WINDOWS架设WEB服务器的安全防护(精品·公开课件).pptVIP

服务器网络安全交流 主要针对windows系统 2、黑客入侵路径（知己知彼） 寻找网站漏洞 SQL注入 文件上传 寻找后台 社会工程 没漏洞 同服务器的网站 上传木马 扩展存储过程 写入木马 备份数据库 WEBSHELL 备份出木马 用户提权 控制服务器 打包网站 下载文件 搞破坏 留后门 3、防范入侵的安全措施 黑客 WEB应用程序 WEB服务 数据库服务 操作系统 每个环节都要防范 危害性增加 其它服务 4、WEB应用程序安全——SQL注入 URL注入、输入框注入 1、程序中过虑危险字符 2、IIS使用REWRITE规则过虑 3、SQL语句不采用拼接的方式 Cookies注入 1、防止Cookies被修改 可逆加密 MD5校验 WEB程序中最常见的漏洞，程序员一不小心，网站就被黑了 5、WEB应用程序安全—漏洞与防范 上传漏洞、文件管理、备份导致的漏洞防范 对上传程序要把关 权限审查要严格 文件夹权限要设好 跨站漏洞防范 构造JS脚本 过虑要严格 6、WEB应用程序安全—其它 Cookies篡改 可逆加密 MD5校验 开源应用程序小心使用，及时打补丁 ewebeditor 动网论坛 织梦（DEDE） 漏洞一被发现，挂马一大遍 7.IIS的安全配置 IIS访问用户与网站文件夹权限 每个网站都是不同的GUEST用户 ASP.NET网站，应用程序池用不同用户 对用户上传文件夹执行权限设为“无” 应用程序池下配置网站数量要适当 不要向客户端发送错误信息（ASP） ASP.NET禁用调试模式 8、数据库安全 帐号管理 SA 帐号 只有一两个人知道 开发人员帐号不得用于程序中 对个别重要的数据库各表权限设定 禁止程序中用于连接的用户建表、备份数据库 数据库连接 一个数据库一个帐户 连接串不出现在应用程序中，网站多的话集中配置 9、数据库安全 删除不必要扩展存储过程 防止注入漏洞被利用 :xp_cmdshell sp_makewebtask…… SA用户\sysadmin用户组可以恢复 实例端口不使用默认的端口1433 数据库备份 每天自动备份 保留半个月 异地备份每周一次 10、操作系统安全 自带防火墙 端口按需开启 杀毒软件 ARP防火墙 IP筛选 端口按需开启 及时打补丁 远程控制端口一定要改 危险DLL注销或彻底删除掉 禁用不必要的服务： workstation之类 文件夹权限配置 安全策略 登陆次数 记录登陆事件 11、了解黑客技术与工具 SQL注入扫描器 HDSI SQL注入工具 啊D 木马上传工具 各种语言写的WEBSHELL 12、服务器瓶颈 内存 内存消耗物理内存 缓存适当使用 个别差性能的程序影响 磁盘I/O Avg.disk Queue Length=磁盘数*2 应用程序减少频繁的文件读写 数据库查询优化（20/80） 数据库服务与WEB服务分开 多个磁盘、RAID，提高I/O负载能力 13、服务器瓶颈 CPU 很少出现 带宽 GZIP压缩（节约70%带宽） 降低图片质量（节约30%带宽） 防盗链 CDN分流（DNS轮询+squid） 性能监视 任务管理器、性能监视器、SQL事件探查器 14、服务器数据备份 IIS配置 定期加密备份到其它分区 文件备份 使用WINDOWS备份工具自动 备份 数据库备份 维护计划自动备份保留一周 系统备份 GHOST 异地备份 每隔一段时间备份一次 备份记录 15、保证服务的稳定性、高可用性 服务器架构探讨 1、服务器群集 2、服务器虚拟化，虚拟机群集 服务器监控 提醒与自动化处理 1、监控IIS 2、监控网络连接 3、监控磁盘 4、监控指定的服务 谢