码。其实在Resin容器的内部，所有的字符都是按照iso-8859-1来处理的。iso-8859-1是一个大字符集，虽然中文的gb2312和8859在字的定义上有不同，但是编码是包容了gb2312的。按照解决多国语言的方法，在纯英文平台上用iso-8859-1处理内部编码，而把字符的显示推向客户端的机器。所以这样只要编码是正确的，在页面上显示中文就不存在问题。Tomcat3.2不方便的地方是Tomcat对数据库的操作中文支持不好，需要手动在javaBean或者Servlet中硬编码。通过测试，在Resin中完全没有这个问题。在Resin中可以自动解决引入的jar。这个在使用特殊的类或者第三方提供的开发包非常有用。方法非常简单：只要把该jar或者是zip拷贝到Resin安装目录下的lib目录下面，重新启动Resin，就可以了。如db2用到的db2java.zip文件，只要轻松拷贝到d:\resin\lib中就可以了。Resin提供了对Jbuilder的集成调试。可以到：/projects/jbuilder/resin-jbuilder.jar免费下载到resin的jbuilder的ide扩展包。然后，把该包该名成：resin-jbuilder.jar，拷贝到jbuilder6\lib\ext目录下。然后，把Resin2.1解包安装在jbuilder6\resin-2.1目录下，就可以了。打开任何的War项目，在project上点右键，选择properties，选择Servers标签。在原来的选择框上，就可以看到多了一项Resin2.1。这样子就可以象原来用tomcat一样调试jsp\servlet了，而且比Tomcat更方便。调试方法和用Tomcat调试一样。

使用Resin可以和apache结合使用。也就是利用apache做http服务器，而Resin做srun服务器。可以参考resin\conf\samples目录下的apache.conf。主要就是把app-dir设成/usr/local/apache/htdocs（也就是apache的root）。同时在apache中的http.conf也做了相应的设置。Resin还提供了对该过程的自动安装程式，运行resin\bin\setup，你可以在弹处的对话框中选择apache，这样子就可以了。只要你曾经安装过apache，resin可以自己找到httpd.conf文件所在的路径。使用命令行方式启动Resin，如果改动了Resin.conf，Resin会自己重新启动适应新的配置。这个很适合初期安装时使用。Resin对数据库缓冲池的支持很好。在这里，它提供了DBPool对缓冲池做了封装。实际使用时，只要在resin.conf这样配置：

<dbpool.sql>

<id>ORCL</id>

<driver>oracle.jdbc.driver.OracleDriver</driver>

<url>jdbc:oracle:thin:@localhost:1521:SMTH</url>

<!--<url>jdbc:oracle:oci8:@SMTH</url>-->

<user>scott</user>

<password>tiger</password>

<max-connections>5</max-connections>

</dbpool.sql>

先导入com.caucho.sql.*包，然后如下直接得到连接：

Connectionconn=DBPool.getPool("ORCL").getConnection();

按照ejb的方法用从Context中直接找到的DataSource对象中得到连接通用性比较好。代码也很简单Contextctx=newInitialContext();DataSourceds=(DataSource)ctx.lookup(“jdbc/EmployeeDB”);Connectionconn=ds.getConnection();

在Resin中如下配置jdbc就可以了：

<resource-ref><res-ref-name>jdbc/EmployeeDB</res-ref-name><res-type>javax.sql.DataSource</res-type><init-paramdriver-name="com.caucho.jdbc.mysql.Driver"/><init-paramurl="jdbc:mysql_caucho://localhost:3306/test"/><init-paramuser="name"/><init-parampassword="password"/><init-parammax-connections="20"/><init-parammax-idle-time="30"/></resource-ref>4.2域名注册及管理4.2.1域名及管理体系Internet的IP地址、域名、协议号码都是由一个非盈利的国际组织ICANN(InternetCorporationforAssignedNamesandNumbers)负责分配和管理的，这个组织管理着域名根服务器。从上面的解释机制我们知道跟服务器负责给出com、net、org等顶级域名的服务器地址，也就是说ICANN可以决定起用哪些新的顶级域名。在1999之前com、net和org的域名注册全部由一家公司管理（NetworkSolutionsInc，简称NSI），这种独家生意遭到了许多非议，终于在1998年美国商务部和NSI达成了一个协议。让NSI开放了域名注册系统，即将原先由NSI独家拥有的注册平台改变成可以由任意多个注册商共同使用的共享注册系统(即SharedRegistrationSystem，简称SRS)，能够使用这套系统的注册商身份是平等的。然后由一家非营利组织即ICANN负责管理和审批注册商的申请事宜。初始开放的顶级域名太少，而后新增新的顶级域名。审批新顶级域名的事情也是由ICANN负责，通过审批的顶级域名也通过SRS注册。虽然注册过程基本相同，不过有些新的顶级域名的注册商审批并不是通过ICANN进行的，而是由于域名的发起人来选择。这种顶级域名称为"发起人域名"。那些有ICANN审批注册商的顶级域名为"非发起人域名"（虽然都有一个发起人），不过现在大部分的新域名已经变成了非发起人域名了。具体的域名情况可以在这个URL中查到/tlds/

不是所有提供域名注册服务器的都是注册商，只有直接使用SRS的才是域名注册商（Registrar），其他的不过是注册商的代理罢了。用户通过注册商的代理或直接通过注册商将注册资料提交给SRS，这样就完成了域名注册过程，在顶级服务器中设置了相应的记录。域名注册的具体过程每个注册商户代理商都会有一些不同，不过大体上的原理是一样的。在注册域名之前你必须确认该域名还没有被注册。然后你需要做一些准备工作：1．准备好你的身份资料。2．准备好用于你的域名解释的DNS服务器。在注册域名的时候你需要提交域名、你的身份资料和两台已经注册的DNS服务器名称。域名实际上是一种财产，所以需要有一个拥有人。你的身份资料在注册的时候将写入域名相关数据库用以表示你对该域名的拥有权。所以身份资料必须正确无误，否则你将没有办法证明你拥有这个域名，在进行域名转让的时候会发生大麻烦。对于国内的用户来说比较麻烦的是国际域名要求用户的身份资料是英文的。对于一般的公司不存在很大的困扰，公司一般都有相应的英文名称，即使没有翻译也比较好办。如果是个人一般推荐护照上的名称或者使用拼音。身份信息还包括联系地址、电话等等。这些属于联系信息的资料日后是可以更改的，只有名称是不能随便更改的，因此名称必须正确无误。和域名相关的联系人一般有4个，分别是拥有人（注册人），域名管理员，技术联系人和交费联系人。其中拥有人标示了域名的拥有权。域名拥有人可以更改其他3个联系人的身份。域名管理员属于域名日常管理角色，可以更改除拥有人之外的其他3个联系人的身份。技术联系人则仅仅能够更改域名的DNS服务器纪录。交费联系人用于注册商通知域名续费事宜。一般的注册商或代理都会提供相关的操作界面让域名的注册人管理这些信息。你只要有对应得账号和密码就可以更改。但是如果你忘记了密码或者其他什么事情没有办法修改这些资料，只要你能够像注册商出示拥有人有效的身份证明，还是可以获得域名的控制权的。4.2.2域名注册的过程域名注册中和此相关的内容最重要的就是DNS服务器记录。在我们成功注册了域名之后，在顶级域名服务器中会增加我们的域名，然后在该域名下会增加两条NS记录，分别就是我们在注册的时候填写的DNS服务器的域名，另外还会增加两条和NS记录域名对应的地址记录用来解释域名服务器的Ip地址。这里需要特别指出的是解释NS记录中的域名的方法和普通的域名解释方法是不一样的。一般的域名解释都是通过授权服务器进行解释的。在注册新的域名服务器的时候，需要注意以下几点：1．必须确保域名服务器的域名尚未被注册。2．域名服务器必须对应一个固定的IP地址，因为在顶级域名服务器上这些名字解释记录的生存时间一般是2天，也就是IP地址改变的时候至少需要48小时才会完全生效。如果你的服务器IP地址确实需要改变，必须保证新地址和就地址至少有48小时的衔接期。另外，不言而喻的是你必须能够在对应的DNS服务器上管理自己的域名，因为注册过程仅仅是在顶级服务器上开设了一个指针。具体的解释工作还需要在授权服务器上进行配置。成功注册了域名之后，域名的日常管理就是对各种域名记录的配置和管理。下面我对常用的三种域名记录进行一个简单的介绍，这三种域名记录类型分别是A记录（地址记录）、CNAME记录（别名记录）和MX记录（邮件服务器记录）。前面两种主要作用都是将一个域名解释成一个IP地址，用于几乎所有的TCP/IP通信。后一种是将一个域名解释成一个邮件服务器的域名，只用于SMTP（互联网的邮件系统）通信过程。在开始之前需要简单说明一下DNS系统所作的事情不仅仅是将域名解释成IP地址。DNS实际上作的是名字翻译工作。虽然在TCP/IP环境下最后基本上都会牵扯到IP地址。但是DNS允许通过不同的类型让同一个名称拥有不同的含义。比如同样的这个名称在Web/FTP通信过程中对应的是一个地址，在SMTP通信中则变成一个邮件服务器。这样就允许我们将Web和SMTP服务器放在不同的IP地址上。DNS服务器进行名字解释的时候依赖的是一个数据文件，每个域名都有一个独立的数据文件，这个文件包括了该域名所有的名称，名称对应的类型和对应的类型数据。DNS规定的名称类型有近20个，不过常用的除了我们下面介绍的三种外，还有就是soa记录和NS记录。A记录（地址记录）这种记录是最简单的一种CNAME（别名记录）MX（邮件服务器记录）4.2.3域名记录下面以为例，讲解域名解析的过程：

主域名解析：要使域名（以为例）真正生效，需要设置两个IP记录：＂www＂和＂@＂，其中＂www＂对应的域名为：，＂@＂对应的域名为：。把这两个记录分别指向指定的某个相同（当然也可以不同）的IP地址，如：02。这样，域名和过一会儿（几个小时）就正式生效了。

二级域名解析：域名管理控制面板－＞DNS解析记录管理－＞增加IP记录－＞输入主机名（假设为：download）－＞输入IP地址（假设为：0），则该IP记录对应的二级域名就是：。当然，您还可以设置多个二级域名，方法相同。增加邮件解析：需要完成两步，第一步：增加一个二级域名mail，IP地址指向邮件服务器的IP地址就可以了。第一步：增加一个MX记录，主机名：@、优先级：10、对应MAIL主机名：mail。注意：一定记得添加MX记录，否则收发邮件将会不稳定。4.2.4案例一URL地址转发：域名管理控制面板－＞DNS解析记录管理－＞URL地址转发－＞增加地址转发－＞输入主机名（如：）－＞输入需要转发的地址就ＯＫ了。IIS的基本安全配置：为了提高IIS的安全性，微软公司分别在2002.10.10和2003.05.09发布了两个IIS安全工具：［IISLockdownV2.1］和［URLScanV2.5］（它们均可在微软公司的官方网站：［］上免费下载）。其中［IISLockdown2.1］包含了［URLScan］。IISLockdown2.1具有如下功能：禁用或者删除不必要的IIS服务和组件。修改默认配置，提高系统文件和Web内容目录的安全性。用URLScan来过滤HTTP请求。

在正式应用IISLockdown或URLScan之前，务必搜索微软的知识库，收集可能出现问题的最新资料。掌握这些资料并了解其建议之后，再在测试服务器上安装IISLockdown，全面测试Web应用需要的IIS功能是否受到影响。最后，做一次全面的系统备份，以便在系统4.3电子商务网站推广电子商务网站的推广是一个吸引人的话题，同时也是最难解决的问题。这需要一些经验，有些人曾经无数次尝试改变，但发现计数器上的值还是0，要突破你想要的界限，需要某种指导。因为总有人走在你前面，他们的成功可能是偶然的，但更多是他们不停的实践任何的想法。即使失败，一些经验就会被积累。而成功有时来自那些经验，一个好的网站不但需要精深的主页设计技术和对整个网络的了解，还需要对网站进行广泛的宣传。在众多的网站中能发现你的网站，这就是你的成绩。现在许多优秀的商务网站还默默无闻，这并不是网站设计的失败，也不是没有吸引力，而是宣传的力度不够。当今的互联网上电子商务网站的推广分为三个方向：1、门户网站上的品牌建立。2、在专业搜索引擎上的流量推广。3、浏览器地址栏中输入中文名字对于网站保护性的推广。为此，常用以下的推广方法或方式：商务网站的设计需要一些技术，而更多的是对整个网络的了解，即使你投入了非常大的精力，但只是获得了失败，这就是现在许多非常优秀的商务网站还默默无闻的道理。所以我们要努力改造自己的站点，使得它产生更多吸引力，而这又是提高访问量的关键。当我们在开始改造商务网站使其具有品牌效应的时候，考虑以下问题：●站点的定位是什么？●商品的设置分类合理吗？●浏览者能快速找到想要的商品吗？●怎样根据统计数据修改网页？●那些商品是受欢迎的？定位准确：建立商务网站站点，是销售出商品或者寻找某种机遇。商品网站的定位必须明确，一个定位模糊网站是很难得到别人的认同的。很多商务网站在设计内容上贪大求全，是本来不丰富的网站商品内容看起来更加少的可怜。要知道商务的运作是需要一定的周期的，在网站的创建初期，可以展示的商品数量和种类是比较有限的，这就需要合理的规划网页，添加一些导购知识，丰富网页的内容。在商品的逐步增加的同时，再进行替换和修改。快速浏览和查找：没有什么比花很长时间打开页面更槽糕的了。一个标准的网页应不大于60K，用户下载不能超过30秒。这就需要少在网站主页上放图片和长篇文章，少用插件、动画、Java、AxtiveX，少用框架和声音。4.3.1品牌商务网站更好的平台兼容性：要为用户着想，最好能在PC和Mac机上都测试你的网站，也要在不同的浏览器上测试你的网站。商品内容的优化：商品内容是网站的核心，好的商品信息才能在根本上吸引访问者。在网络上，获取商品信息变得十分容易，你的商务站点能经常提供有价值的商品信息，将更能吸引访客。很长时间的商品信息不更新，会给人网站停运的假相，是本来冷清的网站更加冷清，流量持续减少。页面的优化：尽量使用最新的WEB技术来设计你的页面。因为即使内容是站点的关键，但没有好的视觉享受，会使得访客有枯燥无味的感觉，但在使用新技术时，不要凌驾于访客之上，尽量与每一个人的系统兼容。页面的美观程度和整体布局是网站给访问者的第一印象。第一是特殊字体的应用，虽然你可以在你的HTML中使用特殊的字体，但是你不可能预测你的访问者在他的计算机上将看到什么，所以应当坚持使用通用字体。第二是背景与文本的颜色。有些人为了表现自己很“酷”，用一些特别的背景和文本颜色，很可能会使网页难于阅读。你应当坚持使用白色的背景和黑色的文本。增加网站交互性：越来越多的访客希望有互动的内容，他们不想只是看，还想动动手，在你的站点上加点什么，所以，增加一个BBS或者聊天室，同浏览者共同探讨商品内容和信息，并解答浏览者的提问。在网上信息资源迅速增加的今天，搜索引擎变得越来越重要，据最新的调查，有85%的上网者经常使用搜索引擎查找相关的站点。把商务网站注册到搜索引擎是必做的工作，但这同样需要相应的技巧。根据经验，即使你把站点注册到搜索引擎里，也并不能提高站点的流量，可能的机会是，当有一万次搜索时，搜索到你网站点并进入的机会只可能会是1次，更有可能一次机会都没有，我并没有夸张。作为电子商务网站的设计和管理者要了解一下注册的技巧，而不是简单的告诉搜索引擎我的商务网站在那里。搜索引擎分为两种，一种为人工登记，比如yahoo，另一种为自动登记的，这是目前最多的类型。人工登记，就是靠人把站点的资料输入数据库，它的好处是目录会清晰明了，相对来说内容较少，但被搜索到的机会就会增加。而自动登记的站点，内容十分丰富，但这样一来，搜索时，会把不相关的站点也搜索出来。这两种站点，对于我们来说，都可以利用，但要知道一些技巧。如果你的站点是中文的，最好登记到中文的搜索引擎里去。因为这样被找到的机会就能增加不少，而中文搜索引擎站点，首推yahoo，可能你觉得yahoo中文有点不尽人意，但因为它的品牌深入人心，所以访问者非常多。而且它目前所含的内容不丰富，这样，当你把站点成功登记到YAHOO后，被发现的机会要比其它站点多。但有一点我们要注意，在登记站点时，要做好站点的规类设计，这样可以大大提高被访问的机会。4.3.2在搜索引擎注册一个搜索站点可能会包含十分多的内容，这样，当你搜索某一个站点时，会搜索出成千上万个，而更多的站点已经埋没在了后面。怎样提高自己站点的排位变成了成功登记的关键，因为即使你登记到一个搜索站点上面，但被排在了后面，那么，一点效果都没有，这种情况在自动登记的站点出现的多些。对于提高站点的排位是件值得研究的问题，而网络上也出现了为站点提升排位的服务，当然是有代价的，但我们要记住第一位只能有一个。因此，把一个站点登录到各个搜索引擎就变得非常重要和必要了。方法一：选几个主要的搜索引擎（如：网易、搜狐、雅虎、新浪等），输入你认为的自己站点的关键词，然后"搜索"，最后归纳出自己网站的关键词。方法二：从一些统计关键词的网站中找到常用的一些搜索词（即站点的关键词），然后进行选择，从而确定关键词。关键词不要多，因为很多搜索引擎中注册时，对站点的关键词是有限制的。当访问者通过关键词在某一搜索引擎中找到一系列的网站，怎样才能使访问者选择你的网站呢？这就应当有一个很清晰的网站介绍。在填写网站介绍时应注意以下几点：1、避免夸张词语。如：“最好、最全”等带有“最”的词，因为一些专业网站都不一定达到“最……”，何况是刚刚建立的商务网站了。2、避免面面俱到。如果你的网站商品信息涉及的范围很广，别人会认为你的网站只有广度没有深度。因此介绍网站时，尽量把你的网站最突出的地方亮出来。3、如果你的网站真的是商品内容很广泛，可以多申请几个域名，并且都指向同一网站，每一个域名都有不同的介绍。1）拿出吸引人的广告标语“广告交换”即互相做广告，的确能提高知名度，增加网站的访问量。怎样才能让别人点击你的广告条呢？关键就在你的广告词上。2）在传统媒体上宣传如果你能够投稿到某些传统媒体（如:报刊等），那你可以要求在刊登你文章的同时,附带上你的网址，或在文章中加入你的网址。传统媒体的宣传面很广泛，一般情况下，印刷媒体不会轻易消失，能持续很长时间，别人拿起来就可以看见你的网站了。3）抓住一切可利用的机会每天与其它人交流，在BBS或EMAI中你可以加入自己的网址，收件人就很容易链接到你的网站；很多网页上都会有一个留言板，浏览别人的网站时，在留言板上留下你的网址，邀请他到你的网站上做客；参加邮件列表，试着发表你的观点，当你的讨论内容被其他人接受时，可以开始宣传你的主页了，这样邮件列表里的人都可以看到你，包括你的URL。4）留住固定客户提高访问量要招揽新的访问者，但更重要的是要留住固定客户。只有抓住一些固定用户才能最有效的提高网站的访问量。他们不但能多次访问你的网站，而且还会向他的朋友介绍。以下是留住固定客户的几点方法：4.3.3多种方式宣传●在你网页上搞一些小调查，问一个有趣的问题，让访客投票。投票者也许会在明天或下周再来查看调查结果。●持续的搞一些有奖活动，奖品不必太贵重，只要对你的访客来说稍有用即可。他们会常来看结果。●在网页上放一些别的地方没有的东西。比如最新的商品供应信息、分析和时尚预测等信息。●要有小测验，每周公布答案。参加者会来看正确答案。●提供与主题相关的新闻。一般人都喜欢最新的新闻。你如能成为他们的第一手来源，他们就会重复访问。●人们都喜欢免费的东西。列出一份免费清单，它们可以是软件、服务、小产品、电子图书等，但要与你的主题相关。及时更新，访客就会定期再来。●在网页上列出与你主题相关的其他网站的连接。这些网站要有趣，有用。你的网站就会起一个“目录”的作用，别人会常来，通过你的商务网站访问其他的网站。●利用电子邮件签名，每天都要与其它人交流，比如在BBS或者EMAIL，这里我们都要利用到签名，你可以加入自己的URL地址，而邮件程序会自动转换成链接，所以，收件人会很容易连接到你的网站。●邮件列表，有许多邮件列表可以参加，你可以参加某一个热门邮件列表，然后试着发表你的讨论，当你的讨论内容被其它人适应的时候，就可以开始宣传你的商务网站了，在这个邮件列表里的人都可以看到你所发表的消息，包括你的URL。记住，别一开始就说出你的网站在那里。●印刷出你的URL，如果你能够投稿到某些传统媒体，那么你可以要求在刊登你文章的同时，附带上你商务网站的URL，传统媒体的宣传面是很广泛的，在一般情况下，印刷媒体不会轻易消失，别人拿起来就可以看见。●新闻组发言，新闻组与邮件列表有点相似，但新闻组比起邮件列表来，它所覆盖的空间更大，你只需要使得自己发言更吸引人，那么你的URL也会同时被人访问。●宣传语言的使用，在任何地方宣传自己站点时，永远记住告诉访问者，你的服务宗旨和商品内容信息。总之，为里提高网站的访问量，首先要明确建立网站的目标和需求确立网站的主题，并且要注意整体的服务功能。4.4电子商务网站安全维护4.4.1网络安全技术网络安全是电子商务安全的基础，一个完整的电子商务系统应建立在安全的网络基础设施之上。网络安全所涉及到的方面比较，如操作系统安全、防火墙技术、虚拟专用网VPN技术和各种反黑客技术和漏洞检测技术等。1）防火墙是建立在通信技术和信息安全技术之上，它用于在网络之间建立一个安全屏障，根据指定的策略对网络数据进行过滤、分析和审计，并对各种攻击提供有效的防范。主要用于Internet接入和专用网与公用网之间的安全连接。目前国内使用的需到防火墙产品都是国外一些大厂商提供的，国内在防火墙技术方面的研究和产品开发方面相对比较薄弱，起步也晚。由于国外对加密技术的限制和保护，国内无法得到急需的安全而实用的网络安全系统和数据加密软件。因此即使国外优秀的防火墙产品也不能完全在国内市场上使用，同时由于政治、军事、经济上的原因，我国也应研制开发并采用自己的防火墙系统和数据加密软件，以满足用户和市场的巨大需要，也对我国的信息安全基础设施建设有巨大的作用。2）Web服务器的漏洞检测也是保证电子商务网站安全的必要手段，随着web软件的体积越来越多，代码长度同样在增长。可能出现的漏洞也是越来越多。这需要商务的网站的管理者或设计者，对常见漏洞有深入的了解，并根据相应的漏洞进行设防。3）VPN也使一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其各地的分支机构就可以互相之间安全传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。加密技术是保证电子商务安全的重要手段，许多密码算法现已成为网络安全和商务信息安全的基础。密码算法利用密秘密钥（secretkeys）来对敏感信息进行加密，然后把加密好的数据和密钥（要通过安全方式）发送给接收者，接收者可利用同样的算法和传递来的密钥对数据进行解密，从而获取敏感信息并保证了网络数据的机密性。利用另外一种称为数字签名（digitalsignature）的密码技术可同时保证网络数据的完整性和真实性。利用密码技术可以达到对电子商务安全的需求，保证商务交易的机密性、完整性、真实性和不可否认性等。密码技术虽然在第二次世界大战期间才开始流行，在当前才广泛应用于网络安全和电子商务安全之中，但其起源可追溯到几千年前，其思想目前还在使用，只是在处理过程中增加了数学上的复杂性。加密技术包括私钥加密和公钥加密。私钥加密，又称对称密钥加密，即信息的发送方和接收方用一个密钥去加密和解密数据，目前常用的私钥加密算法包括DES和IDEA等。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。对称加密技术要求通信双方事先交换密钥，当系统用户多时，例如，在网上购物的环境中，商户需要与成千上万的购物者进行交易，若采用简单的对陈密钥加密技术，商户需要管理成千上万的密钥与不同的对象通信，除了存储开销以外，密钥管理是一个几乎不可能解决的问题；4.4.2加密技术另外，双方如何交换密钥？通过传统手段？通过因特网？无论何者都会遇到密钥传送的安全性问题。另外，环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，对称技术的密钥管理和发布都是远远无法满足使用要求的。公钥密钥加密，又称不对称密钥加密系统，它需要使用一对密钥来分别完整家密和解密操作，一个公开发布，称为公开密钥（Public-Key）；另一个由用户自己秘密保存，称为私有密钥（Private-Key）。信息发送者人用公开密钥去加密，而信息接收者则用私有密钥去解密。通过数学的手段保证加密过程是一个不可逆过程，即用公钥加密的信息只能是用与该公钥配对的私有密钥才能解密。常用的算法是RSA、ElGamal等。公钥机制灵活，但加密和解密速度却比对称密钥加密慢的多为了充分利用公钥密码和对称密码算法的优点，克服其缺点，解决每次传送更换密钥的问题，提出混合密码系统，即所谓的电子信封（envelope）技术。发送者自动生成对称密钥，用对称密钥加密钥发送的信息，将生成的密文连同用接收方的公钥加密后的对称密钥一起传送出去。收信者用其秘密密钥解密被加密的密钥来得到对称密钥，并用它来解密密文。这样保证每次传送都可由发送方选定不同密钥进行，更好的保证了数据通信的安全性。使用混合密码系统可同时提供机密性保障和存取控制。利用对称加密算法加密大量输入数据可提供机密性保障，然后利用公钥加密对称密钥。如果想使多个接收者都能使用该信息，可以对每一个接收者利用其公钥加密一份对称密钥即可，从而提供存取控制功能。数字签名中很常用的就是散列（HASH）函数，也称消息摘要(MessageDigest)、哈希函数或杂凑函数等，其输入为一可变长输入，返回一固定长度串，该串被称为输入的散列值(消息摘要)日常生活中，通常通过对某一文档进行签名来保证文档的真实有效性，可以对签字方进行约束，防止其抵赖行为，并把文档与签名同时发送以作为日后查证的依据。在网络环境中，可以用电子数字签名作为模拟，从而为电子商务提供不可否认服务。把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。完整性保证传输的数据没有被修改，而真实性则保证是由确定的合法者产生的HASH，而不是由其他人假冒。而把这两种机制结合起来就可以产生所谓的数字签名（DigitalSignature）。

将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要（Mes-sageDigest）值。在数学上保证：只要改动报文的任何一位，重新计算出的报文摘要就会与原先值不符。这样就保证了报文的不可更改。然后把该报文的摘要值用发送者的私人密钥加密，然后将该密文同原报文一起发送给接收者，所产生的报文即称数字签名。接收方收到数字签名后，用同样的HASH算法对报文计算摘要值，然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自发送者，因为只有用发送者的签名私钥加密的信息才能用发送者的公钥解开，从而保证了数据的真实性。4.4.3数字签名对数字签名和公开密钥加密技术来说，都会面临公开密钥的分发问题，即如果把一个用户的公钥以一种安全可靠的方式发送给需要的另一方。这就要求管理这些公钥的系统必须是值得信赖的。在这样的系统中，如果Alice想要给Bob发送一些加密数据，Alice需要知道Bob的公开密钥；如果Bob想要检验Alice发来的文档的数字签名，Bob需要知道Alice的公开密钥。所以，必须有一项技术来解决公钥与合法拥有者身份的绑定问题。假设由一个人自称某一个公钥是自己的，必须有一定的措施和技术来对其进行验证。数字证书是解决这一问题的有效方法。它通常是一个签名文档，标记特定对象的公开密钥。电子证书由一个认证中心（CA）签发，认证中心类似于现实生活中公证人的角色，它具有权威性，是一个普遍可信的第三方。当通信双方都信任同一个CA时，两者就可以得到对方的公开密钥从而能进行秘密通信、签名和检验。证书机构CA（CertificationAuthority）是一个可信的第三方实体，其主要职责是保证用户的真实性。本质上，CA的作用同政府机关的护照颁发机构类似，用于证实公民是否是其所宣称的那样（正确身份），而信任这个国家政府机关护照颁发机构的其他国家，则信任该公民，认为其护照是可信的，这也是第三方信任的一个很好实例。同护照类似，网络用户的电子身份（electronicidentity）是由CA来发布的，也就是说他是被CA所信任的，该电子身份就成为数字证书。因此，所有信任CA的其他用户同样也信任该用户。护照颁发机构和证书机构CA都是由策略和物理元素构成。在护照颁发机构，有一套由政府确定的政策来判定那些人可信任为公民，以及护照的颁发过程。一个CA系统也可以看成由许多人组成的一个组织，它用于指定网络安全策略，并决定组织中的那些人可以发给一个在网络上使用的电子身份。4.4.4认证机构和数字证书跨站Script攻击和防范

这种攻击大多数都发生在网站动态产生网页的时侯，但攻击的目标并不是商务网站本身，而是浏览网站的客户。如果服务器对客户的输入不进行有效验证，网站可能会被输入一些恶意的HTML代码，当这些HTML代码输入是用于SCRIPT程序，恶意程序就能利用它来进行破坏，如插入一些令人厌恶的图片或声音等，同时，也能干扰了客户正确浏览网页。很多人有被诱导到一些可疑的免费网站，他们得到的仅仅是10到20个小的窗口，这些窗口常常伴随着由JAVA或JAVASCRIPT生成的失效安钮，这被称为鼠标陷阱。关闭这些窗口是徒劳的，每当我们关闭一个窗口，又会有10几个窗口弹出。这种情况常常发生在管理员没在的时侯发生。鼠标事件是黑客利用跨站SCRIPT方法攻客户的典型范例。恶意的标签和SCRIPT不单纯是仅仅鼠标事件这么简单，他们甚至可以窃取资料和捣毁系统。甚至能够使用SCRIPT干扰或者改变服务器数据的输入。利用SCRIPT代码也能攻击客户系统，让你的硬盘尽损。而且你要知道，在你一边使用服务器的时候，黑客的SCRIPT也正在你服务器里安全的地方运行着的呀！如果客户对你的服务器非常信认，同样他们也会信任那些恶意的SCRIPT代码。甚至这个代码是以〈SCRIPT〉或者〈OBJECT〉的形式来自黑客的服务器。4.4.5案例一即使使用了防火墙（SSL）也不能防止跨站SCRIPT的攻击。那是因为如果生成恶意SCRIPT代码的设备也使用了SSL，我们服务器的SSL是不能辨别出这些代码来的。跨站SCRIPT攻击示例：该页使用一张表格或COOKIE来获取用户名：<%@Language=VBScript%><%IfRequest.Cookies("userName")<>""ThenDimstrRedirectUrlstrRedirectUrl="page2.asp?userName="strRedirectUrl=strRedirectUrl&Response.Cookies("userName")Response.Redirect(strRedirectUrl)Else%><HTML><HEAD><TITLE>MyNiceSHomePage</TITLE></HEAD><BODY><H2>MyNiceS</H2><FORMmethod="post"action="page2.asp">EnteryourMyNiceSusername:<INPUTtype="text"name="userName"><INPUTtype="submit"name="submit"value="submit“></FORM></BODY></HTML><%EndIf%>下页返回用户名以示欢迎：<%@Language=VBScript%><%DimstrUserNameIfRequest.QueryString("userName")<>""ThenstrUserName=Request.QueryString("userName")ElseResponse.Cookies("userName")=Request.Form("userName")strUserName=Request.Form("userName")EndIf%><HTML><HEAD></HEAD><BODY><H3align="center">Hello:<%=strUserName%></H3></BODY></HTML>我们也可增加一个IIS组件用于过滤所有从动态输入中的特殊字符。对于那些已经做好的网站，采用这种办法来防止跨站script的攻击来得非常容易。我们的这个控件能拦截来自ASP页面的REQUEST目标，可对表格，cookie,请求字串和程序的内容进行检测：我们也可以通过编写log文件的方法把统计数据加入这个组件中。每当一个客户输入一个非法字符时，这个组件会记下它的IP地址和时间。

案例二虚拟web目录容易泄露ASP源代码(MS,缺陷)涉及程序：MicrosoftInter