实验二 Web服务器安全设置.docVIP

实验二 Web服务器安全设置实验 一、实验目的 Web服务器的安全设置与管理是网络安全管路的重要工作，通过实验使学生可以较好的掌握Web服务器的安全设置与管理的内容、方法和过程，为理论联系实际，提高对服务器安全管理、分析问题和解决问题的实际应用能力，有助于以后更好的从事网管员或信息安全员工作奠定基础。 二、实验要求及方法 在Web服务器的安全设置与管理实验过程中，应当先做好实验的准备工作，实验时注意掌握具体的操作界面、实验内容、实验方法和实验步骤，重点是服务器的安全设置与服务器的日常管理实验过程中的具体操作要领、顺序、和细节。 三、实验内容及步骤 在以往出现过服务器被黑的事件中，由于对服务器安全设置或管路不当的原因造成的较多。一旦服务器被恶意破坏，就会造成重大的损失，需要花费更多的时间进行恢复。 1.服务器准备工作 通常需要先对服务器硬盘进行格式化和分区，格式化类型为NTFS，而不用FAT32。分区安排为：C盘为系统盘，存放操作系统等系统文件；D盘存放常用的应用软件；E盘存放网站。然后，设置磁盘权限：C盘为默认；D盘安全设置为Administrator和System完全控制，并将其他用户删除；E盘只存放一个网站设置Administrator和Syetem完全控制，Everyone读取，如果网站上某段代码需要写操作是，应该更改文件所在的文件夹权限。 安操作系统Window Server 2008。系统安装过程中应本着最小服务原则，不选择无用的服务，达到系统的最小安装，在安装IIS的过程中，只安装必要的最基本的功能。 2.网络安全配置 网络安全最基本的设置是端口。在“本地连接 属性”对话框中选择“Internet协议（TCP/IP）”选项，然后单击“高级”按钮，在打开的“高级TCP/IP设置”对话框中选择“选项”选项卡，单击“属性”按钮，打开“TCP/IP筛选”对话框。只打开网站服务所需要使用的端口，配置界面如图1所示。 图1 在进行安全设置后，服务器不能使用域名解析，可以防止一般规模的分布式拒绝服务攻击，可使外部上网更为安全。 3.安全模板设置 运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf或secredc.inf，然后选择“立刻配置计算机”，系统就会为自动配置“账户策略”、“本地策略”、“系统服务”等信息，但这些配置可能会导致某些“被限制”软件无法运行或运行出错。如查看设置的IE禁用网站，则可将该网站添加到“本地Internet”或“受信任的站点”区域包含列表中，如图2所示。 图2 4.Web服务器的设置 以IIS为例，一定不要使用IIS默认安装的Web目录，而需要在E盘新建一个目录。然后再IIS管理器中右击“主机”，选择“属性”和“WWW服务”，在“编辑”中选择“主目录配置”及“应用程序映射”，只保留asp和asa，其余全部删除。 5.ASP安全 由于大部分木马都是ASP编写的，因此在IIS系统中的ASP组件非常重要。 ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件实现其功能，除了文件系统对象（File System Object，FSO）之外，其他的大部分可以直接禁用。 使用微软提供的URLScan Tool过滤非法URL访问的工具可以起到一定的防范作用。 6.服务器日常管理 服务器管理工作必须规范，特别是具有多个管理员时。日常管理工作包含： （1）定时重启服务器。各服务器保证每周重新启动一次。重启后要进行复查，确认启动，确认服务器上的各项服务都恢复正常。对于没有启动或服务未能及时恢复的情况，要采取相应的措施。前者可请求托管商帮忙手工启动，必要时可要求连接显示器确认是否启动；后者需要远程登陆服务器进行原因查找并尝试恢复服务。 （2）检查安全性能。至少保证每周登录及大致检查服务器各两次，并将结果登记在册，如需要使用工具进行检查，可直接在e:tools中查到相关工具。 （3）备份数据。保证至少每月备份一次服务器系统数据，通常采用ghost方式，对ghost文件固定存放在e:ghost文件目录下，以备份的日期命名，gho；各服务器保证至少每两周备份一次应用程序数据，至少保证每月备份一次用户数据。 （4）监控服务器。每周必须保证监视各服务器状态，一旦发现服务停止，要及时采取相应措施。对于停止的服务，首先检查该服务器上同类型的服务是否中断，如都以中断，则及时登录服务器查看相关原因，并针对该原因尝试重新开启对应服务。 （5）清理相关日志。对各服务器保证每月对相关日志进行一次保存后清理，对应的各项日志如应用程序日志、安全日志、和系统日志等。 （6）更新补丁及应用程序。对于