基于小型网络安全网站构建与实现.docVIP

基于小型网络安全网站构建与实现 　　摘要：文章描述的是通过网络隔离、定期自动备份、数学证书、访问权限等手段提高网站的安全性的方案。针对目前小型企业或单位在有限的资金和人力背景下，通过必要的手段使网站安全尽量在可控的范围内。以Windows2003操作系统+ASP网站架构背景，利用成本较低和可行的手段保障网站安全。 　　关键词：网站；访问控制；信息安全；SSL；数字证书。 　　随着网络应用的迅速发展，企业和单位除了现实世界的广告宣传外，网站的宣传广播作用也是日渐增大，特别是依靠网络营销的公司。例如，现在手机商城的整个销售过程都是完全依赖公司的网站来进行的。 　　网站的安全工作是持久性的，总会有人想通过自己的技术能从网站得到他想知道的信息或者破坏网站从而达到自己的目的。这样，企业和单位要花费大量资金和精力放在网站安全方面，做大量的网络安全措施保障网站的安全。 　　1 网站物理架设 　　在中小企业或单位架设网站时要面临2个选择：一是为了保障网站访问速度，将对外网站服务器架设在防火墙之外。二是为了安全考虑，将网站服务器架设在内网，采用NAT技术将外网IP映射给服务器使用。在本文中介绍的案例综合考虑2个因素，将服务器安装双网卡。其中一张网卡是直接接入外网，另外一张网卡接到防火墙之内。在直接接入外网的网卡设置只限80端口，其他端口全部关闭。具体操作流程：打开Windows的网络“IP设置选项卡”―“选项”―“可选TCP/IP筛选”―“高级”―“启用TCP/IP筛选（所有选配器）”―“只允许80端口”。这样做的目的是外网的所有访问只能启用80端口，防止有些端口给非法分子使用。在内网网卡方面，使用同样的方法，额外增加了一个给管理员的远程管理端口3389，但是限定了管理员的网段。 　　2 IIS设置 　　通过IIS的合理配配置，可以大大减少非法用户入侵的机会。根据双网卡的构思，在IIS设置里可以分别设置2个站点：一个是外网站点，一个是内网站点。在外网站点里只保留“只读”的权限，在内网站点作以下相应的措施。 　　2.1 权限设置的思路 　　在系统中创建一个系统用户，专门给IIS访问时使用，且在系统中设置其他所有的磁盘分区禁止这个用户访问。而内、外网站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且加上超级管理组和SYSTEM组）。且网站目录只留下该用户和超管理员的用户，其他用户一律不具有任何权限。 　　2.2 Web站点权限没定 　　具体的设置：读――允许；写――不允许；脚本资源访问――不允许；目录浏览――关闭；日志访问――关闭；索引资源――关闭；执行――仅限于脚本。 　　2.3 设置子目录的权限 　　首先将整个站点的目录改为只读，然后根据网站程序的特别需要给予对应的权限。特别是写入、修改和执行这3个权限，能不开启尽量不要启用。要注意上传目录，比如UploadFiles这样的目录，还有图片目录，取消“执行”权限。这样设置以后，即使攻击者找到了上传漏洞，把木马上传到UploadFiles目录，他们也只能看，不能执行程序。 　　2.4 避免不必要的信息外露 　　网站调试好之后，关闭IIS中出错调试信息出现在客户端浏览器中，避免程序的错误使信息暴露数据库的类型、位置等信息，为入侵者提供方便。 　　2.5 做好安全访问日记地录 　　做好安全访问日记地录是为了便于追潮，使用W3C扩充日志文件格式，每天记录客户IP地址、用户名、服务器端状态、用户代理等。不要使用默认的目录，建议更换一个记日志的路，同时设置日志的访问权限，只允许管理员和系统用户。通过系统的计划任务和ftp方法，自动定时，将这些记录文件上传到网站管理员的机器上作备份。 　　2.6 防盗链设置 　　随着网站资源的丰富，特别是视频、图片或音频文件比较多的时候，如果给其他人直接复制URL路径直接超链接的话，会消耗自己的服务器的资源。这里推荐使用开源的“IIS入侵检测及警报系统”，设置好后，一旦别人链接站内资源的话会自动跳转到设置的错误提示页面。 　　3 SSL安全技术的应用 　　设置网站的管理目录安全，关闭一些普通用户无需访问的目录的读权限，首先启用IP地址和域外限制，将管理员常用的IP地址输入到授权访问，其他用户拒绝访问。为了提高网站的安全性，可以启用IIS的安全通信，采用数字认证的方式对后台管理目录。 　　3.1 本地安装证书服务器 　　由于网上很多数字认证不免费的，可以在局域网配置成一个CA中心服务器，可颁发个人证书和服务器证书。具体操作流程：打开“控制面板”―“添加/删除程序”―“添加/删除Window组件”，选中“证书服务”，并选择“独立根”，在出现的“CA标识信息”对话框中填写CA信息，安装完毕。局域网中就已经可以颁发