計(jì)算機(jī)網(wǎng)絡(luò)安全課程設(shè)計(jì)-- web服務(wù)器的安全配置

1、<p>　　題 目： WEB服務(wù)器的安全配置 </p><p>　　學(xué) 院： 信息學(xué)院 </p><p>　　專 業(yè)： 網(wǎng)絡(luò)工程 </p><p>　　姓 名： </p><p>　　學(xué)

2、 號(hào)： </p><p>　　班 級(jí)： </p><p><b>　　摘 要</b></p><p>　　隨著計(jì)算機(jī)普及、互聯(lián)網(wǎng)的飛速發(fā)展，許多企業(yè)都開(kāi)發(fā)了自己的WEB網(wǎng)站。WEB服務(wù)器是intranet（企業(yè)內(nèi)部網(wǎng)）網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞

3、將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保護(hù)好WEB服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。安全部署WEB服務(wù)器是企業(yè)面臨的一項(xiàng)重要工作，其中系統(tǒng)安裝、安全策略和IIS安全策略對(duì)企業(yè)WEB服務(wù)器安全、穩(wěn)定、高效地運(yùn)行至關(guān)重要。</p><p>　　【關(guān)鍵字】WEB,服務(wù)器安全，協(xié)議安全，IIS設(shè)置</p><p><b>　　Abstract</b></p&

4、gt;<p>　　With the popularization of computers,the Internet rapid development,many companies have developed their own WEB site. The WEB server is Intranet (intranet) sites on the core, where in the data is very imp

5、ortant, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the WEB server resources, is an important task.Deployment of the security WEB server is an enterprise is facing an import

6、ant task, the system installation, security policy and security strategy of </p><p>　　[keywords]WEB,server security, security protocol, IIS set</p><p><b>　　目 錄</b></p><

7、p><b>　　前 言1</b></p><p>　　第一章 需求分析2</p><p>　　1.1 WEB服務(wù)器的概念2</p><p>　　1.2 WEB服務(wù)器存在的安全問(wèn)題2</p><p>　　第二章 安裝和配置IIS3</p><p>　　2.1 僅安裝必要的組件

8、3</p><p>　　2.2 修改上傳文件的大小3</p><p>　　2.3 IIS安全設(shè)置4</p><p>　　第三章 WEB服務(wù)器的安全設(shè)置10</p><p>　　3.1 選用NTFS文件系統(tǒng)10</p><p>　　3.2 選用單操作系統(tǒng)10</p><p>　　3.3

9、關(guān)閉Windows 2003不必要的服務(wù)10</p><p>　　3.4 禁用不必要的協(xié)議10</p><p>　　3.5 設(shè)置磁盤(pán)訪問(wèn)權(quán)限11</p><p>　　3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口11</p><p>　　3.7 限制匿名訪問(wèn)本機(jī)用戶12</p><p>　　3.8 限制遠(yuǎn)程用戶對(duì)

10、光驅(qū)或軟驅(qū)的訪問(wèn)13</p><p>　　3.9 限制NetMeeting 及禁用NetMeeting13</p><p>　　第四章 WEB服務(wù)器安全評(píng)測(cè)15</p><p><b>　　第五章 結(jié)論16</b></p><p><b>　　參考文獻(xiàn)17</b></p>&

11、lt;p><b>　　致 謝18</b></p><p><b>　　前 言</b></p><p>　　隨著計(jì)算機(jī)技術(shù)的突飛猛進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個(gè)角落。小到個(gè)人的生活、工作，大至國(guó)家的發(fā)展以致整個(gè)文明的進(jìn)步。計(jì)算機(jī)網(wǎng)絡(luò)在扮演著越來(lái)越重要的角色，越來(lái)越多的企業(yè)及個(gè)人都開(kāi)發(fā)了自己的WEB網(wǎng)站。然

12、而，在如今技術(shù)發(fā)達(dá)的時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，黑客越來(lái)越猖獗。WEB服務(wù)器被攻擊，網(wǎng)站首頁(yè)被篡改，各種各樣的不安全因素存在我們周?chē)绾胃玫谋ＷCWEB服務(wù)器安全更好的防止黑客的入侵、攻擊是每一個(gè)人都很關(guān)心的話題。</p><p>　　WEB服務(wù)器存在的安全問(wèn)題從來(lái)就不是獨(dú)立的，系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如ARP等），網(wǎng)絡(luò)端口管理以及來(lái)自WEB服務(wù)器應(yīng)用的安全，IIS本身的配置、權(quán)限等，這個(gè)直接影響訪問(wèn)網(wǎng)站

13、的效果和結(jié)果。</p><p><b>　　第一章 需求分析</b></p><p>　　1.1 WEB服務(wù)器的概念</p><p>　　WEB服務(wù)器是指駐留于因特網(wǎng)上某種類型計(jì)算機(jī)的程序。當(dāng)WEB瀏覽器（客戶端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類型）。服務(wù)器使用

14、HTTP(超文本傳輸協(xié)議)進(jìn)行信息交流，這就是人們常把它們稱為HTTP的服務(wù)器的原因。</p><p>　　1.2 WEB服務(wù)器存在的安全問(wèn)題</p><p>　　Internet的發(fā)展給企業(yè)和個(gè)人帶來(lái)了革命性的改革和開(kāi)飯。他們正努力通過(guò)利用Internet來(lái)提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過(guò)Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開(kāi)放帶來(lái)的

15、數(shù)據(jù)安全帶額新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和商業(yè)間諜的入侵。</p><p>　　隨著Internet的廣泛應(yīng)用，許多企業(yè)開(kāi)發(fā)了自己的WEB 網(wǎng)站。然而由于人為的無(wú)意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門(mén)”進(jìn)行搗亂的各種病毒等，使得開(kāi)發(fā)的網(wǎng)站存在多方面的安全問(wèn)題。要保證企業(yè)的WEB網(wǎng)站的安全，僅選擇一個(gè)適合企業(yè)特點(diǎn)的防火墻

16、、適合系統(tǒng)的殺毒軟件是不夠的。更主要的是要在企業(yè)內(nèi)部WEB服務(wù)器的安裝、設(shè)置等多方面多做文章，以提高網(wǎng)站自身的免疫力。</p><p>　　第二章 安裝和配置IIS</p><p>　　2.1 僅安裝必要的組件</p><p>　　選擇Internet(信息服務(wù)IIS)即可。原則是網(wǎng)站需要組件功能才安裝，比如ASP.NET或其它組件不需使用就不要安裝。</p&

17、gt;<p>　　2.2 修改上傳文件的大小</p><p>　　Windows server 2003服務(wù)器，當(dāng)上傳文件過(guò)大（超過(guò)200K）時(shí)，提示錯(cuò)誤號(hào) 2147467259。原因是IIS6.0默認(rèn)配置把上傳文件限制在200k，超過(guò)即出錯(cuò)。解決方法如下：</p><p>　　首先，停止以下服務(wù)：</p><p>　　IIS admin servic

18、e　</p><p>　　World Wide Web Publishing Service</p><p>　　HTTP SSL　　　</p><p><b>　　然后找到：</b></p><p>　　C:\Windows\system32\inesrv\metabase.xml \Windows\system32\

19、inesrv\</p><p>　　編輯文件metabase.xml(不要用寫(xiě)字板，要用記事本編輯，否則容易出錯(cuò)。)</p><p>　　找到：ASPMaxRequestEntityAllowed 默認(rèn)為 204800 （200k），改成需要的！保存。</p><p>　　最后，啟動(dòng)上面被停止的服務(wù)，就完成了！</p><p>　　注：可能會(huì)

20、碰到metabase.xml 文件不能被保存，原因是你的服務(wù)未停干凈，建議重啟以后再進(jìn)行上面的操作。</p><p>　　2.3 IIS安全設(shè)置</p><p>　　1．刪掉c:/inetpub目錄，刪除iis不必要的映射。 </p><p>　　2．使用虛擬主機(jī)的每個(gè)web站點(diǎn)都應(yīng)該新建單獨(dú)的IIS來(lái)賓用戶。</p><p>　　3．IIS

21、為每個(gè)虛擬主機(jī)設(shè)置來(lái)賓帳號(hào)，這樣即使一個(gè)網(wǎng)站由于后臺(tái)漏洞被入侵也不會(huì)波及整臺(tái)服務(wù)器,整個(gè)服務(wù)器管理權(quán)限不會(huì)淪陷。</p><p>　　4．IIS管理后臺(tái)設(shè)置限定IP地址訪問(wèn),僅僅開(kāi)放需要進(jìn)入后臺(tái)的IP。</p><p>　　5．IIS管理器內(nèi)一些文件夾內(nèi)只有圖片并沒(méi)有程序（例如image、pic），可將其運(yùn)行權(quán)限設(shè)置為無(wú)（默認(rèn)可運(yùn)行腳本）。</p><p>　　6．

22、將IIS日志默認(rèn)保存位置修改至其它分區(qū)，防止黑客入侵后刪除安全事件及web日志。</p><p>　　7．防止ASP木馬程序入侵的三種辦法：</p><p>　　（1）上傳目錄的權(quán)限選擇無(wú)執(zhí)行權(quán)限，即使上傳木馬也會(huì)因無(wú)執(zhí)行權(quán)限而入侵失敗。</p><p>　　訪問(wèn)時(shí)可執(zhí)行文件的ASP顯示：</p><p>　?。?）上傳的文件加上IP地址限制

23、，只允許信息員機(jī)器IP地址訪問(wèn)。</p><p><b>　　a.目錄限定：</b></p><p>　　b.文件限定： </p><p>　?。?）在上傳文件中增加驗(yàn)證程序，比如：</p><p>　　<!--#in

24、clude FILE="../admin/check.asp"--></p><p>　　這樣打開(kāi)頁(yè)面即提示：</p><p>　　加入防注入代碼，在上傳文件入口處或關(guān)鍵程序中增加一行代碼調(diào)用防注入程序，可以登陸后臺(tái)對(duì)防注入程序進(jìn)行管理，查看入侵掃描信息。代碼不要放在首頁(yè)，這樣影響網(wǎng)站打開(kāi)速度，網(wǎng)站首頁(yè)的ASP代碼要盡可能少，最好已經(jīng)是HTML，調(diào)用數(shù)據(jù)庫(kù)內(nèi)容太多

25、會(huì)影響網(wǎng)站速度。</p><p><b>　　圖一 登陸后臺(tái)頁(yè)面</b></p><p><b>　　圖二 入侵信息記錄</b></p><p>　　在防注入系統(tǒng)后臺(tái)系統(tǒng)設(shè)置中推薦采用“直接關(guān)閉網(wǎng)頁(yè)”。鎖定IP可以封掃描IP，但不推薦使用，以防誤操作一個(gè)局域網(wǎng)段的internet出口地址全部被封。這個(gè)自己在使用中可以慢慢體

26、會(huì)。</p><p>　　使用從網(wǎng)上摘抄的源代碼后臺(tái)需要對(duì)其進(jìn)行改動(dòng)，尤其是上傳文件名，比如upfile.asp改為jxic-upfile.asp。</p><p>　　第三章 WEB服務(wù)器的安全設(shè)置</p><p>　　3.1 選用NTFS文件系統(tǒng)</p><p>　　NTFS文件系統(tǒng)比FAT系統(tǒng)多了安全控制功能，可以對(duì)不痛的文件夾設(shè)置不同

27、的訪問(wèn)權(quán)限，因此擁有更強(qiáng)大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒(méi)有提供對(duì)軟盤(pán)啟動(dòng)后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)時(shí)，后果比較嚴(yán)重，因此平時(shí)應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。；另外將系統(tǒng)盤(pán)與網(wǎng)站程序分開(kāi)放置。</p><p>　　3.2 選用單操作系統(tǒng)</p><p>　　作為WEB服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)，否則黑客會(huì)利用其攻擊Win

28、dows 2003系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開(kāi)，并在安裝時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的IIS漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝WEB站點(diǎn)服務(wù)無(wú)關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來(lái)可乘之機(jī)。</p>&

29、lt;p>　　3.3 關(guān)閉Windows 2003不必要的服務(wù)</p><p>　　Windows 2003 系統(tǒng)中包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)能暴漏賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱的情況下可以取得賬號(hào)的密碼。當(dāng)這兩種服務(wù)都開(kāi)通時(shí)，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為WEB網(wǎng)站的Win2003系統(tǒng)

30、，必須停掉沒(méi)有用的服務(wù)。</p><p>　　3.4 禁用不必要的協(xié)議</p><p>　　NetBIOS 協(xié)議在WEB服務(wù)器上是黑客掃描工具的首選目標(biāo)，因此，必須解除NetBIOS 與TCP/IP 協(xié)議的綁定。方法“設(shè)置→控制面板→網(wǎng)絡(luò)連接→本地連接→屬性→TCP/IP→屬性→高級(jí)→WINS→禁用TCP/IP上的NetBIOS”。另外，NetBIOS、IPX/SPX協(xié)議對(duì)WEB網(wǎng)站也沒(méi)有

31、任何用處，只會(huì)被某些黑客工具利用，也必須禁用或刪除。操作如圖三所示。</p><p>　　圖三 禁用NetBIOS 協(xié)議</p><p>　　3.5 設(shè)置磁盤(pán)訪問(wèn)權(quán)限</p><p>　　系統(tǒng)磁盤(pán)只賦予administrators和system權(quán)限，系統(tǒng)所在目錄（默認(rèn)時(shí)為Windows）要加上users的默認(rèn)權(quán)限，以保障ASP和ASPX等應(yīng)用程序正常運(yùn)行。其他磁盤(pán)

32、可以此為參照，當(dāng)某些第三方應(yīng)用程序以形式啟動(dòng)時(shí)，需加system用戶權(quán)限，否則啟動(dòng)不成功。</p><p>　　3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口</p><p>　　在Internet上，各主機(jī)間通過(guò)TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的IP地址來(lái)進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇?？梢?jiàn)，把數(shù)據(jù)包順利的傳送到目的主機(jī)是沒(méi)有問(wèn)題的。問(wèn)題處在哪里呢？我們知道大多數(shù)操作系統(tǒng)

33、都支持多程序（進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問(wèn)題有待解決，端口機(jī)制便由此被引入進(jìn)來(lái)。</p><p>　　本地操作系統(tǒng)會(huì)給那些有需求的進(jìn)程分配協(xié)議端口（protocol port，即我們常說(shuō)的端口），每個(gè)協(xié)議端口由一個(gè)正整數(shù)標(biāo)識(shí)，如：80，139,445，等等。當(dāng)目的主機(jī)接收到數(shù)據(jù)包后，將根據(jù)報(bào)文首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)

34、應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來(lái)。</p><p>　　如果攻擊者使用軟件掃描目標(biāo)計(jì)算機(jī)，得到目標(biāo)計(jì)算機(jī)打開(kāi)的端口，也就了解了目標(biāo)計(jì)算機(jī)提供了哪些服務(wù)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。如果計(jì)算機(jī)的端口打開(kāi)太多，而管理者不知道，那么，有兩種情況：一種是提供了服務(wù)二管理者沒(méi)有注意，比如安裝IIS的時(shí)候，軟件就會(huì)自動(dòng)增加很多服務(wù)，而管理者可能沒(méi)有

35、注意到；一種是服務(wù)器被攻擊者安裝木馬嗎，通過(guò)特殊的端口進(jìn)行通信。這兩種情況都是很危險(xiǎn)的，說(shuō)到底，就是管理員不了解服務(wù)器提供的服務(wù)，減少了系統(tǒng)安全系數(shù)。</p><p>　　3.7 限制匿名訪問(wèn)本機(jī)用戶</p><p>　　“開(kāi)始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“對(duì)匿名連接的額外限制”→在下拉菜單中選擇“不允許SAM賬戶的匿名枚舉”→“確定”。操

36、作如圖四所示。</p><p>　　圖四 限制匿名用戶</p><p>　　3.8 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問(wèn)</p><p>　　“開(kāi)始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“只有本地登錄用戶才能訪問(wèn)軟盤(pán)”→在單選按鈕中選擇“已啟用（E）”→“確定”。操作如圖五所示。</p><p>　　圖五

37、限制遠(yuǎn)程用戶對(duì)光驅(qū)軟驅(qū)訪問(wèn)</p><p>　　3.9 限制NetMeeting 及禁用NetMeeting</p><p>　　運(yùn)行“gpedit.msc”→“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“NetMeeting”→“禁用遠(yuǎn)程桌面共享”→右鍵→在單選按鈕中選擇“啟用（E）”→“確定”。操作如圖六所示。</p><p><b>　　圖

38、六 限制共享</b></p><p>　　第四章 WEB服務(wù)器安全評(píng)測(cè)</p><p>　　經(jīng)過(guò)以上設(shè)置服務(wù)器的所有分區(qū)均采用了NTFS格式進(jìn)行設(shè)置并且系統(tǒng)盤(pán)與網(wǎng)站程序分開(kāi)放置這樣可以確保系統(tǒng)盤(pán)的純凈，避免感染病毒的機(jī)會(huì)。開(kāi)啟防火墻能確保基本的防毒，安裝自動(dòng)更新能及時(shí)的檢查系統(tǒng)及時(shí)更新微軟發(fā)布的安全補(bǔ)丁，及時(shí)給系統(tǒng)填補(bǔ)漏洞。僅安裝必要的IIS組件，開(kāi)啟必要的端口及協(xié)議防止黑客利

39、用掃描工具進(jìn)行掃描。設(shè)置用戶權(quán)限，可以防止非法用戶的進(jìn)入。設(shè)置相應(yīng)的策略審核，可以及時(shí)的記錄系統(tǒng)的狀態(tài)，事件額發(fā)生。經(jīng)過(guò)這些設(shè)置，一個(gè)基本安全的服務(wù)器就正常運(yùn)行了。</p><p>　　經(jīng)過(guò)自動(dòng)更新的設(shè)置，一旦微軟有新的漏洞補(bǔ)丁發(fā)布，服務(wù)器立即就會(huì)自動(dòng)更新，防止部分不法分子利用漏洞進(jìn)行服務(wù)器掃描攻擊等。</p><p><b>　　第五章 結(jié)論</b></p&g

40、t;<p>　　由于本人在知識(shí)、經(jīng)驗(yàn)方面都存在不足，課程設(shè)計(jì)必然會(huì)存在一些缺陷和不足，可能步驟不夠詳盡，考慮有不周之處，因此，有未涉及和為提到的地方望諒解。</p><p>　　本次課程設(shè)計(jì)完成了一下幾個(gè)問(wèn)題：</p><p>　　對(duì)WEB服務(wù)器進(jìn)行了基本的介紹，以及進(jìn)行了基本安全分析。</p><p>　　針對(duì)WEB服務(wù)器進(jìn)行了存在的安全威脅進(jìn)行了磁

41、盤(pán)權(quán)限設(shè)置、賬戶設(shè)置、協(xié)議安全設(shè)置、端口設(shè)置、IIS設(shè)置等。</p><p>　　本課程設(shè)計(jì)雖然存在一些不足但卻讓我學(xué)到了許多，讓我鞏固了服務(wù)器的一些基本設(shè)置及注意的安全技巧，及統(tǒng)籌設(shè)計(jì)思維。還讓我真切的體會(huì)到同學(xué)間的互幫互助團(tuán)結(jié)精神，及濃濃的師生情誼！</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1] 劉曉輝，張奎婷.

42、WindowsServer2003系統(tǒng)安全管理[M].北京：電子工業(yè)出版社，2009</p><p>　　[2] 呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論（第二版）.科學(xué)出版社，2010</p><p>　　[3] 李新，李成友.基于Windows系統(tǒng)的Web服務(wù)器安全研究與實(shí)踐[J].教育信息化,2010</p><p>　　[4] 馬琰.如何提高個(gè)人Web服務(wù)器的安全性[J

43、].職業(yè)圈，2011</p><p>　　[5] 遠(yuǎn)哲.細(xì)說(shuō)高校WEB服務(wù)器安全[J].電腦知識(shí)與技術(shù)，2010</p><p>　　[6] 周軍.Web服務(wù)器性能改進(jìn)的相關(guān)技術(shù).中國(guó)科技博覽，2010</p><p><b>　　致 謝</b></p><p>　　在課程設(shè)計(jì)即將完成之際，回顧緊張但又充實(shí)的課程完