计算机网络安全CH10Web的安全.ppt

加强服务器的安全，有以下几个步骤。 （1）认真配置服务器，使用它的访问和安全特性。 （2）可将Web服务器当做无权的用户允许。 （3）如果在Windows 2000 Server 操作系统上运行服务器，应检查驱动器和共享的权限，将系统设为只读状态。 （4）可将敏感文件放在基本系统中，再设定二级系统，所有的敏感数据都不向因特网开放。 （5）充分考虑最糟糕的情况后，配置自己的系统，即使黑客完全控制了系统，他还要面对一堵高墙. （6）最重要的是坚持HTTP服务器使用的Applet脚本，尤其是那些与客户交互作用的CGI脚本，防止外部用户执行内部指令。 （7）建议在Windows 2000 Server 服务器上运行Web服务器，这样会比较安全，尽管它不能提供像UNIX和Sun那么多的功能，Macintosh Web服务器更为安全，但缺少Windows 2000 Server 的一些设置特性。 10.3.5 安全管理Web服务器 进行安全管理web服务器，可以从以下几个方面做些基本的预防措施： 1．限制在web服务器开帐户，定期删除一些短进程的用户。 2．对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。　　 3．如果可能，尽量在不同的服务器上运行不同的服务（如mail服务和Web服务等）。尽量使ftp, mail等服务器与之分开，去掉ftp, sendmail, tftp, NIS, NFS，finger, netstat等一些无关的应用。这样在一个系统被攻破后，不会影响到其他的服务器和主机。 4．如果不需要，尽量关闭Web服务器上特性服务，否则，有可能遭受该特性导致的安全威胁。在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的CGI的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。 5．定期查看服务器中的日志logs文件，Web服务器的活动也应该定期地记录，分析一切可疑事件。其中，最重要的是要监视的日志是哪个用户试图访问服务器上的文档。 6．设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。把所有的HTML文件归属WWW组，由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。 7．有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过 FTP上在一些如PERL或SH之类程序并用WEB的CGI-BIN去执行造成不良后果。 8．通过限制许可访问用户IP或DNS。限制服务到cgi-bin目录，即存放可执行的脚本和程序的目录。该目录设置成只能系统管理员可写。为了系统的安全性，所有的脚本和程序都应该存放在服务器上的某个目录下。 另外，许多 WEB服务器本身都存在一些安全上的漏洞，都是在版本升级过程中不断更新。在这就不一一列举。 无论多么安全的站点，都可能被破坏，都有可能遭到黑客的攻击。所以，一定要沉着冷静地处理意外事件的后续事情。 10.3.6 Web服务器的安全措施 1．从基本做起 这是最保险的方式。将服务器上含有机密数据的区域都转换成NTFS格式；防毒程序也必须按时更新；建议同时在服务器和桌面电脑上安装防毒软件。这些软件最好设定成每天自动下载最新的病毒定义文件。Exchange Server（邮件服务器）上也安装上防毒软件，这类软件可扫描所有寄进来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件马上会被隔离，减低使用者被感染的机会。 另一个保护网络的好方法是限定使用者登录网络的权限。　 另外，存取网络上的任何数据都必须通过密码登录。在设定密码时，混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。还要设定定期更新密码，且密码长度不得少于八个字符。 2． 保护备份 　　大多数人都没有意识到，备份本身就是一个巨大的安全漏洞。因此，最好利用密码保护好多所用磁盘，若备份程序支持加密功能，还可以将数据进行加密。 3． 使用RAS的回拨功能 　　Windows NT中最酷的功能之一就是支持服务器远端存取(Remote Access Service，即RAS)，但同时，RAS服务器对黑客来说也非常的方便，只需要一个电话号码、一点耐心，他们就能通过RAS进入主机。因此，如果远端用户经常是从家里或是固定的地方上网，可以使用回拨功能，允许远端用户登录后即挂断，然后RAS服务器会拨出预设的电话号码接通用户，因为此电话号码已经预先在程序中，黑客也就没有机会指定服务器回拨的号码了。 　　另一个办法是限定远端用户只能存取单一服务器。可以将用户经常使用到的数据复制