安全WEB服务器设计与实现.docVIP

安全WEB服务器设计与实现 　　摘 要:Windows2003作为当前业界主要的Web服务器平台,广泛的被运用于校园网中的Web服务器构架中。但是,由于本身Windows操作系统存在着诸多安全漏洞,给构架安全的Web服务器带来极大的隐患,如默认的磁盘管理策略、默认的系统服务配置等等,在很大程度上可以被恶意访问者所利用。本文从Windows 2003 Server、IIS安全角度叙述了安全策略和具体解决方案。 　　关键词:Windows Server 操作系统 IIS 安全策略 　　中图分类号:TP30 文献标识码:A 文章编号:1672-3791(2011)01(c)-0015-01 　　 　　在Windows2003 Server上通过安装Internet Information Server(IIS)便可建立Web服务器。除了用户外加的防火墙所提供的安全防护机制和利用安全套接字层(SSL)保护数据传输外,一般要在Windows2003 Server、IIS进行安全配置。 　　 　　1 Windows 2003 Server操作系统配置与安全策略 　　安装完系统后,最好把Administrator帐号改名。对于操作系统所在盘(一般为C盘)只留下两个帐户,即管理员帐户和System帐户,其他帐户都删除掉。 　　1.1 合理设置服务器对外开放的端口,进行恰当的访问控制 　　在网络安全研究领域已形成共识:对于向公网提供服务的服务器,只开放必要的端口,即只需要开放WWW服务即可。但有时为了远程管理的方便,也可以将远程桌面管理服务端口打开。出于系统安全更深入的考虑,要把远程桌面管理服务默认的端口(3389)改掉,同时进行可登录IP地址的限定。 　　1.2 合理设置本地安全策略,加强系统的安全性 　　本地安全策略主要包括帐户策略、本地策略和IP安全策略。系统的缺省设置存在很多的安全隐患。所以,本部分内容介绍了经过理论研究和长期实践验证行之有效地对加强系统安全性非常重要的设置参数。 　　(1)帐户策略。 　　帐户策略(包括密码策略和帐户锁定策略)账户锁定策略用于域账户或本地用户账户。包含账户锁定时间、账户锁定阈值、以及复位账户锁定计数器。账户锁定是指在某种情况下保护账户的安全而不允许账户登陆的一种策略,使得账户在一定时间内不能够登陆,避免被黑客重复输入破解密码,对黑客的猜测尝试尤为有效。 　　(2)本地策略的设置(包括审核策略、用户权限分配和安全选项)。 　　审核策略设置如下:在“本地安全设置”属性窗口中。按照“安全设置”→“本地策略”→“审核策略”打开设置窗口,进行设置。在服务硬件许可条件下。对每一项策略,最好把安全设置的审核操作都选上即“成功”和“失败”。 　　(3)IP安全策略。 　　设置本策略的主要目的是用来防止黑客和木马攻击。手段就是通过关闭通常使用的135等端口,阻断通向服务器135端口的数据包。 　　1.3 停用部分不必要的服务,增强系统的安全性 　　关掉server服务,此服务支持此计算机通过网络的文件、打印和命名管道共享。关掉此服务以后,可以从根本上去除系统默认的磁盘、ADMIN$和IPC$共享。关掉Remote Registry服务,此服务允许远程用户修改此计算机的注册表。关掉此服务,就能大大增强系统的安全性。出于安全的考虑,最好还要关掉以下服务:Computer Browser、DHCP Client、Network Location Awareness L 、TCP/IP NetBIOS Helper、IMAPI CD-Burning COM Service、Net Logon Smart Card Smart Card Helper,Telnet、Windows Image Acquisition(WIA)和Windows Zero Configuration等。 　　 　　2 IIS配置和安全策略 　　IIS的安全及稳定运行,除了做好正确的安装处理及细致的站点配置外,还需做好操作系统级的安全设置和管理。 　　2.1 合理规划IIS站点 　　删除系统盘下的虚拟目录,不使用默认的Web站点,并且IIS站点文件和操作系统文件不要在同一盘符上。其次,不使用系统默认的IUSR。机器名、IIS匿名访问帐户,针对不同的虚拟主机站点,建属于Guests组的不同匿名访问帐户。 　　2.2 删除不必要的IIS扩展名映射 　　在“Internet信息服务(IIS)管理器”中,右键单击“网站\属性\主目录\配置”。打开“应用程序配置”窗口,去掉不必要的应用程序映射。 　　2.3 更改IIS日志的路径 　　右键单击“网站\属性\属性\浏览”更改路径后,点击“确定”后就完成了对日