- 1、本文档共17页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
服务器网络安全交流
主要针对windows系统
2、黑客入侵路径(知己知彼)
寻找网站漏洞
SQL注入
文件上传
寻找后台
社会工程
没漏洞
同服务器的网站
上传木马
扩展存储过程
写入木马
备份数据库
WEBSHELL
备份出木马
用户提权
控制服务器
打包网站
下载文件
搞破坏
留后门
3、防范入侵的安全措施
黑客
WEB应用程序
WEB服务
数据库服务
操作系统
每个环节都要防范
危害性增加
其它服务
4、WEB应用程序安全——SQL注入
URL注入、输入框注入
1、程序中过虑危险字符
2、IIS使用REWRITE规则过虑
3、SQL语句不采用拼接的方式
Cookies注入
1、防止Cookies被修改
可逆加密 MD5校验
WEB程序中最常见的漏洞,程序员一不小心,网站就被黑了
5、WEB应用程序安全—漏洞与防范
上传漏洞、文件管理、备份导致的漏洞防范
对上传程序要把关
权限审查要严格
文件夹权限要设好
跨站漏洞防范
构造JS脚本
过虑要严格
6、WEB应用程序安全—其它
Cookies篡改
可逆加密 MD5校验
开源应用程序小心使用,及时打补丁
ewebeditor
动网论坛
织梦(DEDE)
漏洞一被发现,挂马一大遍
7.IIS的安全配置
IIS访问用户与网站文件夹权限
每个网站都是不同的GUEST用户
ASP.NET网站,应用程序池用不同用户
对用户上传文件夹执行权限设为“无”
应用程序池下配置网站数量要适当
不要向客户端发送错误信息(ASP)
ASP.NET禁用调试模式
8、数据库安全
帐号管理
SA 帐号 只有一两个人知道
开发人员帐号不得用于程序中
对个别重要的数据库各表权限设定
禁止程序中用于连接的用户建表、备份数据库
数据库连接
一个数据库一个帐户
连接串不出现在应用程序中,网站多的话集中配置
9、数据库安全
删除不必要扩展存储过程
防止注入漏洞被利用 :xp_cmdshell sp_makewebtask……
SA用户\sysadmin用户组可以恢复
实例端口不使用默认的端口1433
数据库备份
每天自动备份 保留半个月 异地备份每周一次
10、操作系统安全
自带防火墙 端口按需开启
杀毒软件 ARP防火墙
IP筛选 端口按需开启
及时打补丁
远程控制端口一定要改
危险DLL注销或彻底删除掉
禁用不必要的服务:
workstation之类
文件夹权限配置
安全策略 登陆次数 记录登陆事件
11、了解黑客技术与工具
SQL注入扫描器 HDSI
SQL注入工具 啊D
木马上传工具
各种语言写的WEBSHELL
12、服务器瓶颈
内存 内存消耗物理内存
缓存适当使用
个别差性能的程序影响
磁盘I/O Avg.disk Queue Length=磁盘数*2
应用程序减少频繁的文件读写
数据库查询优化(20/80)
数据库服务与WEB服务分开
多个磁盘、RAID,提高I/O负载能力
13、服务器瓶颈
CPU 很少出现
带宽
GZIP压缩(节约70%带宽)
降低图片质量(节约30%带宽)
防盗链
CDN分流(DNS轮询+squid)
性能监视
任务管理器、性能监视器、SQL事件探查器
14、服务器数据备份
IIS配置 定期加密备份到其它分区
文件备份 使用WINDOWS备份工具自动 备份
数据库备份 维护计划自动备份保留一周
系统备份 GHOST
异地备份 每隔一段时间备份一次
备份记录
15、保证服务的稳定性、高可用性
服务器架构探讨
1、服务器群集
2、服务器虚拟化,虚拟机群集
服务器监控 提醒与自动化处理
1、监控IIS
2、监控网络连接
3、监控磁盘
4、监控指定的服务
谢
您可能关注的文档
- VFP数据结构与算法(精品·公开课件).ppt
- VFP数据库系统概论(精品·公开课件).ppt
- VF数据库第1-3章 数据库系统概述(精品·公开课件).ppt
- VICTOR家庭影音娱乐(精品·公开课件).ppt
- VHDL程序设计教程讲义 chapter3(精品·公开课件).ppt
- VIP客户的管理与维护(精品·公开课件).ppt
- Visio 技能及色彩理论(精品·公开课件).ppt
- VIP会员招募、管理、维护方案(精品·公开课件).ppt
- Visio2003教程(精品·公开课件).ppt
- Visual FoxPro 60程序设计教程 第8章 面向对象的程序(精品·公开课件).ppt
- 原电池电动势的测定实验报告.pdf
- 与业主、设计、总包、监理和他承包人的配合措施.pdf
- 公司管理流程.pptx
- 2024_2025学年新教材高中地理第1章地球的运动素养综合训练新人教版选择性必修1.doc
- 2024_2025学年新教材高中地理第3章大气的运动第1节常见天气系统第1课时锋与天气分层作业新人教版选择性必修1.doc
- 2024_2025学年新教材高中地理第1章地球的运动第2节地球运动的地理意义第4课时正午太阳高度的变化四季更替和五带划分分层作业课件新人教版选择性必修1.pptx
- 2024_2025学年新教材高中地理第2章地表形态的塑造第2节构造地貌的形成第1课时地质构造与地貌课件新人教版选择性必修1.pptx
- 2024_2025学年新教材高中地理第1章地球的运动问题研究人类是否需要人造月亮课件新人教版选择性必修1.pptx
- 五片小雪花课件.pdf
- 2024_2025学年新教材高中地理第3章大气的运动第2节气压带和风带第1课时气压带和风带的形成分层作业课件新人教版选择性必修1.pptx
最近下载
- 江苏开放大学2023年秋《现代城市社区建设概论 050016》第四次形考作业参考答案.docx VIP
- 部编版四年级下册语文知识点整理(超全)(完美打印版).doc
- 全球哮喘管理和预防策略-GINA 2023中文版.pdf VIP
- 中国工艺美术测试卷附答案.doc
- 12月15日-急诊预检分诊技巧与方法---副本.ppt
- 新大学日语标准教程(基础篇)2(第二版)陈俊森练习答案.pdf
- T/CAGHP 021-2018 泥石流防治工程设计规范.pdf
- 全球哮喘防治倡议哮喘指南解读.docx VIP
- 实验探究题(二)(含答案析)(浙江中考科学复习题型专练).docx
- JTGT 3650-2020 公路桥涵施工技术规范.pdf
文档评论(0)