web服務(wù)器安全畢業(yè)設(shè)計(jì)

1、<p>　　安全計(jì)算機(jī)機(jī)房的構(gòu)建與評(píng)測(cè)—WEB服務(wù)器安全部分</p><p><b>　　摘  要</b></p><p>　　隨著計(jì)算機(jī)普及、互聯(lián)網(wǎng)INTERNET飛速發(fā)展，許多企業(yè)都開發(fā)了自己的WEB網(wǎng)站。WEB服務(wù)器是Intranet（企業(yè)內(nèi)部網(wǎng)）網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會(huì)給企業(yè)造成不可彌補(bǔ)的損失，管理好、使用好、保

2、護(hù)好WEB服務(wù)器中的資源，是一項(xiàng)至關(guān)重要的工作。安全部署WEB服務(wù)器是企業(yè)面臨的一項(xiàng)重要工作，其中系統(tǒng)安裝、安全策略和IIS安全策略對(duì)企業(yè)WEB服務(wù)器安全、穩(wěn)定、高效地運(yùn)行至關(guān)重要，該文是基于Windows 2003平臺(tái)來介紹。</p><p>　　關(guān)鍵詞：WEB，服務(wù)器安全，協(xié)議安全，IIS設(shè)置</p><p>　　The security of the computer room co

3、nstruction and evaluation-WEB server security section</p><p><b>　　Abstract</b></p><p>　　with the popularization of computers, the Internet INTERNET rapid development, many companies

4、have developed their own WEB site. The WEB server is Intranet ( intranet ) sites on the core, wherein the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect

5、 the WEB server resources, is an important task. Deployment of the security WEB server is an enterprise is facing an important task, the system installation, security policy and security</p><p>　　Keywords: W

6、EB, server security, security protocol, IIS set</p><p><b>　　目錄</b></p><p><b>　　第1章 前言1</b></p><p>　　§1.1本文目的及意義1</p><p>　　§1.2本文主要內(nèi)容

7、1</p><p>　　第2章 WEB服務(wù)器介紹2</p><p>　　§2.1 WEB服務(wù)器概念2</p><p>　　§2.2 WEB服務(wù)器存在的安全問題2</p><p>　　第3章 WEB服務(wù)器安全設(shè)置4</p><p>　　§3.1 選用NTFS文件系統(tǒng)4</p

8、><p>　　§3.2 選用單操作系統(tǒng)4</p><p>　　§3.3 關(guān)閉Windows2003不必要的服務(wù)5</p><p>　　§3.4 禁用不必要的協(xié)議5</p><p>　　§3.5 設(shè)置磁盤訪問權(quán)限5</p><p>　　§3.6 關(guān)閉不必要的端口及更改

9、遠(yuǎn)程連接端口6</p><p>　　§3.7 限制匿名訪問本機(jī)用戶8</p><p>　　§3.8 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問8</p><p>　　§3.9 限制NetMeeting及禁用NetMeeting9</p><p>　　§3.10 注冊(cè)表防止小規(guī)模DDOS攻擊9</p&

10、gt;<p>　　§3.11防火墻及自動(dòng)更新設(shè)置10</p><p>　　第4章 IIS策略應(yīng)用13</p><p>　　§4.1不使用默認(rèn)的WEB站點(diǎn)將IIS與系統(tǒng)盤分開13</p><p>　　§4.2刪除不要的IIS擴(kuò)展名映射13</p><p>　　§4.3更改IIS日志的

11、路徑13</p><p>　　§4.4 只選擇網(wǎng)站和 WEB所必需的服務(wù)和子組件14</p><p>　　§4.5 刪除未使用的帳戶及設(shè)置強(qiáng)密碼14</p><p>　　§4.6使用應(yīng)用程序池15</p><p>　　§4.7將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池16</p

12、><p>　　第5章 WEB服務(wù)器安全評(píng)測(cè)17</p><p><b>　　結(jié)束語20</b></p><p><b>　　參考文獻(xiàn)21</b></p><p><b>　　致 謝22</b></p><p><b>　　第1章 前言<

13、;/b></p><p>　　§1.1本文目的及意義</p><p>　　隨著計(jì)算機(jī)技術(shù)的突飛猛進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個(gè)角落。小到個(gè)人的生活、工作，大至國家的發(fā)展以致整個(gè)文明的進(jìn)步。計(jì)算機(jī)網(wǎng)絡(luò)在扮演著越來越重要的角色，越來越多的企業(yè)及個(gè)人都開發(fā)了自己的WEB網(wǎng)站。然而，在如今技術(shù)發(fā)達(dá)的時(shí)代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展黑客越來越猖獗。WEB服務(wù)器被攻擊

14、，網(wǎng)站首頁被篡改，各種各樣的不安全因素存在我們周圍，如何更好的保證WEB服務(wù)器安全更好的防止黑客的入侵、攻擊是每一個(gè)人都很關(guān)心的話題?？墒俏覀?nèi)绾未_定采取的措施能夠創(chuàng)建一個(gè)安全的WEB服務(wù)器，使其不太可能受到外部黑客或內(nèi)部不良分子的破壞呢？本文以Windows系統(tǒng)為基礎(chǔ)進(jìn)行表述。</p><p>　　§1.2本文主要內(nèi)容</p><p>　　WEB服務(wù)器存在的安全問題從來就不是獨(dú)

15、立的，系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如ARP等）、網(wǎng)絡(luò)端口管理以及來自WEB服務(wù)器應(yīng)用的安全，IIS本身的配置、權(quán)限等，這個(gè)直接影響訪問網(wǎng)站的效率和結(jié)果。</p><p>　　本文介紹了什么是WEB服務(wù)器，WEB服務(wù)器安裝需要注意的問題以及如何更好的保證WEB服務(wù)器的安全。</p><p>　　第2章 WEB服務(wù)器介紹</p><p>　　§2.1 WEB

16、服務(wù)器概念</p><p>　　WEB服務(wù)器是指駐留于因特網(wǎng)上某種類型計(jì)算機(jī)的程序。當(dāng)WEB瀏覽器（客戶端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類型）。服務(wù)器使用HTTP（超文本傳輸協(xié)議）進(jìn)行信息交流，這就是人們常把它們稱為HTTP的服務(wù)器的原因，WEB服務(wù)器應(yīng)用實(shí)例如圖1-1所示。 </p><p>　　圖1

17、1 WEB服務(wù)器的應(yīng)用</p><p>　　WEB服務(wù)器不僅能夠存儲(chǔ)信息，還能在用戶通過WEB瀏覽器提供的信息的基礎(chǔ)上運(yùn)行腳本和程序。</p><p>　　§2.2 WEB服務(wù)器存在的安全問題</p><p>　　Internet的發(fā)展給企業(yè)和個(gè)人帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過

18、Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。</p><p>　　隨著Internet的廣泛應(yīng)用，許多企業(yè)開發(fā)了自己的WEB網(wǎng)站。然而由于人為的無意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進(jìn)行搗亂的各種病毒等，使得開發(fā)的網(wǎng)站存

19、在多方面的安全問題。要保證企業(yè)的WEB網(wǎng)站的安全，僅選擇一個(gè)適合企業(yè)特點(diǎn)的防火墻、適合Win2003的殺毒軟件是不夠的。更主要的要在企業(yè)內(nèi)部WEB服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的免疫力。</p><p>　　第3章 WEB服務(wù)器安全設(shè)置</p><p>　　由于本篇文章以Windows為基礎(chǔ)進(jìn)行研究的，所以在此Linux系統(tǒng)不再敘述。Windows系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只

20、有充分利用其自身的功能實(shí)現(xiàn)對(duì)系統(tǒng)的安全控制才能保證網(wǎng)站及數(shù)據(jù)的安全。</p><p>　　§3.1 選用NTFS文件系統(tǒng)　　</p><p>　　NTFS文件系統(tǒng)比FAT系統(tǒng)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪問權(quán)限，因此擁有更強(qiáng)大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒有提供對(duì)軟盤啟動(dòng)后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)時(shí)，

21、后果比較嚴(yán)重，因此平時(shí)應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。另外將系統(tǒng)盤與網(wǎng)站程序分開放置。</p><p>　　§3.2 選用單操作系統(tǒng)</p><p>　　作為WEB服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)，否則黑客會(huì)利用其攻擊Windows 2003系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開，并在安裝時(shí)

22、使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的IIS漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與WEB站點(diǎn)服務(wù)無關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來可乘之機(jī)。</p><p>　　§3.3 關(guān)閉Windows2003不必要的服務(wù)</p><p>　　Windows2003系統(tǒng)中

23、包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)器能暴漏賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱的情況下可以取得賬號(hào)的密碼。當(dāng)這兩種服務(wù)都開通時(shí)，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為WEB網(wǎng)站的Win2003系統(tǒng)，必須停掉沒有用的服務(wù)。</p><p>　　§3.4 禁用不必要的協(xié)議</p><p&g

24、t;　　NetBIOS協(xié)議在WEB服務(wù)器上是黑客掃描工具的首選目標(biāo)，因此，必須解除NetBIOS與TCP/IP協(xié)議的綁定。方法“設(shè)置→控制面板→網(wǎng)絡(luò)連接→本地連接→屬性→TCP/IP→屬性→高級(jí)→WINS→禁用TCP/IP上的NetBIOS。另外，NetBIOS、IPX/SPX協(xié)議對(duì)WEB網(wǎng)站也沒有任何用處，只會(huì)被某些黑客工具利用，也必須禁用或刪除（操作如圖3-1）。</p><p>　　圖 31禁用不必要協(xié)議

25、</p><p>　　§3.5 設(shè)置磁盤訪問權(quán)限</p><p>　　系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄（默認(rèn)時(shí)為Windows）要加上users的默認(rèn)權(quán)限，以保障ASP和ASPX等應(yīng)用程序正常運(yùn)行。其他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加system用戶權(quán)限，否則啟動(dòng)不成功。</p><p>

26、;　　§3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口</p><p>　　在Internet上，各主機(jī)間通過TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的IP地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇?？梢?，把數(shù)據(jù)包順利的傳送到目的主機(jī)是沒有問題的。問題出在哪里呢?我們知道大多數(shù)操作系統(tǒng)都支持多程序（進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問題有待解

27、決，端口機(jī)制便由此被引入進(jìn)來。</p><p>　　本地操作系統(tǒng)會(huì)給那些有需求的進(jìn)程分配協(xié)議端口（protocol port，即我們常說的端口），每個(gè)協(xié)議端口由一個(gè)正整數(shù)標(biāo)識(shí)，如：80，139，445，等等。當(dāng)目的主機(jī)接收到數(shù)據(jù)包后，將根據(jù)報(bào)文首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。</p><p>　　如果攻擊者使用軟件掃描目

28、標(biāo)計(jì)算機(jī)，得到目標(biāo)計(jì)算機(jī)打開的端口，也就了解了目標(biāo)計(jì)算機(jī)提供了哪些服務(wù)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。如果計(jì)算機(jī)的端口打開太多，而管理者不知道，那么，有兩種情況：一種是提供了服務(wù)而管理者沒有注意，比如安裝IIS的時(shí)候，軟件就會(huì)自動(dòng)增加很多服務(wù)，而管理者可能沒有注意到；一種是服務(wù)器被攻擊者安裝木馬，通過特殊的端口進(jìn)行通信。這兩種情況都是很危險(xiǎn)的，說到底，就是管理員不了解服務(wù)器提

29、供的服務(wù)，減小了系統(tǒng)安全系數(shù)。</p><p><b>　　圖3-2常用端口</b></p><p>　　常用端口圖 32在缺省情況下，所有的端口將對(duì)外開放，而有些黑客工具可以掃描那些可以利用的端口，所以為了系統(tǒng)安全關(guān)閉不用的端口為最佳。常用端口(見圖3-2).關(guān)閉端口具體操作如下。 本地連接→屬性→Internet協(xié)議(TCP/IP) →屬性→高級(jí)→選項(xiàng)→

30、TCP/IP篩選→屬性→把勾打上，操作如圖3-3，添加需要的端口(如: 21、80)?！?lt;/p><p>　　圖33 關(guān)閉不必要端口</p><p>　　更改遠(yuǎn)程連接端口：開始→>運(yùn)行→>輸入regedit查找3389：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\T

31、ds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改為自寶義的端口號(hào)并重新啟動(dòng)服務(wù)器（如圖3-4所示）。</p><p>　　圖3-4 更改遠(yuǎn)程端口</p><p>　　§3.7 限制匿名訪問本機(jī)用戶 <

32、/p><p>　　“開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“對(duì)匿名連接的額外限制”→在下拉菜單中選擇“不允許SAM賬戶的匿名枚舉”→“確定”（如圖3-5所示）。</p><p>　　圖3-5 限制匿名用戶</p><p>　　§3.8 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問</p><p>　　“開始

33、”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項(xiàng)”→雙擊“只有本地登錄用戶才能訪問軟盤”→在單選按鈕中選擇“已啟用(E)” → “確定” （操作如圖3-6所示）。 </p><p>　　圖3-6 限制遠(yuǎn)程用戶對(duì)光驅(qū)軟驅(qū)訪問</p><p>　　§3.9 限制NetMeeting及禁用NetMeeting</p><p>　　運(yùn)行“gp

34、edit.msc” →“計(jì)算機(jī)配置”→“管理模板”→“Windows組件” →“NetMeeting” →“禁用遠(yuǎn)程桌面共享”→右鍵→在單選按鈕中選擇“啟用(E)”→“確定”（操作如圖3-7所示）。 </p><p><b>　　圖3-7 限制共享</b></p><p>　　§3.10 注冊(cè)表防止小規(guī)模DDOS攻擊</p><p>

35、　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 "DWORD值"名為 "SynAttackProtect" 數(shù)值為"1"（操作如圖3-8所示）。</p><p>　　圖3-8更改DWORD值</p><p>　　§3.11

36、防火墻及自動(dòng)更新設(shè)置</p><p>　　一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向

37、中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。</p><p>　　通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 </p><p>　

38、　如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 </p><p>　　

39、1．安裝企業(yè)級(jí)360軟件如圖3-9所示。經(jīng)常對(duì)服務(wù)器進(jìn)行定期的掃描殺毒等。</p><p>　　圖39 360安裝</p><p>　　2．開啟自動(dòng)更新，網(wǎng)上鄰居-屬性-本地連接-屬性-高級(jí)-設(shè)置，如圖3-10所示。</p><p>　　3-10 開啟自動(dòng)更新</p><p>　　3．防火墻的安全設(shè)置。</p><p&g

40、t;　　添加防火墻規(guī)則有兩種方法，一種是通過Windows安全警報(bào)對(duì)話框，Windows 防火墻中的通知機(jī)制允許本地管理員在得到相應(yīng)提示后自動(dòng)將新程序添加到例外程序列表。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加，自動(dòng)添加這里不再多說。手動(dòng)添加也有兩種方式，一種是添加程序的文件名，一種是添加端口。添加端口的方式非常簡(jiǎn)單，點(diǎn)擊添加端口，然后給這個(gè)要開放端口起個(gè)名字，比如這個(gè)端口是被QQ使用的，我們就可以起個(gè)名字叫QQ，然后填上對(duì)應(yīng)的端口號(hào)如800

41、0，接著選擇通訊協(xié)議，默認(rèn)只有TCP和UDP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了。如圖3-11所示。</p><p>　　圖3-11 添加端口</p><p>　　事實(shí)上這就是我們的防火墻規(guī)則，每創(chuàng)建一條允許或禁止的防火墻規(guī)則都會(huì)被放入列表中，每條規(guī)則前面的復(fù)選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。默認(rèn)情況下系統(tǒng)有四條配置好的訪問規(guī)則，如圖3-12所示，其中遠(yuǎn)

42、程協(xié)助是默認(rèn)允許的。點(diǎn)擊添加程序按鈕，然后選擇一個(gè)合適的程序。當(dāng)然，可能列表中沒有您想要的程序，這時(shí)您可以單擊瀏覽并定位到程序的具體位置把它添加進(jìn)來。以后，當(dāng)程序運(yùn)行時(shí)，Windows 防火墻會(huì)監(jiān)視程序偵聽的端口，并把它們自動(dòng)添加到例外通信的列表中。這個(gè)方式創(chuàng)建的規(guī)則將更具靈活性和簡(jiǎn)易性。并且只有在應(yīng)用程序與外部通信時(shí)端口才是開放的，一旦連接斷開，端口也會(huì)隨之關(guān)閉。這比通過直接添加端口的方式安全性要高很多。</p><

43、;p>　　圖3-12 添加程序規(guī)則</p><p>　　經(jīng)過這些設(shè)置WEB服務(wù)器安全就有了基本的安全保障，另外需要更多的技術(shù)設(shè)備上的發(fā)展才能滿足更多企業(yè)及個(gè)人用的對(duì)安全的需求。</p><p>　　第4章 IIS策略應(yīng)用</p><p>　　§4.1不使用默認(rèn)的WEB站點(diǎn)將IIS與系統(tǒng)盤分開</p><p>　　將網(wǎng)站內(nèi)容移動(dòng)

44、到非系統(tǒng)驅(qū)動(dòng)器，不使用默認(rèn)的 \Inetpub\wwwroot 目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 WEB 服務(wù)器的目錄結(jié)構(gòu)）帶來的危險(xiǎn)（一定要驗(yàn)證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動(dòng)器）。</p><p>　　§4.2刪除不要的IIS擴(kuò)展名映射</p><p>　　右鍵單擊“默認(rèn)WEB站點(diǎn)→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml、

45、shtm、stm（如圖4-1所示）。</p><p>　　圖4-1 刪除IIS映射</p><p>　　§4.3更改IIS日志的路徑 </p><p>　　右鍵單擊“默認(rèn)WEB站點(diǎn)→屬性→網(wǎng)站→在啟用日志記錄下→點(diǎn)擊屬性更改設(shè)置（操作如圖4-2所示）。</p><p>　　圖4-2 更改IIS路徑</p><p&

46、gt;　　§4.4 只選擇網(wǎng)站和 WEB所必需的服務(wù)和子組件</p><p>　　開始→控制面板→ 添加或刪除程序→添加/刪除 Windows 組件→應(yīng)用程序服務(wù)器→詳細(xì)信息→ Internet 信息服務(wù) (IIS) →詳細(xì)信息→然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的 IIS 組件和服務(wù)。 IIS 子組件和服務(wù)的推薦設(shè)置；禁用后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展、F

47、TP 服務(wù)、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服務(wù)。啟用公用文件、Internet 信息服務(wù)管理器、萬維網(wǎng)服務(wù)（操作如圖4-3所示）。</p><p><b>　　圖4-3 選擇組件</b></p><p>　　§4.5 刪除未使用的帳戶及設(shè)置強(qiáng)密碼</p><p

48、>　　避免攻擊者通過使用以高級(jí)特權(quán)運(yùn)行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 限制對(duì)服務(wù)器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個(gè)強(qiáng)密碼以增強(qiáng)安全性，重命名 IUSR 帳戶。</p><p>　　在 IIS 元數(shù)據(jù)庫中更改 IUSR賬戶的值： “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →右鍵單擊“本地計(jì)算機(jī)”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫”復(fù)選框→“確定”→ 瀏

49、覽至 MetaBase.xml 文件的位置，默認(rèn)情況下為 C:\Windows\system32\inetsrv →右鍵單擊 MetaBase.xml 文件→“編輯” → 搜索“AnonymousUserName”屬性，→鍵入 IUSER賬戶的新名稱→在“文件”菜單上→單擊“退出”→單擊“是”（操作如圖4-4、4-5所示）。</p><p>　　圖44 更改IUSER帳戶值</p><p&g

50、t;　　圖4-5 更改IUSER帳戶值</p><p>　　§4.6使用應(yīng)用程序池</p><p>　　應(yīng)用程序池用來隔離應(yīng)用程序，提高 WEB 服務(wù)器的可靠性和安全性。創(chuàng)建應(yīng)用程序池： “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →本地計(jì)算機(jī)→右鍵單擊“應(yīng)用程序池”→“新建”→“應(yīng)用程序池”→在“應(yīng)用程序池 ID”框中，為應(yīng)用程序池鍵入一個(gè)新 ID→“應(yīng)用

51、程序池設(shè)置” →“Use default settings for the new application pool”（使用新應(yīng)用程序池的默認(rèn)設(shè)置）→“確定” （操作如圖4-6所示）。</p><p>　　圖4-6 應(yīng)用程序池的設(shè)置</p><p>　　§4.7將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池</p><p>　　因?yàn)閼?yīng)用程序池中的應(yīng)用程序與其他應(yīng)用程序被

52、工作進(jìn)程邊界分隔，所以某個(gè)應(yīng)用程序池中的應(yīng)用程序不會(huì)受到其他應(yīng)用程序池中應(yīng)用程序所產(chǎn)生的問題的影響。</p><p>　　步驟：“管理工具”→“Internet 信息服務(wù) (IIS) 管理器” → 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序→“屬性”→“主目錄”、“虛擬目錄”或“目錄”選項(xiàng)卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗(yàn)證“應(yīng)用程序名”是否包含正確的網(wǎng)站或應(yīng)用程序名稱，（如果在“應(yīng)用程序名”框中

53、沒有名稱，則單擊“創(chuàng)建”，然后鍵入網(wǎng)站或應(yīng)用程序的名稱）→“應(yīng)用程序池”列表框→單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱→“確定”。 </p><p>　　經(jīng)過以上設(shè)置， WEB服務(wù)器安全性有了很大的提升，但一些不法攻擊者會(huì)不斷尋找新漏洞來攻擊WEB服務(wù)系統(tǒng)，所以我們一定要養(yǎng)成及時(shí)修補(bǔ)系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保WEB服務(wù)器有一個(gè)安全、穩(wěn)定、高效的運(yùn)行環(huán)境。</p>

54、<p>　　第5章 WEB服務(wù)器安全評(píng)測(cè)</p><p>　　經(jīng)過以上設(shè)置服務(wù)器的所有分區(qū)均采用了NTFS格式進(jìn)行設(shè)置并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機(jī)會(huì)。開啟防火墻能確?；镜姆蓝荆惭b自動(dòng)更新能及時(shí)的檢查系統(tǒng)及時(shí)更新微軟發(fā)布的安全補(bǔ)丁，及時(shí)給系統(tǒng)填補(bǔ)漏洞。僅安裝必要的IIS組件，開啟必要的端口及協(xié)議防止黑客利用掃描工具進(jìn)行掃描。設(shè)置用戶權(quán)限，可以防止非法用戶的進(jìn)入

55、。設(shè)置相應(yīng)的策略審核，可以及時(shí)的記錄系統(tǒng)的狀態(tài)，事件的發(fā)生。經(jīng)過這些設(shè)置，一個(gè)基本安全的服務(wù)器就正常運(yùn)行了。</p><p>　　經(jīng)過自動(dòng)更新的設(shè)置，一旦微軟有新的漏洞補(bǔ)丁發(fā)布如圖5-1所示，服務(wù)器立即就會(huì)自動(dòng)更新，防止部分不法分子利用漏洞就行服務(wù)器掃描攻擊等。</p><p>　　圖5-1自動(dòng)修補(bǔ)漏洞</p><p>　　利用X-Scan 進(jìn)行漏洞掃描，X-Sca

56、n是國內(nèi)最著名的綜合掃描器之一。它完全免費(fèi)，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的民間黑客組織“安全焦點(diǎn)”完成，最值得一提的是，X-Scan把掃描報(bào)告和安全焦點(diǎn)網(wǎng)站相連接，對(duì)掃描到的每個(gè)漏洞進(jìn)行“風(fēng)險(xiǎn)等級(jí)”評(píng)估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測(cè)試、修補(bǔ)漏洞，X-Scan運(yùn)行于Windows 操作系統(tǒng)。采用多線程方式對(duì)指定IP地址段（或單機(jī)）進(jìn)行安全漏洞檢測(cè)，具有插件功能。&

57、lt;/p><p>　　安裝X-Scan后，對(duì)剛才設(shè)置過的服務(wù)器進(jìn)行評(píng)測(cè)安全系數(shù)。首先獲取服務(wù)器的IP地址，該服務(wù)器對(duì)應(yīng)的網(wǎng)站為www.zzidc.com，首先在ping一些下這個(gè)域名以獲得該網(wǎng)站服務(wù)器的IP地址222.85.64.169（如圖5-2所示）。.</p><p>　　圖5-2 獲取服務(wù)器的IP地址</p><p>　　參數(shù)設(shè)置，雙擊xscan_gui，會(huì)打

58、開X-Scan v3.2 GUI的界面，點(diǎn)擊設(shè)置->掃描參數(shù)，設(shè)置要掃描網(wǎng)絡(luò)的IP地址，也可以是地址段，把得到的信息工程學(xué)院的IP地址202.207.20.10填到指定IP地址范圍處。再對(duì)“全局設(shè)置”和“插件設(shè)置”進(jìn)行相關(guān)的設(shè)置，界面如圖5-3所示。點(diǎn)擊“確定”，返回到X-Scan v3.2 GUI的界面。</p><p>　　圖5-3 X-Scan界面</p><p>　　掃描，點(diǎn)

59、擊工具欄上的開始按鈕，就進(jìn)行掃描了，這時(shí)，在進(jìn)程里會(huì)出現(xiàn)10個(gè)checkhost.exe進(jìn)程，掃描是會(huì)出現(xiàn)如圖5-4畫面。</p><p><b>　　圖54 掃描界面</b></p><p>　　這是加載攻擊測(cè)試腳本的界面，只有把所有的腳本文件都加載進(jìn)去，才能進(jìn)行全面而準(zhǔn)確的掃描。</p><p>　　以下圖5-5所示是正式掃描的界面，對(duì)相

60、應(yīng)的端口和服務(wù)等進(jìn)行掃描。</p><p><b>　　圖55正式掃描</b></p><p>　　當(dāng)掃描完成后，會(huì)自動(dòng)生成被檢測(cè)主機(jī)的詳細(xì)漏洞信息的報(bào)表，報(bào)表的上部給出了掃描時(shí)間，檢測(cè)結(jié)果，主機(jī)列表，分析主機(jī)：222.85.64.169，四項(xiàng)信息，如圖給出了安全設(shè)置前后掃描信息對(duì)比如圖5-6及5-7所示。</p><p>　　圖56 服務(wù)

61、器沒有安全設(shè)置前掃描信息</p><p>　　圖57安全設(shè)置后的掃描信息</p><p>　　結(jié)果分析從報(bào)表可以看到，報(bào)表給出了10個(gè)提示數(shù)量，3個(gè)警告數(shù)量，0個(gè)漏洞數(shù)量，下面就沒個(gè)提示做相應(yīng)的分析與解決方案。比服務(wù)器置前漏洞已經(jīng)沒有，雖然依然存在警告但相信只要我們及時(shí)觀察設(shè)置及時(shí)更新安全系數(shù)定會(huì)大大提升的。</p><p><b>　　結(jié)束語</

62、b></p><p>　　在本論文寫作過程中由于本人在知識(shí)、經(jīng)驗(yàn)方面都存在著不足，另外論文寫作時(shí)間也比較緊張，因此論文必然會(huì)存在一些缺陷和不足?？赡懿襟E不夠詳盡，考慮有不周之處，因?yàn)閷?duì)WEB服務(wù)器還不是太熟悉，所以有未涉及未提到的地方望諒解！</p><p>　　本次論文的完成大概完成以下幾個(gè)問題：</p><p>　　1對(duì)WEB服務(wù)器進(jìn)行了基本的介紹，以及進(jìn)

63、行了基本安全分析。</p><p>　　2針對(duì)WEB服務(wù)器存在的安全威脅進(jìn)行了磁盤權(quán)限設(shè)置、賬戶設(shè)置、協(xié)議安全設(shè)置、端口設(shè)置、IIS設(shè)置等。</p><p>　　3 針對(duì)這些安全設(shè)置后WEB服務(wù)器是否安全進(jìn)行了測(cè)試，由于條件有局限只針對(duì)該服務(wù)器所對(duì)應(yīng)的網(wǎng)站在服務(wù)器進(jìn)行安全設(shè)置前后進(jìn)行了漏洞掃描與評(píng)測(cè)。經(jīng)過前后對(duì)比發(fā)現(xiàn)經(jīng)過安全設(shè)置后的網(wǎng)站確定安全了很多但還有一些不足的地方，由于條件、本人知識(shí)

64、等有限制，在此可能不能更完善的展示出來。不過我以后會(huì)更加努力，謝謝大家支持。</p><p>　　本論文雖然存在一些不足但確讓我學(xué)到了很多，讓我鞏固了服務(wù)器的一些基本設(shè)置及注意的安全技巧，及統(tǒng)籌設(shè)計(jì)思路。還讓我真切體會(huì)到同學(xué)間的互幫互助團(tuán)結(jié)精神，及濃濃的師生情誼！不僅是一種知識(shí)的學(xué)習(xí)與表達(dá)更是一種精神的傳遞。</p><p><b>　　參考文獻(xiàn)</b></p&

65、gt;<p>　　劉曉輝,張奎亭. WindowsServer2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社, 2009</p><p>　　呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論(第二版)科學(xué)出版社，2010</p><p>　　李新,李成友.基于Windows系統(tǒng)的Web服務(wù)器安全研究與實(shí)踐[J].教育信息化，2010</p><p>　　馬琰.如何提高個(gè)

66、人Web服務(wù)器的安全性[J].職業(yè)圈，2011</p><p>　　遠(yuǎn)哲.細(xì)說高校WEB服務(wù)器安全[J].電腦知識(shí)與技術(shù)，2010</p><p>　　周軍.Web服務(wù)器性能改進(jìn)的相關(guān)技術(shù).中國科技博覽，2010 </p><p><b>　　致 謝</b></p><p>　　在論文即將完成之際，回顧緊張但又充實(shí)的論文

67、完成過程，本人在此向所有關(guān)心我的及幫助我的老師和同學(xué)們致以最真誠的感謝。</p><p>　　在本次畢業(yè)設(shè)計(jì)中，我從指導(dǎo)老師身上學(xué)到了很多東西。他認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我受益匪淺。這對(duì)于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，在此感謝他耐心的輔導(dǎo)。在撰寫論文階段，老師幾次審閱我們的論文，提出了許多寶貴意見，沒有他的指導(dǎo)，我們就不能較好的完成課題設(shè)計(jì)的任務(wù)。</p>&l