网站规划与服务器架设及管理.ppt

1、二、网站规划与服务器架设及管理,主要内容,网站设计的总体流程 网站的设计 网站的建立方法（WEB服务器的安装与调 试） 网站安全威胁 网站安全措施,3,1、网站设计的主要任务：,网站平面构建设计（服务器端） 以浏览器为客户端的Web应用程序开发 系统测试 网站发布,2、网站设计的主要阶段：,用户需求分析及变更（前期调研） 网站业务流程分析 系统分析及总体设计（撰写网站设计策划书） 界面设计、交互设计和程序开发 系统测试和文档编写 客户培训、技术支持和售后服务,网站设计设计任务和开发过程,4,客户提出要求,同客户讨论设计细节,按客户提出 的要求和资料 进行整体规划 和页面设计,将策划书提交客户审

2、阅,不同意,同意,签定 合同并申 请域名和网 页空间,进行网站的版面 编排和页面制作,网站功能 检查测试,不合格,合格,向客户提 交完成稿,不满意,修改 设计,满意,设计完成并为客 户在各大搜索引 擎上注册,网站设计网站设计工作流程,当人们访问任何一个站点时, 都会立即下意识地判断:这个站点怎么样？值不值的当回事？是否值的把他加入到我的收藏夹中去？ 要知道，在网络信息的虚拟世界里，互联网提供了天下大同的机会，同时也让这个虚拟世界充斥着数不清的商业站点、垃圾站点，大多数站点缺乏灵魂、主旨，东一榔头西一棒子，松散、混乱，原因就在于缺乏有效的策划设计。 因此要想使你的网站从那些数不清的站点中脱颖而出

3、，就必须对整个站点作好统筹安排，规划，对所有的内容进行细意斟酌，把所有的意念合情合理的组织起来设计一个合理的页面样式。,网站设计网站策划设计,1）市场调查阶段（明确定位，确定出发点） 2）确定网站规模有多大？（根据自己的实力） 3）确定网站的类别，你希望网站有怎样的设计特色 （内容 ？企业宣传？突出形象？个人网站？ ） 4）你的主要目标受众是谁？ 5）确定整个网站的整体风格（图像、文字，背景颜色、区分线、字体、标题、注脚 ） 6）准备投入多少资金、如何经营网站？ 7）根据目标框架整理出站点的内容框架以及逻辑结构图（顺序结构，网状结构，继承结构，WEB结构等 ）,网站设计如何确定网站的目标,7,

4、网站设计定位网站的主题,3、网站主题的选择：（按功能和结构形式）,门户网站 国内网络公司经营的网站：新浪（）搜狐（）、网易（）等 国外投资的网站：如：中文雅虎、香港的TOM、中华网等 国内传统媒体办的网站：人民网（）新华网（）等 普及型网站 企业网站、大学网站、政府网站以及数量众多的个人网站 电子商务类网站 媒体信息服务类网站 办公事务管理网站（办公内部） 商务管理网站（企业内部）,8,网站设计定位网站的主题,网站主题的选择：（按内容形式）,主题要小而精 定位要小，内容要精。调查结果显示，网络上的“主题站”比“万全站“更受人们的喜爱。 题材不要太滥或者目

5、标太高 “太滥”是指到处可见、人人都有的题材，例如，软件下载、免费信息。“目标太高”是指在这一题材上已经有非常优秀、知名度很高的站点，要超越是很难的。,网站内容主题的确立,文化主题,网站内容主题的确立,儿童主题,11,网站设计定位网站的名称,4、网站名称的选择,名称要正气 指合理、合法、合情，不能用反动的、色情的、迷信的、危害社会安全的词句。 名称要简洁、易记 对于中文网站，网站名称最好用中文，不要用英文或者中英文混合型名称。网站的名称的字数一般控制在6个字（最好是4个字）以内，例如，“阁”。 名称要有特色 较好的网站名称应该是能体现一定的内涵、韵味，并给浏览者更多的视觉冲击和空间想象力。,1

6、2,网站设计定位网站的CI形象,5、CI（Corporate Identity）形象 指通过视觉来统一企业或个人的形象,1. 网站有代表性的人物、动画、花草，可以用它们作为设计的蓝本，加以卡通化和艺术化。,2. 网站是关于专业性的内容，可以以本专业有代表的物品作为标志。例如：中国银行的铜板标志、奔驰汽车的方向盘标志。,3. 用自己网站的英文名称或字母组合做标志。,（1）网站标志（logo）的设计,13,网站标志（ Logo ）,14,网站设计定位网站的CI形象,色彩是网站给浏览者的第一印象，不同的色彩搭配会产生不同的效果，并可能影响到访问者情绪。,一般不宜超过3种色彩。 可以运用到网站的标志、

7、标题、主菜单、图片和主色块上。,设计网站的标准色彩的原则：,标准色彩：能体现网站形象和延伸内涵的色彩。,（2）设计网站的标准色彩,15,网站设计定位网站的CI形象,色彩的选择与含义：（基本色）,红色：代表热情、奔放、喜悦、庆典 黑色：代表严肃、夜晚、沉着、恐怖； 黄色：代表高贵、富有 白色：代表纯洁、简单 蓝色：代表天空、清爽 绿色：代表植物、生命、生机 灰色：代表阴暗、消极 紫色：代表浪漫、爱情 棕色：代表土地,返回目录,色彩本身是无任何含义，有的话也只是人赋予它的。但色彩确实可以在不知不觉间影响人的心理，左右人的情绪，所以就有人给各种色彩都加上特定的含义。,16,不同主题的网站所应用的色彩

8、是不同的。对于网页设计者来说，色彩的心理作用尤其重要。,通常的选择是：重要内容的文字用非彩色（黑色），边框、背 景、图片用彩色。,网页色彩搭配的原理： 注意色彩的鲜明性（引人注目） 注意色彩的独特性（使印象深刻） 注意色彩的合适性（色彩与内容气氛协调） 注意色彩的联想性。（色彩与网页内涵关联）,例如：绿色可以使人产生优雅、舒适的气氛，黄绿色有青春、旺盛的视觉意境，而黑色则含有幽静、阴森的意境。,网站设计定位网站的CI形象,网页色彩搭配,17,网站设计定位网站的CI形象,网页色彩搭配技巧 1.用一种色彩 指先选定一种色彩，然后调整透明度或者饱和度，产生新的色彩。这样的页面色彩统一，有层次感。 2

9、.用两种色彩 选定一种色彩，然后选择它的对比色。 3.用一个色系 就是用一个感觉的色彩，例如，淡蓝、淡黄、淡绿或黄、淡黄、棕黄等。 4.用黑色和一种彩色,18,网页色彩搭配注意点 1、不要将所有颜色都用到，尽量控制在3种色彩以内。背景色不要太过复杂，以免减慢网页打开的速度，建议主页的色彩运用应体现在站点标志、导航栏、按钮、边框，非正文文字上。 2、背景和前文的对比要尽量大，绝对不要用花纹繁复的图案作背景。 3 .色彩的搭配考虑不是单纯的颜色运用，还要考虑诸多因素， 如：社会背景、心理需求、访问者类别等等。,网站设计定位网站的CI形象,19,网站设计定位网站的CI形象,我们在设计网站时，需要尽量

10、在页面中使用看上去比较淡雅、 简洁的色彩； 比如背景尽量少用灰暗、 深沉的色彩（除非特殊需要），并且根页面的主题来选择主色调！,网站的性质。 网站的访客。 对比度是否合适。 色彩是否统一。,设计网站的标准色彩的注意事项：,20,网站设计定位网站的CI形象,标准字体：一般网页默认的字体是中文“宋体”和英文”Times New Roman“。若需要体现“与众不同”和特有的风格，可选择特别的字体。,（3）设计网站的标准字体,1. 不要使用超过3种以上的字体（包括在网页的统一界面中）。,2. 文字的颜色要注意与整体协调一致。,3. 标题以H1H3字号为佳。,网站的标准字体的设计原则：,4. 要注意：使

11、用非默认字体时，最好采用图片的形式。因为浏览者的计算机中可以没有安装特别字体。,21,宣传标语是网站的精神和目标，可用一句话甚至一个词加以高度概括，类似生活中的广告金句。例如，Intel的“给你一颗奔腾的心”。,（4）设计网站的宣传标语,22,（5）确定网站的栏目和版块 将网站功能细分为若干的栏目和版块，确定网站的栏目结构和链接结构。,网站设计确定网站的栏目和版块,设计网站的栏目与版块划分：,要紧扣主题。将主题按一定的方法分类并将它们作为网站的主栏目。 注意：主题栏目在总栏目中要占绝对优势，使网站显得专业、主题突出。各版块之间要保持相对独立性。,23,2、设定一个最近更新或网站指南栏目。为照顾

12、常来的访客，设置“最近更新”栏目，更有人性化。若主页内容庞大（超过15MB），层次较多，又没设置站内的搜索引擎，则更有必要设置“本站指南”栏目。 3、设定一个可以双向交流的栏目，例如，论坛，留言本、邮件列表等，让浏览者留下他们的信息。调查表明，设置双向交流栏目的站点比简单地留一个“Email me“的站点更具有亲和力。 4、设立一个下载栏目或常见问题回答栏目。 5、对于辅助内容，例如，网站介绍、版权信息等不必放在主栏目里，以免冲淡主题。,24,网站设计确定网站的栏目和版块,设计网站的栏目所需要注意的几点要求：,尽可能将网站最有价值的内容列在栏目上。 尽可能删除与主题无关的栏目。 尽可能方便访问

13、者的浏览和查询。,25,网站目录结构的基本规则：,不要将所有文件都存放在根目录下,（6）确定网站的目录结构和链接结构 清晰的目录结构有利于站点的维护，而网站的链接结构是指页面之间相互链接的拓扑结构。好的链接结构有利于提高效率。,按栏目内容建立子目录,容易造成文件管理混乱和上传速度慢，影响工作效率,子目录的建立，首先是按主菜单栏目（主栏目）建立,在每个子目录下都建立独立的Images目录,网站设计确定网站的目录结构和链接结构,过于水平的网站架构,过深的网站架构,平衡的网站架构,首页,目次,内容,29,其他注意事项：,目录的层次不要太深，建议不要超过三层； 不要使用中文目录名及文件名； 可能对网址

14、的正确显示造成困难 不要使用过长的目录名；太长的目录名不便记忆 尽量使用意义明确的目录名；尽量做到“见名知意”。 一般使用简单的英文单词或汉语拼音以其缩写形式,30,网站链接结构的基本形式：,树状链接结构（一对一）,类似与操作系统的目录结构，一级级进入，一级级退出。,条理清晰，访问者能明确知道自己在什么位置。,浏览效率低，如果要从一个栏目的子页面到另一个栏目的子页面，必须回到首页再进行。,网站设计确定网站的目录结构和链接结构,31,星状链接结构（一对多）,优点：浏览方便 缺点：容易使浏览者失去自己的位置，易“迷路”,在实际应用中，往往我们需要将这两种结构混合起来使用。总的目标是希望浏览者既可以

15、方便快速地达到自己需要的页面，又可以清楚地知道自己的位置。,网站设计确定网站的目录结构和链接结构,32,（7）版面布局 版面布局基本规则： 平衡、对比、疏密度、比例、凝视、图片说明,（1） “T”型布局,这种布局形式， 一般指页面顶部为横条（网站标志+广告条），下方为多列的结构，如最简单的是左半部分为主菜单，右半部分显示内容。,优点：页面结构清晰，主次分明，强调次序，给人稳重、可信。,缺点：规矩呆板，如果细节和色彩搭配上不注意，很容易让人“看之无味”。,网站设计版面布局,33,网站设计版面布局,“T”型布局,34,（2） “国”型布局,也可以称为“同”字型，是一些大型网站所喜欢的类型，即最上面

16、是网站的标题以及横幅广告条，接下来就是网站的主要内容，左右分列一些两小条内容，中间是主要部分，与左右一起罗列到底，最下面是网站的一些基本信息、联系方式、版权声明等。这种结构是我们在网上见到的最多的一种结构类型。,优点：充分利用版面，版面充实，信息量大。,缺点：页面拥挤，不够灵活。,返回目录,网站设计版面布局,35,网站设计版面布局,“同”、“国”字型结构布局(型结构布局),36,37,（3）POP布局,POP引自广告语，就是指页面布局像一张宣传海报，以一张精美图片作为页面的设计中心，在适当位置放置主菜单。,优点： 讲究平衡和有韵律，能达到强调、动感、高注目性的效果，漂亮吸引人；,缺点： 速度慢

17、。,网站设计版面布局,38,往往上面是标题及广告横幅，接下来的左侧是一窄列链接等，右列是很宽的正文，下面也是一些网站的辅助信息。在这种类型中，一种很常见的类型是最上面是标题及广告，左侧是导航链接。,（4）拐角型布局,网站设计版面布局,39,40,这种类型即最上面是标题或类似的一些东西，下面是正文，比如一些文章页面或注册页面等就是这种类。,（5）标题正文型布局,网站设计版面布局,41,42,这是一种左右分别为两页的框架结构，一般左面是导航链接，有时最上面会有一个小的标题或标志，右面是正文。我们见到的大部分的大型论坛都是这种结构的，有一些企业网站也喜欢采用。这种类型结构非常清晰，一目了然。,（6）

18、左右框架型布局,网站设计版面布局,43,44,与上面类似，区别仅仅在于是一种上下分为两页的框架。,（7）上下框架型布局,网站设计版面布局,45,46,上面两种结构的结合，相对复杂的一种框架结构，较为常见的是类似于“拐角型”结构的，只是采用了框架结构。,（8）综合框架型布局,网站设计版面布局,47,48,这种类型基本上是出现在一些网站的首页，大部分为一些精美的平面设计结合一些小的动画，放上几个简单的链接或者仅是一个“进入”的链接甚至直接在首页的图片上做链接而没有任何提示。这种类型大部分出现在企业网站和个人主页，如果说处理的好，会给人带来赏心悦目的感觉。,（9）封面型布局,网站设计版面布局,49,

19、50,其实这与封面型结构是类似的，只是这种类型采用了目前非常游戏行的Flash，与封面型不同的是，由于Flash强大的功能，页面所表达的信息更丰富，其视觉效果及听觉效果如果处理得当，绝不差于传统的多媒体。,（10）Flash型,网站设计版面布局,51,网站设计原则,1. 要有清楚的结构,树状结构图 网站地图 组织性 颜色管理：以颜色作为使用者认识网站架构的线索 版面编排一致性 当站内网页超过100页，需加上站内搜索机制,2. 明确标识网站联系信息,每页尽量有logo、站名、URL、网页建立日期、联络e-mail或电话地址 Logo和相关识别信息固定在每页的同一位置 注明人物或著作的出处,3.

20、网页标题明确,每个网页都应有标题 浏览器怎么显示网页？ 搜索引擎怎么找到网页？ 搜索引擎怎么呈现找到的网页？ Microsoft FrontPage 的 Newpage1、新网页 网页标题应有层属关系，母项 - 子项,善用标题,标题可以抓住使用者的注意力 将标题独立出来，能使网页结构更清楚,4. 网页图文架构清晰,网页架构和版面安排，应能帮助用户扫描和筛选信息，并能忽略不相关的大段文字 内容也应有适当简洁的大小标题，以增加内容的可读性 再有价值的内容，版面编排不好，使用者也很难耐心观看，点阅率和回头率都不会提高 对图片提供文字说明,网页编排效果比较,卷动滚动条依然清晰明确,重要信息呈现,由于屏

21、幕只能显示网页的一小部分，故重要信息要让使用者一进来就可以看到！,800*600 screen area,5. 善用超级链接,不要超链接到本页（自己链接自己） 与其将有关某一主题的数据全部编成一个超长的网页，倒不如善用目录结构及超级链接来建立内容 超链接能够帮助使用者跳过不相关的信息，节省时间,6. 汲取成功网站经验,上网看看大受好评的网站是怎么设计的 若90 % 以上的网站都是这么设计，这就是“实务标准”，请依葫芦画瓢 若60-90 % 的网站都这么设计，这是“惯例”，可以采用 若60 % 以下的网站这么设计，则还没取得共识，这个细节可以自由发挥,7. 网站开张前的测试,以真正的使用者做可用

22、性测试 人都有盲点，都会有奇怪的理所当然 简单的网站评估 网站目标、网站定位 内容 速度 浏览器支持 网站结构 视觉外观与版面配置 导航功能 搜索机制,撰写策划报告准备,建立项目需要进行需求分析与客户的需求分析。需要确定是局域网还是广域网项目。是文传管理系统还是Web信息发布系统。 根据对方的要求先构思一下而后面谈。 局域网的文传管理系统系统通常包括以下内容： a. 系统应用平台(比如Lotus Notes等)b. 操作系统和数据库系统c. 单位的数据流量和信息点(网络节点、工作站点)d. 内部与外联的关系，保密级别e. 网络的大小和设备的选择系统集成(硬、软)f. 应用开发：数据库、应用平台

23、、用户、系统管理等g. 技术说明书、培训h. 开发小组的建立和项目分工，项目管理(监理),策划报告,按照需求分析的结果写出策划报告：a. 硬件设备：服务器、路由、交换、防火墙等b. 软件系统：操作系统、数据库、应用软件等c.采用的技术方案和思路：网页形式(静态、活动)和采用语言(jsp,php,asp)d. 创设首页的版式：通常设计2n幅由客户选择e. 标题、栏目、Logo、Banner、其他插图等的制作f. 文件夹、文件名的命名规则网站结构g. 进度安排表、人员配置和边界h. 组成设计开发小组进行工作i. 建立开发平台,其他有关工作,形成合同文书及各种说明文书 按照分工开始系统安装、应用程序

24、的安装调试 完成后的测试 完成合同的定制和签署 付款问题,WEB网站的架设,IIS的安装与配置 创建Web站点 网站的配置 虚拟目录的创建 IIS的测试,IIS的安装与配置,任何一台具有IP地址的计算机（没有联网的计算机管理程序默认一个IP地址），安装上服务器管理程序后就构成了一台服务器。 常见的 Web 服务器管理软件包括IIS（Microsoft Internet Information Server）、PWS（Microsoft Personal Web Server）、Apache HTTP Server、Netscape Enterprise Server 和 iP

25、lanet Web Server等。安装哪一种Web服务软件根据所用操作系统而定，在Windows NT及Windows 2000以上中安装IIS最为常用，在Windows95/98安装服务器软件一般只能使用PWS。这里主要讲述IIS的安装与服务器站点的发布过程。,若操作系统中还未安装IIS服务器，可打开“控制面板”，然后单击启动 “添加/删除程序”， 在弹出的对话框中选择 “添加/删除Windows组件”，在Windows组件向导对话框中选中“Internet信息服务（IIS）”，然后单击“下一步”，按向导指示，完成对IIS的安装。,IIS的安装与配置,启动IIS: Internet信息服务

26、简称为IIS，单击Windows开始菜单-控制面板-管理工具-Internet信息服务（IIS）管理器，即可启动“Internet信息服务”管理工具,IIS的安装与配置,IIS安装后，系统自动创建了一个默认的Web站点，该站点的主目录默认为C:Inetpubwww.root.用鼠标右键单击“默认Web站点”，在弹出的快捷菜单中选择“属性”，此时就可以打开站点属性设置对话框，在该对话框中，可完成对站点的全部配置。,默认 Web 发布目录称为主目录,IIS的安装与配置,单击“主目录”标签，切换到主目录设置页面，该页面可实现对主目录的更改或设置。注意检查启用父路径选项是否勾选，如未勾选将对以后的程序

27、运行有部分影响。,IIS的安装与配置,启用会话状态 使用此复选框可以启用或禁用会话状态。 启用会话状态时，Active Server Pages 为访问 ASP 应用程序的每个用户创建一个会话，以便标识访问应用程序中不同网页的用户。禁用会话状态时，ASP 不跟踪用户，不允许 ASP 脚本将信息存储在 Session 对象中，而且不允许使用 Session_OnStart 或 Session_OnEnd 事件。如果超时期限结束时，用户尚未请求或刷新应用程序中的网页，会话将自动结束。 若要更改超时期限，请在“会话超时”文本框中输入新值。 脚本可以使用 Session.Abandon 方法显式结束会

28、话。即使对应用程序启用了会话状态时，也可以使用 命令对单个 ASP 网页禁用会话状态。,启用缓冲 选中此复选框可以缓冲输出到浏览器的内容。 选中此选项时，ASP 网页生成的所有输出在发送到浏览器之前被收集在一起。清除此选项后，处理网页时生成的输出将随时返回给浏览器。使用缓冲输出，可以在 ASP 脚本的任何位置设置 HTTP 头。可以使用 Response.Buffer 方法覆盖脚本中的此选项。,启用父路径 选中此复选框允许 ASP 网页使用当前目录的父目录的相对路径（使用 . /语法的路径）。 如果启用此选项，则不要授予对父目录的“执行”访问权限；否则，脚本可以在父目录中运行未授权的程序。,设

29、置主页文档,单击“文档”标签，可切换到对主页文档的设置页面，主页文档是在浏览器中键入网站域名，而未制定所要访问的网页文件时，系统默认访问的页面文件。常见的主页文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp等,启动与停止IIS服务,在Internet信息服务的工具栏中提供有启动与停止服务的功能。单击可启动IIS服务器；单击 则停止IIS服务器。,IIS的安装与配置,查看IIS版本信息,在IE浏览器中,输入http:/localhost/iishelp,创建新的W

30、eb站点,网站创建向导欢迎界面,网站描述,设置网站IP地址和端口,输入网站主目录路径,设置网站访问权限,网站访问权限说明,“读取”：该权限提供给客户端读取网页的服务，也就是说客户端可以下载网页。 “运行脚本”：该权限允许客户端访问站点脚本文件（如asp）的源代码。 “执行（如ISAPI应用程序或CGI）”：该权限允许客户端执行ISAP应用程序或者是CGI的应用程序。 “写入”：允许客户端上载文件或者编辑改变网页内容。 “浏览”：允许客户端浏览Web站点的目录。,完成网站创建,新建的Web站点,第三节 网站的配置,高级网络标识为同一网站设置其他的IP地址,启用日志记录日志记录属性,配置“性能”选

31、项卡,配置“ISAPI筛选器”选项卡,ISAPI筛选器是一种服务器端程序的实现方式，又名ISAPI应用程序。ISAPI类似早期的CGI技术，能够实现简单的浏览器/服务器（Browser/Server构架）交互式应用。它占用服务器内存小，能运行于独立的内存空间，有极大的灵活性。故逐渐成为CGI的替代技术。ISAPI以动态链接库，即.dll文件的形式实现，凡是连入网站的用户必须通过该.dll文件的处理，从而实现其的运行，因此，这种类似过筛子的应用程序工作方式页被叫做ISAPI筛选器。,配置“主目录”选项卡,主目录此资源的内容来自“另一台计算机上的共享”,主目录此资源的内容来自“重定向到URL”,配

32、置“文档”选项卡,配置“目录安全性”选项卡,设置身份验证方法,设置IP地址和域名限制,创建虚拟目录,虚拟目录是Web站点上的信息的发布方式 通过网络，将其他的目录映射为Web站点主目录中的文件夹。在建设网站的时候，可以将网站的内容存放在不同的硬盘或者不同的计算机上，通过映射成为Web服务器的虚拟目录来使用，这样可以避免使主目录空间达到极限的缺点。 使用虚拟目录，当数据移动的时候不会影响Web站点的结构。如果存放网站内容的文件夹发生变化，则只要将该虚拟目录重新指向到新的文件夹即可。,创建虚拟目录,创建虚拟目录欢迎界面,虚拟目录别名,设置网站内容目录,设置虚拟目录访问权限,完成创建虚拟目录,查看已

33、创建的虚拟目录,虚拟目录属性“虚拟目录”选项卡,10、用户的限制,网站安全,网络安全威胁,黑客与入侵 系统的安全威胁 典型的入侵过程 常用攻击方式 安全守则,相关数据,美国FBI调查，每年因网络安全造成的损失高达170亿美金；CERT组织2000年数据，平均每五个站点就有一个遭受不同程度地攻击 中国公安部资料表明网络犯罪每年以30的惊人速度递增 解决网络安全问题刻不容缓,入侵途径,外部: 你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet, 拨号线, 物理介入, 或者从同本网络连接的伙伴网络(卖主,客户, 中间商等)。 内部的: 合法使用本互连网络的侵入者。包括

34、滥用权力的人和模仿更改权力的人。一个常被引用的统计就是80%的安全问题同内部人有关。,入侵者类型,显示能力(快乐骑士) 毁坏或者更改web页面(文化破坏者) 为了利益(奸商),入侵方法,物理侵入: 如果一个侵入者对主机有物理进入权限 (比如他们能使用键盘) 。 方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过。 系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包

35、括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。,所有系统都是不安全的,软件总是存在bug，系统管理员和开发人员永远无法发现和解决所有的可能漏洞，侵入者只要发现一个漏洞就可以入侵系统。,系统的安全威胁,软件bug 系统配置 口令解密 监听不安全的通信 设计的缺点,软件bug,软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。分为如下几种: 缓冲区溢出 未处理的输入 竞争条件,系统配置,缺省配置：许多系统交付给客户的时候采用的缺省的易用的配置。 懒惰的系统管理员：大量的主机被配置成没有系统管理员口令。 生成的漏洞：事实上所有的程序可能

36、被配置成一个非安全的模式。 信任的关系：侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。,口令解密,口令的脆弱性 字典攻击：字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。 强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。,监听不安全的通信,共享媒体: 传统的以太网中, 你只要在线上启动Sniffer就可以看到在一个网段的所有通信。 监听: 在一个交换的网络里，如果可以在某服务器(特别是路由器)安装sniffer程序，就可以可以使用得到的信息来攻击客户主机和信任

37、主机。如，你可能不知道口令，通过在他人登陆的时候监听其会话，就可以得到他的口令。,设计的缺点,系统设计缺点 TCP/IP 协议缺点,典型的入侵过程,外部侦查 内部侦查 入侵 立足 利益,典型的入侵过程（一）,外部侦查 入侵者会尽可能地找出实际上并不直接给予他们的资讯。他们常通过公开资讯或伪装成正常的使用者。用这种方式的入侵者，将使你实在难以察觉。 常用方法：whois、nslookup、正常FTP等,典型的入侵过程（二）,内部侦查 入侵者使用更具侵略性的技术来对资讯扫描，但不会破坏任何东西。 常用手段：CGI漏洞、ping、rpcinfo、snmpwalk、端口扫描,典型的入侵过程（三）,入侵

38、 入侵者开始对目标主机作了可能的漏洞入侵。 常用方法：通过CGI传递shell指令、缓冲区溢出、猜解户帐号、程序已知漏洞。,典型的入侵过程（四）,立足 入侵者已经入侵机器，成功地在你的网络中立足。入侵者主要的目的就是藏匿入侵证据并确认他可以再次侵入。 常用手段：安装toolkits、替换服务程序、创造自己的帐号。,典型的入侵过程（五）,利益 入侵者利用他们的优势窃取机密资料，滥用系统资源或破坏你的网页。,常用攻击方式,侦察：包括ping扫描、DNS zone 转换、e-mail侦察、TCP 或 UDP 端口扫描(scan)。 漏洞：入侵者将会利用隐密的特性或缺陷来存取系统. 拒绝服务(DoS)

39、攻击：入侵者试图破坏服务(或机器),使网络超载，CPU超载，填满硬盘。入侵者不是想获得信息，而是仅仅以如破坏者般的行为而不让你使用机器。,网络安全的定义,通常感觉：“网络安全就是避免危险” 科学的安全定义 防止未授权的用户访问信息 防止未授权而试图破坏与修改信息 从风险的角度： 在网络环境里的安全指的是一种能够识别和消除不安全因素的能力。 安全就是一个系统对于保护信息和资源相应的机密性和完整性的能力,安全领域,安全问题的复杂程度,复杂程度,机密性： 信息不暴露给未授权实体或进程 完整性： 保证数据不被未授权修改 可用性： 授权实体有权访问数据 可控性： 控制授权范围内的信息流向及操作方式 可审

40、查性：对出现的安全问题提供依据与手段,信息安全的基线,信息安全的基线,安全守则,安装操作系统或应用程序时不要使用默认值 使用先进的用户帐号/密码设定与组合 关闭不必要的网络通讯端口 对进出入的IP包进行过滤 制定Log记录的格式 及时修补程序的漏洞,安全守则（一）,安装操作系统或应用程序时不要使用默认值 所有的操作系统或应用程序的厂商都会提供用户快速安装的功能，虽然方便了，但是在绝大多数用户不知情的情况下，系统却同时安装了许多不必要的功能。而这种按默认值的安装，往往是造成安全漏洞的祸首。 主要原因是用户通常不去注意那些从来不用的功能，而且有许多的用户(包含IT的管理人员)根本就不知道自己在使用

41、中的操作系统或应用程序上到底安装了什么。一旦这些不明的功能出现漏洞，而偏偏用户又一无所知，且未实时加以修补的话，那往往会成为黑客入侵的最佳通道。,安全守则（二）,帐号安全 定时审查系统上使用中与未使用中的帐号并予以记录 制定系统用户帐号管理政策，详细规范增加用户帐号、以及删除不再继续使用的帐号时之应注意事项。 定时确认系统上是否出现未经授权的新帐号，并且删除不再使用的帐号。 使用工具来检查用户的密码设定是否安全。 不再使用的帐号应适时予以删除。,安全守则（三）,关闭不必要的网络通讯端口 网络通讯端口是合法用户连接至主机端取得服务的通道，同样地，黑客也是利用同样的途径来入侵。 所以说，主机上开放

42、的通讯端口越多，他人就越容易与本系统联机。因此，减少系统上开放的通讯端口数目是网络安全最有效的防范措施之一，除了有必要对外提供服务的通讯端口之外，其它通讯端口应关闭。,安全守则（四）,制定日志记录 一旦对外开放网络服务且允许网络联机进出网络，那遭到黑客入侵与渗透的机率将大增。现在几乎每天都会有新的安全漏洞被发现，而用户更是难以预防黑客去利用这些新的漏洞来入侵。这时网络上或系统上最好建立完善的记录机制，要不在遭受黑客攻击后，你不仅将无从得知黑客到底在你的系统上动了哪些手脚，相对的你的网络安全风险也就越高。 良好的记录机制可以协助用户追踪已发生过的事件、时间和掌握哪些主机被入侵及其经过。,安全守则

43、（五）,及时修补程序的漏洞 通过软件发布商的主页或者开发者提供的补丁程序修补漏洞 通过修改配置文件或者参数修补漏洞,网络攻击事件回顾,红色代码(2001) 尼姆达(2001) Melissa(1999) 和 LoveLetter(2000) 分布式拒绝服务攻击(2000) 远程控制特洛伊木马后门(1998-2000) Dos攻击(2002) SQL蠕虫、冲击波(2003) 振荡波(2004),网络攻击机制预测,超级蠕虫 隐秘攻击(Stealthier Attacks) 利用程序自动更新存在的缺陷 针对路由或DNS的攻击,经典案例：某Apache网站被黑,ftp与http使用同个目录并有目录可写

44、 上传一个可以用来执行命令的php脚本 利用脚本编译上传的bindshell 通过bindshell连接到系统发现mysql问题 发现系统的BugZilla默认安装，有默认帐号 利用脚本编译上传的端口重定向工具 使用mysql在root目录下建立.tcshrc apache网站的root登录，生成了一个suid的shell 被黑 :(,常用安全工具,防火墙 入侵检测工具snort 端口扫描工具nmap 系统工具netstat、ps、last、net 网络嗅探器tcpdump、sniffer 综合工具X-Scanner、流光、Nessus,十大最佳网络安全工具,Nessus http:/www.

45、 Netcat Tcpdump Snort Saint Ethereal / Whisker Internet Security Scanner Abacus Portsentry Dsniff /dugsong/dsniff,安全站点,绿盟科技 绿色兵团 网络安全评估中心 安全焦点 网络安全响应中心 国外： ,最后一招,积极备份,网站安全措施,防火墙 操作系统 病毒监控 备份,防火墙（Firewall）,Firewall,Internet,操作系统,下载发布的漏洞的补丁和各种病毒的清除工具 如： 下载新的安全工具 如SSH,REMOTE ADMIN等,网页上可以传播的大量的病毒，因此