一个安全WEB服务器的安装服务器教程(精选7篇)
WEB服务器是Internet上最暴露的服务器,为了让客户/目标用户群访问提供的信息,WEB服务器必需是Internet上的任何接入点都可以访问的。与其它诸如DNS和FTP等公共服务相比,WEB对 高手更有诱惑力,因为一个成功地侵入一个网站的人可以更改主页从而让别人更加意识到他的存在。这些入侵事件能够让一个公司失去客户的信任,尤其是当一些敏感数据(如信用卡详细信息等)被窃取甚至被公开时就更加严重。
如果说用于防止从Internet对内部网络进行攻击的防火墙是最重要网络安全领域的话,WEB服务器应该说是第二个需要高度安全的领域了。本文的目标就是如何只用45分钟的时间就可以在Linux系统上配置一个安全的WEB服务器。当然,您也可以在其他操作系统上完成同样的事情。下面是基于SuSE Linux 6.4发布的一个例子。
安全区域
服务器安全由几个安全区域组成,为了保证允许条件下的最高度的安全保护,安全必需在每个区域都予以一致的实现。
1. 基础设施区
基础设施区域定义服务器在网络中的位置。这个区域必需能够防止数据 、网络映射和端口扫描等 技术的威胁,
而且,可以跟踪对一个暴露的WEB服务器的成功入侵,因为被侵入的服务器可能会用来作为攻击其它重要的服务器的基地(这种方式在DoS攻击中最为常见)。
在这一端,所有提供Internet服务的服务器都通过一个集中部件保护起来并且位于一个隔离的网络是必需的。这个隔离的网络称为非军事区(DMZ)。具有保护功能的组件可能是一个复杂的防火墙或一个简单的路由器(这个路由器配置了具有很强限制的包过滤规则)。因此,仅仅指定的服务器服务才是允许访问的。
一般DMZ会采用一个具有端口安全和报文洪水保护的转换开关,这种方式可以保证DMZ的高度安全。
如果您关心物理安全,那么您必需保证服务器安装在一个安全的房间里(或数据处理中心)并且所有的电源、电话线和网线等都必需得到物理上的保护。
2. 网络协议区
网络通信一般指的都是TCP/IP通信,操作系统内核对通信负责并且保证一个透明的通信流。然而,一些函数或者协议的易受攻击点可能会被用来发起攻击或破坏行为。因此,内核必需经过必要的配置,以便阻挡这些类型的攻击手段。虽然位于服务器前面的防火墙或路由器可以防止很多类型的攻击,但一些WEB服务器的设置也必需做一些相应的调整。
防止SYN洪水攻击是很关键的,在所有的操作系统中,Linux提供了一种称为SYNcookies的最有效解决方案。此外,ICMP重定向和对广播地址的ping操作以及IP源路由包也应该被拒绝。适用附加的内核过滤函数可以增加安全级别。
★ Windows Internet信息服务的安装Web服务器
★ 防止对WEB应用服务器的三种攻击服务器教程
★ 在Windows Server 安装SSL证书(IIS 7.0)WEB服务器
★ 在Ubuntu系统的服务器上安装Webuzo控制面板的教程
★ cad安装使用教程
★ SMTP简单邮件传输协议服务器教程
★ FTP服务器关于权限的问题服务器教程
★ 硬盘坏道故障实例解决服务器教程
★ Discuz!应用教程:如何在Discuz! X1.5上快速制作
假设Web服务器上已经安装了IIS6.0,要发布一个网站的过程。首先将要发布的网站文件夹保存到Web服务器的硬盘上,将网站文件夹“caiwuchu”存放在Web服务器C盘的根目录下,在“caiwuchu”文件夹下有一个名字为“default.htm”的网页文件。现在在Web服务器上打开IIS6.0,在左边一栏中展开“本地计算机”,再展开“网站”,可看到有一个默认网站。现在要建一个新的网站,右键单击“网站”,在弹出的下拉菜单中选择“新建”→“网站”,在“欢迎使用网站创建向导”中点击“下一步”,在“网站描述”中输入“caiwuchu”点击“下一步”,在“IP地址和端口设置中”在“网站IP地址”中选择下拉菜单的“192.168.9.1”,“网站TCP端口”保留默认的“80”,单击“下一步”,在网站主目录”中,通过浏览找到C盘下的wangzhan1,点击“下一步”,在“网站访问权限”中保持默认值不变,再单击“下一步”最后单击“完成”。为了验证网站发布是否正确在浏览器中输入http://192.168.9.1回车结果如图1所示。说明“caiwuchu”的发布是成功的。
现在用同样的方法来发布另一个网站“renshichu”,结果刚刚新建的“renshichu”网站是“停止”的,并不能工作。如图2所示。
可见在同一个Web服务器上可以同时发布多个网站。下面就具体谈谈使用四种不同的方法来解决在一个Web服务器上同时驻留多个Web站点的方法。
方法一:使得不同的Web站点分别对应不同的IP地址。在同一个机器上可以拥有多个不同的IP地址。这台机器有两个IP地址,分别是192.168.9.1和192.168.90.1,将“caiwuchu”的网站对应IP地址为192.168.9.1,将“renshichu”的网站对应IP地址为192.168.90.1,这样就可以解决问题。打开IIS6.0,在左边展开的“网站”中选择“renshichu”右键“renshichu”在弹出的下拉菜单中选择“属性”在“网站”选项卡下将“IP地址”选择为“192.168.90.1”点击“确定”。再次右键“renshichu”选择“启动”现在“renshichu”能够正常启动。在浏览器中输入http://192.168.90.1发现网站能正常打开,如图3所示。通过DNS将192.168.9.1和域名www.caiwuchu.com对应,结果在浏览器中输入www.caiwuchu.com同样能正常访问网站。
方法二:让不同的Web站点对应不同的端口号。再将“renshichu”的IP地址改回192.168.9.1,在“renshichu”的属性的“网站”选项卡的“TCP端口”中输入“8080”,结果如图4所示。重新启动“renshichu”网站在浏览器中输入http://192.168.9.1:8080,同样能访问“renshichu”网站。需要注意的是在端口处输入8080才能访问“renshichu”的网站,如果不输入端口号访问的是“caiwuchu”的网站。
方法三:使用修改主机头的方法。首先将“renshichu”网站的端口号再次改回“80”在DNS中将IP地址192.168.9.1和域名www.renshichu.com相对应,这样IP地址为192.168.9.1分别同时与两个域名相对应。分别是www.caiwuchu.com和www.renshichu.com,现在打开IIS6.0在左边一栏展开“网站”右键点击renshichu,选择“属性”,在“网站”选项卡的“网站标识”栏中选择“高级”在“高级网站标识”“此网站的多个标识”中选中已经存在的,再点击“编辑”在“添加/编辑网站标识”中将主机头值设置为www.renshichu.com。结果如图5所示。同样的方法将“caiwuchu”的主机头设置为www.caiwuchu.com,如图6所示。现在在浏览器上分别输入www.caiwuchu.com和www.renshichu.com能够分别访问这两个网站。这里需要注意的是,在使用修改主机头的方法时,浏览器版本必须是2.0以上,以及使用这种方法在客户浏览Web站点时,只能使用域名而不能使用IP地址。
方法四:在一个网站目录下驻留多个站点的方法。这种方法的思想是只需要创建一个网站目录,具体访问哪个网站时再深入到具体的网站文件夹。具体做法是,在C盘下创建一个文件夹名字为“wangzhan”,回到IIS6.0,把刚才创建的网站全部删除掉,右键“网站”,“新建”→“网站”,点击“欢迎使用网站创建向导”中的“下一步”,网站描述为“wangzhan”,点击“下一步”,“IP地址和端口设置”为默认值,点击“下一步”→“创建主目录”→“浏览”选中C盘下的“wangzhan”文件夹,点击“下一步”,“网站访问权限”设置为默认值,点击“下一步”,最后“完成”。现在把要发布网站文件夹拷贝到“wangzhan”文件夹下。将“caiwuchu”文件夹和“renshichu”文件夹拷贝到“wangzhan”文件夹下。在具体访问这两个网站时在浏览器上输入http://192.168.9./caiwuchu/default.htm和http://192.168.9.1/renshichu/default.htm,如果存在域名解析同样可以把IP地址改成域名来访问。访问效果如图7所示。
参考文献
关键词:安全防护系统;web服务区;系统
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2011) 05-0000-02
Web Server Security System Key Technology Research and Application
Li Yufeng
(Guizhou University Management School,Guiyang550025,China)
Abstract:This paper designs a training test Web server security system,so that students on this system platforms can learning,training, examination;system can automatically collect performance feedback from students in the examination of information,analyzing data mining,found that students in the knowledge or Lack of capacity to facilitate the teaching of specific measures proposed.Based on this,this article will focus on the framework of Web server security system.
Keywords:Safety system;Web service area;System
在网络技术逐渐渗入社会生活各个层面的今天,传统的考试方式也面临着变革,而网络考试则是一个很重要的方向。基于设计模式的网络考试系统可以借助于遍布全球的因特网进行,因此考试既可以在本地进行,也可以在异地进行,大大拓展了考试的灵活性。试卷可以根据题库中的内容即时生成,可避免考试前的压题,而且可以采用大量标准化试题,从而使用计算机判卷,大大提高阅卷效率,还可以直接把成绩送到数据库中,进行统计、排序等操作[1]。所以现在较好的考试方法为网络考试,试题内容放在服务器上,考生通过姓名、准考证号码和口令进行登录,考试答案也存放在服务器中,这样考试的公平性、答案的安全性可以得到有效保证。
一、Web服务器安全防护系统的设计模式
现有的计算机网络考试系统绝大多数都是设计模拟传统的集中式考试模式,采用计算机网络的手段替代了人工操作,功能上没有取得质的飞跃。现代计算机网络信息技术提供高效的、交互的信息交换手段,通过训练测试的方式揭示学生在学习过程中对知识掌握的缺陷和漏洞,使得教师深度挖掘有关信息而使教学更加有针对性。从考核的内容与方式上来看,计算机应用基础类的课程既要考核计算机基础理论知识,又要考核计算机的操作技能,网上考试比传统试卷式考试更合理更必要。其他大量课程采用计算机方式进行考试不是完全合适,如数学公式和化学符号等考核内容,利用计算机键盘输入来说仍是件难题[1]。
所以,考试系统的应用范围主要是计算机等级考试,在其他科目课程上的应用几乎没有出现。但是,应该看到大多数课程需要考核大量的选择和判断等类型题目,如果采用考试系统来考试,同样可以发挥计算机网络的超越时间与空间的特性,使这些课程的考试与平时的教学过程能够紧密联系起来。换而言之,基于设计模式的考试系统也应当像网上作业、网上训练、网上教程等教学系统一样,在整个教学活动过程中,相辅相成,始终服务于教学活动。能够很好地实现这样的教育理念的考试系统应该是在线网上考试系统,与集中式考试系统相比,在线系统的反馈机制能即时收集有关学生回答每一道题目所花费的时间及答案的信息,使任课教师能够及时准确地掌握学生知识学习的状态。在线考试系统能够跨越时间与空间、高速准确地挖掘并反馈教学信息,在教学过程中发挥自始至终的作用。这种新思维意味着在线考试系统的需求是巨大的。所以,系统实现的目标是:设计一个训练考试的网络系统平台,在平时教学过程中使用,使学生可以在此系统平台上进行学习、训练、考试;系统可以自动收集反馈学生进行考试时表现的信息,通过数据分析挖掘,发现学生在知识或能力上的欠缺,便于在教学中提出针对性的措施。
二、Web服务器安全防护系统框架的特点
Web服务器安全防护系统,试卷应该从服务器的数据库随机抽取试题后动态生成的。系统还应该对考试时间进行控制,时间到了会要求考试者交卷。考试者选择答案提交后,应该由计算机自动判卷,得到成绩后显示出来。考试完毕后,可以返回登录页面或继续考试。教师应该能够方便、快捷地对在线考试系统管理;考试者可以对自己的基本资料随时进行修改,可以随时查询考试成绩。考生还应能进行远程注册[2]。系统要有一个安全稳定的页面,确保考生考试的顺利进行。此系统应具备的主要功能如下。1.用户注册用户可以进行注册,然后登录。2.用户登录实现对不同的用户进行身份的判别,使考生进入学生考试系统,使老师进人教师管理系统。3.用户信息的管理教师可以增删用户。4.试题模型设置各科目试题的每种题型的数量和分值。5.试题库管理分科目,对单选、多选两种题型试题库的管理,使试题的增删、编辑更为简便。6.试卷生成可以指定试卷的各题型的数量,从试题库里随机抽取试题生成一份原始试卷。7.在线考试系统严格控制整个考试过程,实行时间的监控与权限的控制,考生需要在限定的考试时间内交卷。8.计算机自动阅卷本系统只考虑客观题,要求计算机能自动阅卷,然后马上显示出考生分数。9.成绩查阅考生考完以后,教师应该能对所有记录进行查询,并应该可以删除指定记录。考试系统功能模块主要分为3个部分。
三、基于设计模式的Web服务器安全防护系统分析及应用
考试系统的功能结构一般是相同的,主要由三个子系统构成:考务管理、考试监控端和考试客户端,其功能框架如图2所示。三个子系统紧密相连、相互配合,共同实现考试的无纸化管理。
考试子系统是网络考试系统的核心部分,由于采用Web技术实现,所以从理论上讲,考试可以在任何时候、任何地方进行,但是为了使考场易于组织和管理,所以本系统对考试时间作了严格的限制在进入网站时首先判断当前时间是否为考试规定的时间,由于判断的时间是服务器端的时问,所以跟考试机器的时间无关,即使考生修改所在机器的时间,也无济于事。如果时间符合要求,则显示登录页面,考生在这个页面输入自己的信息,如姓名、身份证号码、密码等等,单击“提交”后进入信息处理程序(在服务器端执行),如信息不正确(包括有些考生试图绕过登录页面,直接进入试卷页面的情况,此时由于没有登录信息,系统也会认为是非法考生),系统给出提示信息,并重新定位到登录页面;如信息正确,则显示试卷页面,试卷页面上的试题内容根据考生输入的试卷代号从数据库中取出符合条件的记录动态生成。同时在页面上动态显示考试所剩时间,当考试时间到或考生点击“交卷”按钮时,系统则把考生答案传送至服务器的数据库中保存起来,并把数据库标记考生是否参加过某门课程考试的标记置“1”(它的初始值为“0”)。
考试系统使用名称为ExamineDB的Microsoft SQL Server 2005数据库,它包括以下几张表:
(一)AdminUser表
AdminUser表保存管理员的信息,它包含的字段及其说明如下表所示:
表1 AdminUser表
字段名数据类型字段说明链引用备注
IDintIDPK主键
Usernamevarchar(50)名称
Passwordvarchar(255)密码
(二)Examinee表
Examinee表保存用户的信息,它包含的字段及其说明如表所示:
表2 Examinee表
字段名数据类型字段说明链引用备注
IDintIDPK主键
Usernamevarchar(50)名称
Passwordvarchar(255)密码
Statustinyint状态
(三)Subject表
Subject保存考试科目的信息,它包含的字段及其说明如表所示:
表3 Subject表
字段名数据类型字段说明链引用备注
IDintIDPK主键
Namevarchar(50)考试科目名称
(四)Question表
Question表保存考题的信息,它包含的字段及其说明如下表所示
表4 Question表
字段名数据类型字段说明链引用备注
IDintIDPK主键
Titlevarchar(2000)考题内容
Scoreint分值
AnswerChar(2)正确答案
SubjectIDint所属科目的ID值FK引用Subject表的ID列
(五)Answer表
Answer表保存考题答案的信息,它包含的字段及其说明如下表所示:
表5 Answer表
字段名数据类型字段说明链引用备注
IDintIDPK主键
BodyVarchar(1000)答案内容
tagChar(2)答案标记
QuestionIDint所属考题的ID值FK引用Question表的ID列
参考文献:
[1]康金辉.基于B/S模式的电力安规考试系统的设计[J].陕西理工学院学报(自然科学版),2008,24(1):29-32
[2]丁荣涛.一种分布式混合模式考试系统的开发[J].微计算机应用,2008,24(3):159-162
[3]丁振国,胡志芳,朱建新.基于J2EE平台的在线考试系统的设计与实现[J].陕西理工学院学报(自然科学版),2009,25(1):56-61
图1:动态反馈负载均衡算法的工作环境
连接调度
当客户通过TCP连接访问网络访问时,服务所需的时间和所要消耗的计算资源是千差万别的,它依赖于很多因素,
例如,它依赖于请求的服务类型、当前网络带宽的情况、以及当前服务器资源利用的情况。一些负载比较重的请求需要进行计算密集的查询、数据库访问、很长响应数据流;而负载比较轻的请求往往只需要读一个HTML页面或者进行很简单的计算。
群集功能是默认安装的,
Windows 2003群集优点之(安装)服务器教程
。您只需要启动群集管理器配置群集,或者使用 Cluster.exe 编写配置脚本。此外,您还可以事先安装第三方的仲裁资源,然后在服务器群集配置过程中选择它们,此时不必使用其它与资源有关的操作步骤。所有的服务器群集配置都可以用同一方式来部署。
优点・更方便的管理 - 您在安装服务器群集时不再需要提供媒体光盘。
・不用重新启动 - 您在安装或卸载群集服务后不再需要重新启动。
预配置分析分析和验证软、硬件配置,并查找可能的问题。在创建服务器群集之前,针对任何可能的配置问题提供一个全面而且易于阅读的报告。
优点・兼容性 - 确保在进行配置之前能检测到任何已知的不兼容问题。例如,Service for Macintosh (SFM)、网络负载平衡(NLB)、动态磁盘以及由 DHCP 授予的地址都是群集服务所不支持的。
默认值使用默认值或试探值创建最佳方式的服务器群集。大多数情况下,这些默认值对新创建的服务器群集而言都是最为适宜的配置。
优点・更方便的管理 - 在创建服务器群集时只会询问少量的配置问题,程序会根据所收集的数据作出配置决定。我们的目标是让您以默认方式创建并运行服务器群集,如果需要,此后您可以使用服务器群集管理工具对该服务器群集进行自定义。
添加多个节点允许在一次操作中向服务器群集添加多个节点。
优点・更方便的管理 - 这使得您可以更为方便快捷地创建多节点服务器群集。
可扩展的架构可扩展的架构允许应用程序和系统组件加入服务器群集配置。例如,在服务器群集化之前可以安装应用程序,并且这些应用程序可以参加(甚至阻碍)这个已加入服务器群集的节点。
优点・第三方支持 - 该功能允许应用程序在服务器群集安装期间(而不是通过服务器群集安装后的某个单独任务)设置服务器群集资源和/或更改它们的配置。
远程管理完全允许从远程创建和配置服务器群集。从远程管理站点可以创建新的服务器群集和在现有的服务器群集中添加节点。此外,还会根据终端服务器的客户端会话来更新驱动器盘符的变化和物理磁盘资源的故障转移,
优点・更方便的管理 - 可以通过终端服务实现更佳的远程管理。
命令行工具服务器群集的创建和配置可以通过 cluster.exe 命令行工具以脚本方式完成。
优点・更方便的管理 - 可以更方便地实现群集创建过程的自动化。
更方便的卸载若要从节点卸载群集服务,现在只需执行一个收回该节点的步骤。而在以前的版本中,则需要先收回,再卸载。
优点・更方便的管理 C 卸载群集服务的操作变得更有效率,因为您只需通过群集管理器或 Cluster.exe 收回节点,即可取消该节点的群集支持配置。Cluster.exe 还提供了一个新开关。该开关在您进入群集服务器有困难时可以强制执行卸载操作,其命令为:cluster node %NODENAME% /force
仲裁日志大小仲裁日志的大小已增加为 4096 KB(过去是 64 KB)。
优点・允许大量共享 C 4,096 KB 的仲裁日志允许大量的文件或打印机共享(比如 200 个打印机共享)。在以前的版本中,如此多的共享会用完仲裁日志的空间,从而导致资源故障转移的不一致性。
本地仲裁如果未将节点附加到共享磁盘,该节点会自动配置一个“本地仲裁”资源。在群集服务运行时也有可能创建本地仲裁资源。
优点・创建测试性群集 C 这使得用户可以非常容易地在本地 PC 上创建测试性群集来测试群集应用程序或熟悉群集服务。用户不需要 Microsoft 群集 HCL 中认可的专门群集硬件即可运行测试性群集。
注意:只有单节点群集(lonewolf)才支持本地仲裁。另外,在生产环境中不支持使用那些尚未在 HCL 中认证的硬件。
・实现恢复 C 如果您丢失了所有的共享磁盘,则让临时群集工作的一种方法是使用 cluster.exe /fixquorum 开关启动该群集,然后创建本地仲裁资源并将它设为您的仲裁资源。如果是打印群集,您可以将 spool 文件夹指向本地磁盘。如果是文件共享,您可以将文件共享资源指向已在其中恢复了备份数据的本地磁盘。显而易见的是,这并未提供任何故障转移,因此只能将此视作一个临时措施。
仲裁选择您不再需要选择将哪个磁盘用作仲裁资源。仲裁资源将在容量大于 50 MB 而且格式为 NTFS 的最小磁盘上自动配置。
优点・更方便的管理 C 最终用户不必再关心哪个磁盘将用作仲裁资源。
一、创建用于访问网站的独立用户
1.选中“我的电脑”右键,选择“管理”,打开“计算机管理”,选择“本地用户和组”,然后点击“用户”,接着“右键”,新建一个用户,如下图:
最后点击“创建”,完成用户创建。
2.取消新建立的用户属的用户组“USERS”,选择用户xiazw.com,然后“右键”,选择“属性”,让用户不属于任何组,如下图:
二、应用新建立的用户到网站根目录
1.选中网站根目录,“右健”,选择“属性”,然后选中“安全”如下图:
2.默认情况我们已经删除别的用户了,接下就添加新建立的用户,赋予这个文件夹相应的权限,选择“添加”,查找到对应的用户,如下图:
3.对于ASP或PHP网站程序,一般情况网站根目录要分配有administrator、system、访问网站的独立用户的等用户的默认权限。网站根目录一定不能分配“Everyone”和“Users”这两个用户。
4.如果网站根目录下面有要写入文件的文件夹,如“上传图片或有Access数据库”需要写入数据的,可以在根目录分配“写入”权并继承下到子目录;为更安全可以单独选中需要写入数据的文件夹,然后按上面的操作,赋予这个文件夹“写入”权,
5.对于ASP.NET的程序,在服务器安装有Microsoft .NET Framework组件的前提下,除了分配上面的用户访问权外,有些网站程序还需要在网站目录添加“IIS_WPG”用户。
6.对于网站权限的分配,您可以结合对自身对服务器安全防范与管理的能力在文件夹的“安全”选项卡中的“高级”选项中进行更细微的权限调整。
7.对于部分文件夹,如上传图片、附件或不需要执行权限的目录,可选中该目录,在文件夹属性在的“执行权限”设置其为“无”,这样设置后就算被上传木马程序到网站也无法运行木马程序。
三、应用用户到IIS下的对应的网站
1.打开IIS管理器,选中站点,然后“右键”,接着选择“属性”,选择“目录安全性”,到“添加用户”,添加用户后,输入一次密码,“确定”,按系统提示再输入一次密码,最后点“确定”。如下图:
四、IIS应用程序池
1.为不同的网站分配不同的程序池,可以解决IIS多种语言共存的网站程序引起的程序池异常;因某个网站程序异常引起默认应用程序池无响应,导致全部网站工作不正常;通过分析某个程序池占用资源情况可以快速检查是哪个网站影起的;可在某个网站出现异常时可以单独回收程序池不影响别的网站等等
2.建立应用程序池,选中“应用程序池”,“新建”,“应用程序池”。如下图
3.在新窗口中“应用程序池”输入名称,如:xiazw.com,然后“确定”。
4.为网站指定应该程序池,在IIS管理器,选中建立好的网站如xiazw.com,然后“右键”,接着选择“属性”,在弹出的网站属性窗口中找到并选中“主目录”,找到“应用程序池”,点击下拉选择三角箭头,选中建立好的程序池,“应用”,然后“确定”。
一般说来, Web服务器上可能存在的漏洞有以下几种。
⑴Web服务器因各种原因而不能返回客户要访问的秘密文件、目录或重要数据。⑵远程用户向服务器发送信息时, 特别是像信用卡之类的重要信息时, 中途遭不法分子非法拦截。⑶入侵者可能突破Web服务器本身存在的一些漏洞, 破坏其中的一些重要数据, 甚至造成系统瘫痪。⑷CGI (Common Gateway Interface, 公共网关接口) 安全方面存在的漏洞。CGI是Web信息服务与外部应用程序之间交换数据的标准接口。它具有两个功能:收集从Web浏览器发送给Web服务器的信息, 并且把这些信息传送给外部程序:把外部程序的输出作为Web服务器对发送信息的Web浏览器的相应, 送给该Web浏览器。通过CGI程序, Web服务器真正实现了与Web浏览器用户之间的交互。在HTML文件中, 表单 (Form) 与CGI程序配合使用, 共同来完成信息交流的目的。
CGI可能的漏洞有:有意或无意地在主机系统中遗漏bug, 给非法黑客创造条件:用CGI脚本编写的程序在涉及远程用户从浏览器中输入表单或进行检索时, 会给Web主机系统造成危险。因此, 从CGI角度考虑Web的安全性, 主要是在编制程序时, 应详细考虑到安全因素, 尽量避免CGI程序中存在漏洞。因此, 不管是配置服务器, 还是在编写CGI程序时都要注意系统的安全性。应该堵住任何存在的漏洞, 创造安全的环境。
2 Web服务器的安全策略和安全机制
Web服务器的安全策略是由个人或组织针对安全而制定的一整套规则和决策。每个Web站点都应有一个安全策略, 这些安全策略因需求的不同而各不相同。对Web服务器提供者来说, 安全策略的一个重要的组成是哪些人可以访问哪些Web文档, 同时还定义获权访问Web文档的人和使用这些访问的人的有关权力和责任。采取何种安全措施, 取决于制定的安全策略。必须根据需要和目标来设置安全措施, 估计和分析安全风险。制定Web站点的安全策略的基本原则是不要为细节所困扰。
定义安全策略, 选择一套安全机制, 首先要做的是威胁分析, 主要包括以下几个方面。
⑴有多少外部入口点存在?有哪些威胁?⑵研究谁会对网络产生威胁:威胁来自黑客, 还是训练有素的有知识的入侵者, 或是来自工业间谍?⑶分析会有什么样的威胁:入侵者访问哪些数据库、表、目录或信息?威胁是网络内部的非授权使用, 还是移动数据?⑷数据是遭受到了破坏, 还是受到了攻击?攻击是网络内、外的非授权访问, 还是地址欺骗、IP欺骗及协议欺骗等?⑸确定安全保护的目标。⑹提出价格合理的安全机制。
根据威胁程度的大小、方向和入侵的对象, 进行分析评价, 作为制定Web的安全策略和设计网络安全措施的基本依据。安全设计时, 要优先考虑必要的且可行的步骤, 正确制定安全策略, 并采取必要的安全措施。
3 Web服务器的安全措施
⑴从基本做起。针对Web服务器的安全, 我们应从最基本的安全措施做起, 这是最保险的安全方式。比如, 将服务器上含有机密数据的区域都转换成NTFS格式:防毒程序也必须按时升级更新, 同时在服务器和桌面计算机上安装防毒软件, 这些软件可设定成每天自动下载最新的病毒库文件, 邮件服务器上也安装上防毒软件, 这类软件可扫描所有寄来的电子邮件, 寻找被病毒感染的附件, 若发现病毒, 邮件会马上被隔离, 降低使用者被感染的机会。还可以限定使用者登录网络时的权限。存取网络上的任何数据都必须通过密码登录。在设定密码时, 混用大小写字母、数字和特殊字符。
⑵备份保护。大多数人都没有意识到, 备份本身就是一个巨大的安全漏洞。因此, 最好利用密码保护好备份磁盘, 若备份程序支持加密功能, 还可以将数据进行加密。
⑶审查网站活动, 安全存储日志。每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的, 对所有互联网服务进行审核是很重要的。审核有助于检测和打击攻击, 并且可以检修服务器性能故障。在高级安全环境中, 要确保日志存储在物理安全的地点, 技巧是日志一产生就打印出来, 建立不能被入侵者修改的纸记录, 前提是入侵者没有物理访问权限。还可以使用电子备份, 例如登录进安全主机, 用数字签名进行加密, 来阻止日志被窃取和修改。
⑷对内部和外部应用分别使用单独的服务器。假设组织有两类独立的网络应用, 面向外部用户的服务和面向内部用户的服务, 要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果没有可用的部署工具, 至少应该考虑使用技术控制 (例如处理隔离) , 使内部和外部应用不会互相牵涉。
⑸及时升级或修补程序。在微软公司内部有一组工作人员专门检查并修补安全漏洞, 这些修补程序有事会被收集成服务包发布。很多网络管理员没有访问安全站点的习惯, 以至于一些漏洞都出了很久了, 还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的系统不出一点安全漏洞, 经常访问微软和一些安全站点, 下载最新的service pack和漏洞补丁, 是保障服务器长久安全的唯一方法。
综上所述, 在构建Web服务器时, 首先要从实际情况舒服, 根据安全策略决定具体的需求, 广泛地收集、分析有关安全信息和相关知识, 借鉴优秀方案的精华, 能够最好的满足企业或单位的Web安全需求。
摘要:随着基于Web的应用系统越来越多, 应用越来越广泛, 其安全性也越来越受人们的重视。本文分析了Web服务器可能存在的漏洞, 对构建Web服务器的安全策略和应该采取的安全措施进行了探讨。
【一个安全WEB服务器的安装服务器教程】推荐阅读:
打造更安全的防火墙WEB安全07-22
安全与服务09-07
安全服务人员职责06-12
安全技术服务合同07-08
国家信息安全服务资质09-12
信息安全服务保障措施09-14
信息安全服务评估报告09-24
安全管理服务协议09-28
物业服务企业安全培训07-15
消防安全服务队工作小结06-27
