政府Web網(wǎng)站的創(chuàng)建與管理(下)(5)_Windows教程
      
編輯Tag賺U幣
      


      教程Tag:暫無Tag,歡迎添加,賺取U幣!
      


      
五、政府網(wǎng)站W(wǎng)eb服務(wù)器的安全管理與維護(hù) 

      

        1、UNIX或LIUNX環(huán)境下Web服務(wù)器的安全管理與維護(hù)

        ·Apache和Tomcat的啟動和關(guān)閉

        #/home/apache-1.3.27/bin/apachect·start 啟動
        #/home/apache-1.3.27/bin/apachect·stop 關(guān)閉
        #/home/jakarta-tomcat-4.1.12/bin/startup sh 啟動
        #/home/jakarta-tomcat-4.1.12/bin/shutdown sh 關(guān)閉

        ·Apache和Tomcat的Web服務(wù)器的安全管理

        1) Apache和Tomcat都具有支持安全Socket層(SS·)的功能。在Tomcat中聲明安全性,WEB應(yīng)用程序的安全性主要在相應(yīng)的Web.xml中設(shè)置,Tomcat支持的鑒權(quán)機(jī)制為HTTP基本鑒權(quán)機(jī)制BASIC和基于表單的鑒權(quán)機(jī)制FROM(JSP網(wǎng)站)。

        過濾是Tomcat 4的新功能,能夠用過濾器來實現(xiàn)以前使用不便的或難以實現(xiàn)的功能,這些功能包括:

        * 資源訪問(Web頁、JSP頁、servlet)的定制身份認(rèn)證
        * 應(yīng)用程序級的訪問資源的審核和記錄
        * 應(yīng)用程序范圍內(nèi)對資源的加密訪問,它建立在定制的加密方案基礎(chǔ)上
        * 對被訪問資源的及時轉(zhuǎn)換,包括從servlet和JSP的動態(tài)輸出

        2)Apache的安全設(shè)置
        Apache服務(wù)器設(shè)置安全信息--Access.conf文件中的指令控制著用戶對站點的訪問及如何進(jìn)行訪問方面的信息。包括文件樹的安全、腳本目錄安全性、Options指令、AllowOverride指令、使用Order指令、使用有限容器、添加用戶鑒定功能等)。
        3)Apache模塊(PHP網(wǎng)站)
        當(dāng)PHP做為Apache的模塊來運(yùn)行時它繼承了Apache的安全設(shè)置。任何的文件請求都要經(jīng)過Apache的嚴(yán)格檢查,只有通過檢查的請求才被送往PHP。
      

        2、Windows NT/2000的IIS服務(wù)器的安全管理與維護(hù)

        ·Web站點安全性設(shè)置

        本文討論的安全設(shè)置僅依賴于Windows NT/2000和IIS內(nèi)部的安全性功能,鑒于Windwos2000強(qiáng)大的安全性能(符合C2安全級別),尤其是強(qiáng)大的用戶認(rèn)證能力和獨有的NTFS安全分區(qū),IIS網(wǎng)站的安全性完全可以得到非常有力的保證。籠統(tǒng)的說,站點安全性工作將圍繞如下兩個任務(wù)進(jìn)行:合法用戶身份的認(rèn)證和站點文件的安全保障。前者需要借助于Windows2000的賬號系統(tǒng)和認(rèn)證機(jī)制;后者則要由IIS和NTFS分區(qū)共同維護(hù)。

        ·NTFS權(quán)限設(shè)置

        安裝操作系統(tǒng)最新的補(bǔ)丁程序,不論是NT還是2000,硬盤分區(qū)均為NTFS分區(qū),NTFS權(quán)限是NTFS分區(qū)文件格式特有的安全權(quán)限。

        【W(wǎng)indows域服務(wù)器的簡要驗證】和【集成Windows驗證】都是屬于加密驗證的發(fā)式。其中簡要驗證方法是IIS5.0中新引入的驗證方法,它通過網(wǎng)絡(luò)發(fā)送經(jīng)過混編的密碼值而不是密碼本身。該方法通過代理服務(wù)器和其他防火墻工作。這里的混編密碼值通常是利用哈西算法得到的,此方法較基本驗證安全得多,但低于集成Windows驗證方式(可以通過復(fù)雜運(yùn)算加以破解)。

        【集成Windows驗證】通過與用戶的InternetExplorerWeb瀏覽器進(jìn)行密碼交換以確認(rèn)用戶的身份。

        ·IP地址和域名訪問控制

        IP地址和域名訪問控制方式源于對于特定IP地址或域名的不信任,鑒于網(wǎng)站管理員通常會認(rèn)為來自某些IP地址的用戶帶有明顯的攻擊傾向(通過對日志文件的分析可以得到這一結(jié)論),或者網(wǎng)站管理員希望僅有來自特定IP地址或域名的用戶才能夠訪問網(wǎng)站。這些限制能力都倚賴于IP地址和域名訪問控制功能。

        ·使用權(quán)限向?qū)?BR>
        權(quán)限向?qū)荌IS5.0新引入的權(quán)限管理工具。鑒于對站點安全性的配置復(fù)雜而無序,較難理出一條簡明而準(zhǔn)確的主線,IIS5.0引入了權(quán)限向?qū)Чぞ撸峁┝艘粋連續(xù)、簡單、準(zhǔn)確的權(quán)限配置流程,可以使管理員迅速對站點進(jìn)行一般性的權(quán)限設(shè)定。尤其是對于涉及大量權(quán)限繼承關(guān)系的站點(虛擬)目錄配置工作,運(yùn)用權(quán)限向?qū)苓_(dá)到意想不到的效果。權(quán)限向?qū)е饕獙Π踩O(shè)置和目錄權(quán)限進(jìn)行快速指定,并能夠以摘要的形式提供安全分析。

        ·目錄和文件權(quán)限

        為了控制好服務(wù)器上用戶的權(quán)限,同時也為了預(yù)防以后可能的入侵和溢出,我們還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限,NT的訪問權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下,大多數(shù)的文件夾對所有用戶(Everyone這個組)是完全敞開的(FullContro·),你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。

        ·設(shè)置WWW目錄訪問權(quán)

        在InternetServiceManager中創(chuàng)建Web發(fā)布目錄(文件夾)時,可以為定義的主目錄或虛擬目錄及其中所有的文件夾設(shè)置訪問權(quán)限。這些權(quán)限是有WWW服務(wù)提供的那些,是NTFS文件系統(tǒng)提供的權(quán)限之外的部分。這些權(quán)限是:
        * :讀權(quán)限允許Web客戶讀或下載存儲在主目錄或虛擬目錄中的文件。如果客戶為目錄中沒有讀權(quán)限的文件發(fā)送一個讀請求,則Web服務(wù)器返回一個錯誤。通常,應(yīng)該給予包含要發(fā)布信息(例如HTML文件)的目錄讀權(quán)限。應(yīng)該為包含公用網(wǎng)關(guān)接口(CGI)應(yīng)用程序和InternetServer應(yīng)用程序編程接口(ISAPI)DLL的目錄取消讀權(quán)限,以防止客戶下載應(yīng)用程序文件。
        * 執(zhí)行:執(zhí)行權(quán)限允許Web客戶運(yùn)行存儲在主目錄或虛擬目錄中的程序和腳本。如果客戶發(fā)送請求,運(yùn)行不具有執(zhí)行權(quán)限的文件夾中的程序或腳本,則服務(wù)器返回一個錯誤。為了安全,不要給予內(nèi)容文件夾執(zhí)行權(quán)限。

        ·解除NetBios與TCP/IP協(xié)議的綁定

        NetBois在局域網(wǎng)內(nèi)是不可缺少的功能,在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法:WINNT:控制面版→網(wǎng)絡(luò)→綁定→NetBios接口→禁用;WIN2000:控制面版→網(wǎng)絡(luò)和撥號連接→本地網(wǎng)絡(luò)→屬性→TCP/IP→屬性→高級→WINS→禁用TCP/IP上的NETBIOS。

        ·刪除所有的網(wǎng)絡(luò)共享資源

        NT與2000在默認(rèn)情況下有不少網(wǎng)絡(luò)共享資源,在局域網(wǎng)內(nèi)對網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用,在網(wǎng)站服務(wù)器上同樣是一個特大的安全隱患。

        ·加強(qiáng)日志審核

        安全日志:本地安全策略->審核策略中打開相應(yīng)的審核。
        日志任何包括事件查看器中的應(yīng)用、系統(tǒng)、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,從中可以看出某些攻擊跡象,因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄,帳號審核可以從域用戶管理器→規(guī)則→審核中選擇指標(biāo);NTFS中對文件的審核從資源管理器中選取。

        ·只保留TCP/IP協(xié)議,刪除NETBEUI、IPX/SPX協(xié)議

        網(wǎng)站需要的通訊協(xié)議只有TCP/IP,而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議,IPX/SPX是面臨淘汰的協(xié)議,放在網(wǎng)站上沒有任何用處,反而會被某些黑客工具利用。

        ·加強(qiáng)數(shù)據(jù)備份

        這一點非常重要,站點的核心是數(shù)據(jù),數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想,數(shù)據(jù)備份需要仔細(xì)計劃,制定出一個策略并作了測試以后才實施,而且隨著網(wǎng)站的更新,備份計劃也需要不斷地調(diào)整。
      



      

      


      來源:網(wǎng)絡(luò)搜集//所屬分類:Windows教程/更新時間:2013-04-16


      


      



      


      



      相關(guān)Windows教程