浅谈Web服务器安全防护体系的构建.docVIP

浅谈Web服务器安全防护体系的构建 　　摘要：本文针对Web服务器面临的主要威胁，分别对服务器系统及Web软件防护体系的构建问题进行探讨，以期通过本文的阐述不断提高管理人员的网络技术水平，确保企业WEB服务器有一个安全、稳定、高效的运行环境。 　　关键词：Web服务器；安全防护；安全设置 　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2010) 13-0000-01 　　Web Server Security Protection System 　　Tian Zilan 　　(Ocean University of China,Qingdao266100,China) 　　Abstract:In this paper,to Web server face main threats,namely,the server systems and Web software protection system problems are discussed,the adoption of this article describes improve management of network technology to ensure that enterprises WEB server has a safe,stable,efficient operating environment. 　　Keywords:Web server;Security protection;Security settings 　　一、Web服务器面临的主要威胁 　　Web服务器面临着许多威胁，大部分威胁与系统中配置的应用程序、操作系统和环境有关。 　　（一）拒绝服务 　　拒绝服务是一种“老牌”服务器攻击。这种攻击很简单，通常由技术水平较低的被称为脚本小子的年轻人发动此类攻击。总体而言，DoS攻击通过一个系统攻击另一个系统，其目的是消耗后者的所有资源，例如带宽和处理器时间，从而无法进行合法请求，通常认为这是一种无聊的攻击。但一定不要因此放松警惕，为它会使受害主机或网络无法及时接收并处理外界请求，或无法及时同应外界请求。 　　（二）Web页面更改攻击 　　在Intranet上经常可以看到Web贞面被更改。顾名思义，Web页面更改源于攻击者利用Web服务器的不良配置修改Web页面，其原因有很多，比如为了捉弄别人或推行某种政治主张。 　　（三）SQL注入 　　结构化查询语言（SQL）注入是专门针对数据库的攻击。在这种攻击中，攻击者利用数据库或Web页面的设计缺陷，从数据库提取信息，甚至操纵数据库的信息，虽然不能详细解释这种攻击是如何实施的，但如果了解SQL的话，就可以找到相关的答案。如果在Web服务器上驻留数据库的话，一定要了解这种攻击。 　　（四）不良代码 　　任何开发人员或信息技术人员都知道，不良的编程习惯会带来很多问题。不良代码源于众多闪素，包括培训质量差、新手或应用程序的质量没有保证。从好的方面讲，不良代码会给人添麻烦，并且某些特性不能按预期工作；从坏的方面讲，包含不良代码的应用程序就成了最大的安全隐患。 　　二、服务器的安全防护 　　（一）密码安全 　　服务器操作系统安装初期有一部分账号默认状态为开启，这些账号很多都是没用的，比如guest账号。不要使用windows默认管理员账户administrator做为管理账户，同时在建立两个管理员账户，以便不时之需，但是这些账户的权限要严格控制，非必要时不要将整个服务器予以授权。鉴于暴力破解密码的手段和速度，密码复杂度一定要高，最好是字符、数字、字母、特殊符号等组合的十位以上的字符串。并定期更改密码防止破解。 　　（二）系统安全 　　我们现阶段常使用的服务器操作系统为Windows2003 Enterprise Edition版。操作系统安装后，要安装正版的服务器专用杀毒软件，做到必要的安全防护。另外，微软公司根据安全需求更新的系统补丁，必须及时为服务器安装上。将可能由这些漏洞引起的安全问题，及时扼杀在萌芽状态。 　　（三）服务分属、数据管理、保留地址 　　企业内的服务通常有DNS服务、邮件服务、0A服务、FTP服务等等。尽量做到重要的服务，最好按照不同服务，分属开来，实行单一化。避免一台服务器提供多项服务造成相互影响，增加服务器的自身运行压力。 　　三、WEB的安全防护 　　（一）IIS的相关设置 　　不使用默认的web站点，如果使用也要将IIS目录与系统磁盘分开。 　　在IIS中展开网站，找到正在使用的网站，在其属性中配置所有站点的公共设置，设置好相关的连接数限制，带宽以及性能等。配置应用程序映射，删除所有不必要的应用程