web服務(wù)器安全畢業(yè)設(shè)計

1、<p>　　安全計算機機房的構(gòu)建與評測—WEB服務(wù)器安全部分</p><p><b>　　摘  要</b></p><p>　　隨著計算機普及、互聯(lián)網(wǎng)INTERNET飛速發(fā)展，許多企業(yè)都開發(fā)了自己的WEB網(wǎng)站。WEB服務(wù)器是Intranet（企業(yè)內(nèi)部網(wǎng)）網(wǎng)站的核心，其中的數(shù)據(jù)資料非常重要，一旦遭到破壞將會給企業(yè)造成不可彌補的損失，管理好、使用好、保

2、護好WEB服務(wù)器中的資源，是一項至關(guān)重要的工作。安全部署WEB服務(wù)器是企業(yè)面臨的一項重要工作，其中系統(tǒng)安裝、安全策略和IIS安全策略對企業(yè)WEB服務(wù)器安全、穩(wěn)定、高效地運行至關(guān)重要，該文是基于Windows 2003平臺來介紹。</p><p>　　關(guān)鍵詞：WEB，服務(wù)器安全，協(xié)議安全，IIS設(shè)置</p><p>　　The security of the computer room co

3、nstruction and evaluation-WEB server security section</p><p><b>　　Abstract</b></p><p>　　with the popularization of computers, the Internet INTERNET rapid development, many companies

4、have developed their own WEB site. The WEB server is Intranet ( intranet ) sites on the core, wherein the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect

5、 the WEB server resources, is an important task. Deployment of the security WEB server is an enterprise is facing an important task, the system installation, security policy and security</p><p>　　Keywords: W

6、EB, server security, security protocol, IIS set</p><p><b>　　目錄</b></p><p><b>　　第1章 前言1</b></p><p>　　§1.1本文目的及意義1</p><p>　　§1.2本文主要內(nèi)容

7、1</p><p>　　第2章 WEB服務(wù)器介紹2</p><p>　　§2.1 WEB服務(wù)器概念2</p><p>　　§2.2 WEB服務(wù)器存在的安全問題2</p><p>　　第3章 WEB服務(wù)器安全設(shè)置4</p><p>　　§3.1 選用NTFS文件系統(tǒng)4</p

8、><p>　　§3.2 選用單操作系統(tǒng)4</p><p>　　§3.3 關(guān)閉Windows2003不必要的服務(wù)5</p><p>　　§3.4 禁用不必要的協(xié)議5</p><p>　　§3.5 設(shè)置磁盤訪問權(quán)限5</p><p>　　§3.6 關(guān)閉不必要的端口及更改

9、遠(yuǎn)程連接端口6</p><p>　　§3.7 限制匿名訪問本機用戶8</p><p>　　§3.8 限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問8</p><p>　　§3.9 限制NetMeeting及禁用NetMeeting9</p><p>　　§3.10 注冊表防止小規(guī)模DDOS攻擊9</p&

10、gt;<p>　　§3.11防火墻及自動更新設(shè)置10</p><p>　　第4章 IIS策略應(yīng)用13</p><p>　　§4.1不使用默認(rèn)的WEB站點將IIS與系統(tǒng)盤分開13</p><p>　　§4.2刪除不要的IIS擴展名映射13</p><p>　　§4.3更改IIS日志的

11、路徑13</p><p>　　§4.4 只選擇網(wǎng)站和 WEB所必需的服務(wù)和子組件14</p><p>　　§4.5 刪除未使用的帳戶及設(shè)置強密碼14</p><p>　　§4.6使用應(yīng)用程序池15</p><p>　　§4.7將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池16</p

12、><p>　　第5章 WEB服務(wù)器安全評測17</p><p><b>　　結(jié)束語20</b></p><p><b>　　參考文獻(xiàn)21</b></p><p><b>　　致 謝22</b></p><p><b>　　第1章 前言<

13、;/b></p><p>　　§1.1本文目的及意義</p><p>　　隨著計算機技術(shù)的突飛猛進(jìn)，計算機網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個角落。小到個人的生活、工作，大至國家的發(fā)展以致整個文明的進(jìn)步。計算機網(wǎng)絡(luò)在扮演著越來越重要的角色，越來越多的企業(yè)及個人都開發(fā)了自己的WEB網(wǎng)站。然而，在如今技術(shù)發(fā)達(dá)的時代，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展黑客越來越猖獗。WEB服務(wù)器被攻擊

14、，網(wǎng)站首頁被篡改，各種各樣的不安全因素存在我們周圍，如何更好的保證WEB服務(wù)器安全更好的防止黑客的入侵、攻擊是每一個人都很關(guān)心的話題?？墒俏覀?nèi)绾未_定采取的措施能夠創(chuàng)建一個安全的WEB服務(wù)器，使其不太可能受到外部黑客或內(nèi)部不良分子的破壞呢？本文以Windows系統(tǒng)為基礎(chǔ)進(jìn)行表述。</p><p>　　§1.2本文主要內(nèi)容</p><p>　　WEB服務(wù)器存在的安全問題從來就不是獨

15、立的，系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如ARP等）、網(wǎng)絡(luò)端口管理以及來自WEB服務(wù)器應(yīng)用的安全，IIS本身的配置、權(quán)限等，這個直接影響訪問網(wǎng)站的效率和結(jié)果。</p><p>　　本文介紹了什么是WEB服務(wù)器，WEB服務(wù)器安裝需要注意的問題以及如何更好的保證WEB服務(wù)器的安全。</p><p>　　第2章 WEB服務(wù)器介紹</p><p>　　§2.1 WEB

16、服務(wù)器概念</p><p>　　WEB服務(wù)器是指駐留于因特網(wǎng)上某種類型計算機的程序。當(dāng)WEB瀏覽器（客戶端）連到服務(wù)器上并請求文件時，服務(wù)器將處理該請求并將文件發(fā)送到該瀏覽器上，附帶的信息會告訴瀏覽器如何查看該文件（即文件類型）。服務(wù)器使用HTTP（超文本傳輸協(xié)議）進(jìn)行信息交流，這就是人們常把它們稱為HTTP的服務(wù)器的原因，WEB服務(wù)器應(yīng)用實例如圖1-1所示。 </p><p>　　圖1

17、1 WEB服務(wù)器的應(yīng)用</p><p>　　WEB服務(wù)器不僅能夠存儲信息，還能在用戶通過WEB瀏覽器提供的信息的基礎(chǔ)上運行腳本和程序。</p><p>　　§2.2 WEB服務(wù)器存在的安全問題</p><p>　　Internet的發(fā)展給企業(yè)和個人帶來了革命性的改革和開放。他們正努力通過利用Internet來提高辦事效率和市場反應(yīng)速度，以便更具競爭力。通過

18、Internet，企業(yè)可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內(nèi)部員工的安全訪問；以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。</p><p>　　隨著Internet的廣泛應(yīng)用，許多企業(yè)開發(fā)了自己的WEB網(wǎng)站。然而由于人為的無意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進(jìn)行搗亂的各種病毒等，使得開發(fā)的網(wǎng)站存

19、在多方面的安全問題。要保證企業(yè)的WEB網(wǎng)站的安全，僅選擇一個適合企業(yè)特點的防火墻、適合Win2003的殺毒軟件是不夠的。更主要的要在企業(yè)內(nèi)部WEB服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的免疫力。</p><p>　　第3章 WEB服務(wù)器安全設(shè)置</p><p>　　由于本篇文章以Windows為基礎(chǔ)進(jìn)行研究的，所以在此Linux系統(tǒng)不再敘述。Windows系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只

20、有充分利用其自身的功能實現(xiàn)對系統(tǒng)的安全控制才能保證網(wǎng)站及數(shù)據(jù)的安全。</p><p>　　§3.1 選用NTFS文件系統(tǒng)　　</p><p>　　NTFS文件系統(tǒng)比FAT系統(tǒng)多了安全控制功能，可以對不同的文件夾設(shè)置不同的訪問權(quán)限，因此擁有更強大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動時，

21、后果比較嚴(yán)重，因此平時應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。另外將系統(tǒng)盤與網(wǎng)站程序分開放置。</p><p>　　§3.2 選用單操作系統(tǒng)</p><p>　　作為WEB服務(wù)器的計算機不要安裝多種操作系統(tǒng)，否則黑客會利用其攻擊Windows 2003系統(tǒng)，使系統(tǒng)重啟到另一個缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開，并在安裝時

22、使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的IIS漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與WEB站點服務(wù)無關(guān)的軟件，安裝操作系統(tǒng)最新的補丁程序，否則黑客可能會利用低版本的補丁的漏洞對系統(tǒng)造成威脅，另外也給病毒帶來可乘之機。</p><p>　　§3.3 關(guān)閉Windows2003不必要的服務(wù)</p><p>　　Windows2003系統(tǒng)中

23、包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)器能暴漏賬號信息，乙服務(wù)在已知賬號名稱的情況下可以取得賬號的密碼。當(dāng)這兩種服務(wù)都開通時，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運行時，可能會產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為WEB網(wǎng)站的Win2003系統(tǒng)，必須停掉沒有用的服務(wù)。</p><p>　　§3.4 禁用不必要的協(xié)議</p><p&g

24、t;　　NetBIOS協(xié)議在WEB服務(wù)器上是黑客掃描工具的首選目標(biāo)，因此，必須解除NetBIOS與TCP/IP協(xié)議的綁定。方法“設(shè)置→控制面板→網(wǎng)絡(luò)連接→本地連接→屬性→TCP/IP→屬性→高級→WINS→禁用TCP/IP上的NetBIOS。另外，NetBIOS、IPX/SPX協(xié)議對WEB網(wǎng)站也沒有任何用處，只會被某些黑客工具利用，也必須禁用或刪除（操作如圖3-1）。</p><p>　　圖 31禁用不必要協(xié)議

25、</p><p>　　§3.5 設(shè)置磁盤訪問權(quán)限</p><p>　　系統(tǒng)磁盤只賦予administrators和system權(quán)限，系統(tǒng)所在目錄（默認(rèn)時為Windows）要加上users的默認(rèn)權(quán)限，以保障ASP和ASPX等應(yīng)用程序正常運行。其他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動時，需加system用戶權(quán)限，否則啟動不成功。</p><p>

26、;　　§3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口</p><p>　　在Internet上，各主機間通過TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇?？梢姡褦?shù)據(jù)包順利的傳送到目的主機是沒有問題的。問題出在哪里呢?我們知道大多數(shù)操作系統(tǒng)都支持多程序（進(jìn)程）同時運行，那么目的主機應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時運行的進(jìn)程中的哪一個呢？顯然這個問題有待解

27、決，端口機制便由此被引入進(jìn)來。</p><p>　　本地操作系統(tǒng)會給那些有需求的進(jìn)程分配協(xié)議端口（protocol port，即我們常說的端口），每個協(xié)議端口由一個正整數(shù)標(biāo)識，如：80，139，445，等等。當(dāng)目的主機接收到數(shù)據(jù)包后，將根據(jù)報文首部的目的端口號，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對應(yīng)的那個進(jìn)程將會領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。</p><p>　　如果攻擊者使用軟件掃描目

28、標(biāo)計算機，得到目標(biāo)計算機打開的端口，也就了解了目標(biāo)計算機提供了哪些服務(wù)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對目標(biāo)計算機的初步了解。如果計算機的端口打開太多，而管理者不知道，那么，有兩種情況：一種是提供了服務(wù)而管理者沒有注意，比如安裝IIS的時候，軟件就會自動增加很多服務(wù)，而管理者可能沒有注意到；一種是服務(wù)器被攻擊者安裝木馬，通過特殊的端口進(jìn)行通信。這兩種情況都是很危險的，說到底，就是管理員不了解服務(wù)器提

29、供的服務(wù)，減小了系統(tǒng)安全系數(shù)。</p><p><b>　　圖3-2常用端口</b></p><p>　　常用端口圖 32在缺省情況下，所有的端口將對外開放，而有些黑客工具可以掃描那些可以利用的端口，所以為了系統(tǒng)安全關(guān)閉不用的端口為最佳。常用端口(見圖3-2).關(guān)閉端口具體操作如下。 本地連接→屬性→Internet協(xié)議(TCP/IP) →屬性→高級→選項→

30、TCP/IP篩選→屬性→把勾打上，操作如圖3-3，添加需要的端口(如: 21、80)。　</p><p>　　圖33 關(guān)閉不必要端口</p><p>　　更改遠(yuǎn)程連接端口：開始→>運行→>輸入regedit查找3389：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\T

31、ds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp下的PortNumber=3389改為自寶義的端口號并重新啟動服務(wù)器（如圖3-4所示）。</p><p>　　圖3-4 更改遠(yuǎn)程端口</p><p>　　§3.7 限制匿名訪問本機用戶 <

32、/p><p>　　“開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“對匿名連接的額外限制”→在下拉菜單中選擇“不允許SAM賬戶的匿名枚舉”→“確定”（如圖3-5所示）。</p><p>　　圖3-5 限制匿名用戶</p><p>　　§3.8 限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問</p><p>　　“開始

33、”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“只有本地登錄用戶才能訪問軟盤”→在單選按鈕中選擇“已啟用(E)” → “確定” （操作如圖3-6所示）。 </p><p>　　圖3-6 限制遠(yuǎn)程用戶對光驅(qū)軟驅(qū)訪問</p><p>　　§3.9 限制NetMeeting及禁用NetMeeting</p><p>　　運行“gp

34、edit.msc” →“計算機配置”→“管理模板”→“Windows組件” →“NetMeeting” →“禁用遠(yuǎn)程桌面共享”→右鍵→在單選按鈕中選擇“啟用(E)”→“確定”（操作如圖3-7所示）。 </p><p><b>　　圖3-7 限制共享</b></p><p>　　§3.10 注冊表防止小規(guī)模DDOS攻擊</p><p>

35、　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 "DWORD值"名為 "SynAttackProtect" 數(shù)值為"1"（操作如圖3-8所示）。</p><p>　　圖3-8更改DWORD值</p><p>　　§3.11

36、防火墻及自動更新設(shè)置</p><p>　　一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向

37、中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。</p><p>　　通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。 </p><p>　

38、　如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進(jìn)行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 </p><p>　　

39、1．安裝企業(yè)級360軟件如圖3-9所示。經(jīng)常對服務(wù)器進(jìn)行定期的掃描殺毒等。</p><p>　　圖39 360安裝</p><p>　　2．開啟自動更新，網(wǎng)上鄰居-屬性-本地連接-屬性-高級-設(shè)置，如圖3-10所示。</p><p>　　3-10 開啟自動更新</p><p>　　3．防火墻的安全設(shè)置。</p><p&g

40、t;　　添加防火墻規(guī)則有兩種方法，一種是通過Windows安全警報對話框，Windows 防火墻中的通知機制允許本地管理員在得到相應(yīng)提示后自動將新程序添加到例外程序列表。另一種是我們在例外選項卡中手動添加，自動添加這里不再多說。手動添加也有兩種方式，一種是添加程序的文件名，一種是添加端口。添加端口的方式非常簡單，點擊添加端口，然后給這個要開放端口起個名字，比如這個端口是被QQ使用的，我們就可以起個名字叫QQ，然后填上對應(yīng)的端口號如800

41、0，接著選擇通訊協(xié)議，默認(rèn)只有TCP和UDP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了。如圖3-11所示。</p><p>　　圖3-11 添加端口</p><p>　　事實上這就是我們的防火墻規(guī)則，每創(chuàng)建一條允許或禁止的防火墻規(guī)則都會被放入列表中，每條規(guī)則前面的復(fù)選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。默認(rèn)情況下系統(tǒng)有四條配置好的訪問規(guī)則，如圖3-12所示，其中遠(yuǎn)

42、程協(xié)助是默認(rèn)允許的。點擊添加程序按鈕，然后選擇一個合適的程序。當(dāng)然，可能列表中沒有您想要的程序，這時您可以單擊瀏覽并定位到程序的具體位置把它添加進(jìn)來。以后，當(dāng)程序運行時，Windows 防火墻會監(jiān)視程序偵聽的端口，并把它們自動添加到例外通信的列表中。這個方式創(chuàng)建的規(guī)則將更具靈活性和簡易性。并且只有在應(yīng)用程序與外部通信時端口才是開放的，一旦連接斷開，端口也會隨之關(guān)閉。這比通過直接添加端口的方式安全性要高很多。</p><

43、;p>　　圖3-12 添加程序規(guī)則</p><p>　　經(jīng)過這些設(shè)置WEB服務(wù)器安全就有了基本的安全保障，另外需要更多的技術(shù)設(shè)備上的發(fā)展才能滿足更多企業(yè)及個人用的對安全的需求。</p><p>　　第4章 IIS策略應(yīng)用</p><p>　　§4.1不使用默認(rèn)的WEB站點將IIS與系統(tǒng)盤分開</p><p>　　將網(wǎng)站內(nèi)容移動

44、到非系統(tǒng)驅(qū)動器，不使用默認(rèn)的 \Inetpub\wwwroot 目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 WEB 服務(wù)器的目錄結(jié)構(gòu)）帶來的危險（一定要驗證所有的虛擬目錄是否均指向目標(biāo)驅(qū)動器）。</p><p>　　§4.2刪除不要的IIS擴展名映射</p><p>　　右鍵單擊“默認(rèn)WEB站點→屬性→主目錄→配置”，打開應(yīng)用程序窗口，去掉不必要的應(yīng)用程序映射，主要為shtml、

45、shtm、stm（如圖4-1所示）。</p><p>　　圖4-1 刪除IIS映射</p><p>　　§4.3更改IIS日志的路徑 </p><p>　　右鍵單擊“默認(rèn)WEB站點→屬性→網(wǎng)站→在啟用日志記錄下→點擊屬性更改設(shè)置（操作如圖4-2所示）。</p><p>　　圖4-2 更改IIS路徑</p><p&

46、gt;　　§4.4 只選擇網(wǎng)站和 WEB所必需的服務(wù)和子組件</p><p>　　開始→控制面板→ 添加或刪除程序→添加/刪除 Windows 組件→應(yīng)用程序服務(wù)器→詳細(xì)信息→ Internet 信息服務(wù) (IIS) →詳細(xì)信息→然后通過選擇或清除相應(yīng)組件或服務(wù)的復(fù)選框，來選擇或取消相應(yīng)的 IIS 組件和服務(wù)。 IIS 子組件和服務(wù)的推薦設(shè)置；禁用后臺智能傳輸服務(wù) (BITS) 服務(wù)器擴展、F

47、TP 服務(wù)、FrontPage 2002 Server Extensions、Internet 打印、NNTP 服務(wù)。啟用公用文件、Internet 信息服務(wù)管理器、萬維網(wǎng)服務(wù)（操作如圖4-3所示）。</p><p><b>　　圖4-3 選擇組件</b></p><p>　　§4.5 刪除未使用的帳戶及設(shè)置強密碼</p><p

48、>　　避免攻擊者通過使用以高級特權(quán)運行的帳戶來獲取未經(jīng)授權(quán)的資源訪問權(quán)。 限制對服務(wù)器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個強密碼以增強安全性，重命名 IUSR 帳戶。</p><p>　　在 IIS 元數(shù)據(jù)庫中更改 IUSR賬戶的值： “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →右鍵單擊“本地計算機”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫”復(fù)選框→“確定”→ 瀏

49、覽至 MetaBase.xml 文件的位置，默認(rèn)情況下為 C:\Windows\system32\inetsrv →右鍵單擊 MetaBase.xml 文件→“編輯” → 搜索“AnonymousUserName”屬性，→鍵入 IUSER賬戶的新名稱→在“文件”菜單上→單擊“退出”→單擊“是”（操作如圖4-4、4-5所示）。</p><p>　　圖44 更改IUSER帳戶值</p><p&g

50、t;　　圖4-5 更改IUSER帳戶值</p><p>　　§4.6使用應(yīng)用程序池</p><p>　　應(yīng)用程序池用來隔離應(yīng)用程序，提高 WEB 服務(wù)器的可靠性和安全性。創(chuàng)建應(yīng)用程序池： “管理工具”→“Internet 信息服務(wù) (IIS) 管理器” →本地計算機→右鍵單擊“應(yīng)用程序池”→“新建”→“應(yīng)用程序池”→在“應(yīng)用程序池 ID”框中，為應(yīng)用程序池鍵入一個新 ID→“應(yīng)用

51、程序池設(shè)置” →“Use default settings for the new application pool”（使用新應(yīng)用程序池的默認(rèn)設(shè)置）→“確定” （操作如圖4-6所示）。</p><p>　　圖4-6 應(yīng)用程序池的設(shè)置</p><p>　　§4.7將網(wǎng)站或應(yīng)用程序分配到應(yīng)用程序池</p><p>　　因為應(yīng)用程序池中的應(yīng)用程序與其他應(yīng)用程序被

52、工作進(jìn)程邊界分隔，所以某個應(yīng)用程序池中的應(yīng)用程序不會受到其他應(yīng)用程序池中應(yīng)用程序所產(chǎn)生的問題的影響。</p><p>　　步驟：“管理工具”→“Internet 信息服務(wù) (IIS) 管理器” → 右鍵單擊您想要分配到應(yīng)用程序池的網(wǎng)站或應(yīng)用程序→“屬性”→“主目錄”、“虛擬目錄”或“目錄”選項卡，如果將目錄或虛擬目錄分配到應(yīng)用程序池，則驗證“應(yīng)用程序名”是否包含正確的網(wǎng)站或應(yīng)用程序名稱，（如果在“應(yīng)用程序名”框中

53、沒有名稱，則單擊“創(chuàng)建”，然后鍵入網(wǎng)站或應(yīng)用程序的名稱）→“應(yīng)用程序池”列表框→單擊您想要分配網(wǎng)站或應(yīng)用程序的應(yīng)用程序池的名稱→“確定”。 </p><p>　　經(jīng)過以上設(shè)置， WEB服務(wù)器安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏洞來攻擊WEB服務(wù)系統(tǒng)，所以我們一定要養(yǎng)成及時修補系統(tǒng)漏洞的習(xí)慣，并不斷提高管理人員的網(wǎng)絡(luò)技術(shù)水平，確保WEB服務(wù)器有一個安全、穩(wěn)定、高效的運行環(huán)境。</p>

54、<p>　　第5章 WEB服務(wù)器安全評測</p><p>　　經(jīng)過以上設(shè)置服務(wù)器的所有分區(qū)均采用了NTFS格式進(jìn)行設(shè)置并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機會。開啟防火墻能確?；镜姆蓝荆惭b自動更新能及時的檢查系統(tǒng)及時更新微軟發(fā)布的安全補丁，及時給系統(tǒng)填補漏洞。僅安裝必要的IIS組件，開啟必要的端口及協(xié)議防止黑客利用掃描工具進(jìn)行掃描。設(shè)置用戶權(quán)限，可以防止非法用戶的進(jìn)入

55、。設(shè)置相應(yīng)的策略審核，可以及時的記錄系統(tǒng)的狀態(tài)，事件的發(fā)生。經(jīng)過這些設(shè)置，一個基本安全的服務(wù)器就正常運行了。</p><p>　　經(jīng)過自動更新的設(shè)置，一旦微軟有新的漏洞補丁發(fā)布如圖5-1所示，服務(wù)器立即就會自動更新，防止部分不法分子利用漏洞就行服務(wù)器掃描攻擊等。</p><p>　　圖5-1自動修補漏洞</p><p>　　利用X-Scan 進(jìn)行漏洞掃描，X-Sca

56、n是國內(nèi)最著名的綜合掃描器之一。它完全免費，是不需要安裝的綠色軟件、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的民間黑客組織“安全焦點”完成，最值得一提的是，X-Scan把掃描報告和安全焦點網(wǎng)站相連接，對掃描到的每個漏洞進(jìn)行“風(fēng)險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補漏洞，X-Scan運行于Windows 操作系統(tǒng)。采用多線程方式對指定IP地址段（或單機）進(jìn)行安全漏洞檢測，具有插件功能。&

57、lt;/p><p>　　安裝X-Scan后，對剛才設(shè)置過的服務(wù)器進(jìn)行評測安全系數(shù)。首先獲取服務(wù)器的IP地址，該服務(wù)器對應(yīng)的網(wǎng)站為www.zzidc.com，首先在ping一些下這個域名以獲得該網(wǎng)站服務(wù)器的IP地址222.85.64.169（如圖5-2所示）。.</p><p>　　圖5-2 獲取服務(wù)器的IP地址</p><p>　　參數(shù)設(shè)置，雙擊xscan_gui，會打

58、開X-Scan v3.2 GUI的界面，點擊設(shè)置->掃描參數(shù)，設(shè)置要掃描網(wǎng)絡(luò)的IP地址，也可以是地址段，把得到的信息工程學(xué)院的IP地址202.207.20.10填到指定IP地址范圍處。再對“全局設(shè)置”和“插件設(shè)置”進(jìn)行相關(guān)的設(shè)置，界面如圖5-3所示。點擊“確定”，返回到X-Scan v3.2 GUI的界面。</p><p>　　圖5-3 X-Scan界面</p><p>　　掃描，點

59、擊工具欄上的開始按鈕，就進(jìn)行掃描了，這時，在進(jìn)程里會出現(xiàn)10個checkhost.exe進(jìn)程，掃描是會出現(xiàn)如圖5-4畫面。</p><p><b>　　圖54 掃描界面</b></p><p>　　這是加載攻擊測試腳本的界面，只有把所有的腳本文件都加載進(jìn)去，才能進(jìn)行全面而準(zhǔn)確的掃描。</p><p>　　以下圖5-5所示是正式掃描的界面，對相

60、應(yīng)的端口和服務(wù)等進(jìn)行掃描。</p><p><b>　　圖55正式掃描</b></p><p>　　當(dāng)掃描完成后，會自動生成被檢測主機的詳細(xì)漏洞信息的報表，報表的上部給出了掃描時間，檢測結(jié)果，主機列表，分析主機：222.85.64.169，四項信息，如圖給出了安全設(shè)置前后掃描信息對比如圖5-6及5-7所示。</p><p>　　圖56 服務(wù)

61、器沒有安全設(shè)置前掃描信息</p><p>　　圖57安全設(shè)置后的掃描信息</p><p>　　結(jié)果分析從報表可以看到，報表給出了10個提示數(shù)量，3個警告數(shù)量，0個漏洞數(shù)量，下面就沒個提示做相應(yīng)的分析與解決方案。比服務(wù)器置前漏洞已經(jīng)沒有，雖然依然存在警告但相信只要我們及時觀察設(shè)置及時更新安全系數(shù)定會大大提升的。</p><p><b>　　結(jié)束語</

62、b></p><p>　　在本論文寫作過程中由于本人在知識、經(jīng)驗方面都存在著不足，另外論文寫作時間也比較緊張，因此論文必然會存在一些缺陷和不足。可能步驟不夠詳盡，考慮有不周之處，因為對WEB服務(wù)器還不是太熟悉，所以有未涉及未提到的地方望諒解！</p><p>　　本次論文的完成大概完成以下幾個問題：</p><p>　　1對WEB服務(wù)器進(jìn)行了基本的介紹，以及進(jìn)

63、行了基本安全分析。</p><p>　　2針對WEB服務(wù)器存在的安全威脅進(jìn)行了磁盤權(quán)限設(shè)置、賬戶設(shè)置、協(xié)議安全設(shè)置、端口設(shè)置、IIS設(shè)置等。</p><p>　　3 針對這些安全設(shè)置后WEB服務(wù)器是否安全進(jìn)行了測試，由于條件有局限只針對該服務(wù)器所對應(yīng)的網(wǎng)站在服務(wù)器進(jìn)行安全設(shè)置前后進(jìn)行了漏洞掃描與評測。經(jīng)過前后對比發(fā)現(xiàn)經(jīng)過安全設(shè)置后的網(wǎng)站確定安全了很多但還有一些不足的地方，由于條件、本人知識

64、等有限制，在此可能不能更完善的展示出來。不過我以后會更加努力，謝謝大家支持。</p><p>　　本論文雖然存在一些不足但確讓我學(xué)到了很多，讓我鞏固了服務(wù)器的一些基本設(shè)置及注意的安全技巧，及統(tǒng)籌設(shè)計思路。還讓我真切體會到同學(xué)間的互幫互助團結(jié)精神，及濃濃的師生情誼！不僅是一種知識的學(xué)習(xí)與表達(dá)更是一種精神的傳遞。</p><p><b>　　參考文獻(xiàn)</b></p&

65、gt;<p>　　劉曉輝,張奎亭. WindowsServer2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社, 2009</p><p>　　呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論(第二版)科學(xué)出版社，2010</p><p>　　李新,李成友.基于Windows系統(tǒng)的Web服務(wù)器安全研究與實踐[J].教育信息化，2010</p><p>　　馬琰.如何提高個

66、人Web服務(wù)器的安全性[J].職業(yè)圈，2011</p><p>　　遠(yuǎn)哲.細(xì)說高校WEB服務(wù)器安全[J].電腦知識與技術(shù)，2010</p><p>　　周軍.Web服務(wù)器性能改進(jìn)的相關(guān)技術(shù).中國科技博覽，2010 </p><p><b>　　致 謝</b></p><p>　　在論文即將完成之際，回顧緊張但又充實的論文

67、完成過程，本人在此向所有關(guān)心我的及幫助我的老師和同學(xué)們致以最真誠的感謝。</p><p>　　在本次畢業(yè)設(shè)計中，我從指導(dǎo)老師身上學(xué)到了很多東西。他認(rèn)真負(fù)責(zé)的工作態(tài)度，嚴(yán)謹(jǐn)?shù)闹螌W(xué)精神和深厚的理論水平都使我受益匪淺。這對于我以后的工作和學(xué)習(xí)都有一種巨大的幫助，在此感謝他耐心的輔導(dǎo)。在撰寫論文階段，老師幾次審閱我們的論文，提出了許多寶貴意見，沒有他的指導(dǎo)，我們就不能較好的完成課題設(shè)計的任務(wù)。</p>&l