网站服务器安全配置

c1第五章电子商务网站管理电子商务网站管理电子商务网站建设与实践2学习要点掌握常见防火墙的使用方法学会使用服务器版杀毒软件保证服务器安全的一些常规设置电子商务网站管理电子商务网站建设与实践3问题的提出1综合实例—设置相对安全的Windows2003Server系统主要内容综合实例—设置相对安全的Windows2003Server系统人员管理2网站功能管理3网络操作系统管理4数据管理5电子商务网站设备管理6电子商务网站环境管理7网络安全8电子商务网站管理电子商务网站建设与实践46.1问题的提出（Ⅰ）网络构架WindowsServer2003自带的防火墙叫做Internet连接防火墙(ICF)，是一种防火墙软件，可以拦截来自网络中的非法通信。WindowsServer2003StandardEditionWindowsServer2003EnterpriseEdition(32位)Internet连接防火墙Internet连接共享网桥包含在不包含在WindowsServer2003WebEditionWindowsServer2003DatacenterEdition(32位)WindowsServer2003(64位)电子商务网站管理电子商务网站建设与实践56.1防火墙软件的使用案例（Ⅱ）网络构架..........启用Internet连接防火墙.....•在“控制面板”中选择“网络连接”，双击“本地连接”，点击“属性”按钮系统将弹出“本地连接属性”窗口•在“本地连接属性”窗口中选择“高级”选项卡，然后在该选项卡中选择“设置”按钮系统弹出“Windows防火墙”窗口•系统默认防火墙是关闭的，在“Windows防火墙”窗口中选择“启用”便可以启动Internet连接防火墙。启动Internet连接防火墙之后在“网络连接”窗口中的本地连接图标将变为，网络中的其他用户将不能够访问系统所提供的服务。电子商务网站管理电子商务网站建设与实践66.1防火墙软件的使用案例（Ⅲ）管理构架体系.....添加允许通过防火墙的端口..........•为了使网络中的安全服务能够通过某些端口访问本系统，可以在“Windows防火墙”窗口中选择“例外”选项卡，在“例外”选项卡中可以添加允许通过防火墙访问系统的程序和端口•例如诺顿杀毒软件在漫游客户端时使用的是SAVRoam服务通过1056端口连接到服务器的，可以在“例外”选项卡中点击“添加端口(O)”按钮，然后在弹出的“添加端口”窗口中添加1056端口，从而使诺顿服务可以通过防火墙。电子商务网站管理电子商务网站建设与实践76.1防火墙软件的使用案例（Ⅳ）管理构架体系.....添加允许通过防火墙的服务..........•Internet连接防火墙在没有添加服务之前，服务器所提供的任何服务都不允许网络中的计算机访问。如Web服务，为了使其他计算机能够访问服务器的Web服务就必须在Internet连接防火墙中进行添加•在“Windows防火墙”窗口中选择“高级”选项卡，在该选项卡中选择对外服务的网络连接•在“高级”选项卡中点击右侧第一个“设置”按钮，系统弹出“高级设置”对话框，在该对话框中选择“Web服务器(HTTP)”，然后点击“确定”按钮，这样在网络中的其他计算机就可以访问服务器所提供的Web服务了。电子商务网站管理电子商务网站建设与实践86.1防火墙软件的使用案例（Ⅴ）管理构架体系.....添加允许通过防火墙的响应请求..........•添加了Web服务以后，网络中的其他计算机能够访问服务器的Web服务，但是其他计算机在DOS窗口中使用Ping命令时，会返回“Requesttimedout.”，这时候服务器是禁Ping的。•要是服务器能够响应Ping命令，需要在“高级设置”对话框中选择“ICMP”选项卡，ICMP是Internet控制消息协议，在“ICMP”选项卡中选择“允许传入相应请求”，最后点击“确定”按钮就可以了。电子商务网站管理电子商务网站建设与实践96.1防火墙软件的使用案例（Ⅵ）管理构架体系天网防火墙是国内外针对个人用户最好的中文软件防火墙之一，在个人计算机上安装一套天网防火墙个人版，能帮助拦截一些来历不明、有害敌意访问或攻击行为。天网个人版防火墙应用程序界面电子商务网站管理电子商务网站建设与实践106.1防火墙软件的使用案例（Ⅶ）管理构架体系安全级别中•所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作•计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务（文件、打印机共享服务）但禁止互联网上的机器访问这些服务。•适用于在局域网中提供服务的用户•所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作•禁止访问系统级别的服务（如HTTP等）,局域网内部的机器只允许访问文件、打印机共享服务。•使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏等软件提供的服务。•适用于普通个人上网用户。高•所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。•禁止局域网内部和互联网的机器访问自己提供的网络共享服务（文件、打印机共享服务），局域网和互联网上的机器将无法看到本机器。•除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。低级别描述扩•基于“中”安全级别再配合一系列专门针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。•适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。（试用版用户不享受这项服务）。自定义•如果您了解各种网络协议，可以自己设置规则•设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。电子商务网站管理电子商务网站建设与实践116.2综合实例—设置相对安全的WindowsServer2003系统(Ⅰ)当今时代是Internet的时代，在Internet上发布自己的站点对外提供服务已经不是一件难事，但保证服务器安全却是网络管理员最重要的职责之一。通过对本节的学习可以设置相对安全的操作系统，用于防御一般性的黑客攻击。硬件环境1．CPU：奔腾2.0GHz2．内存：DDR256M3．光驱：52XCDROM4．硬盘：80G5．网卡：100M软件环境1．系统软件：WindowsServer2003(中文版)2．应用软件：Serv-U--用于设置FTPSQLServer--建立数据库NortonAntiVirus---杀毒软件3．工具软件：Winrar--压缩/解压缩Ghost--操作系统备份提供服务1．DNS服务：域名解析2．FTP服务：文件传输3．服务：网站浏览电子商务网站管理电子商务网站建设与实践126.2综合实例—设置相对安全的WindowsServer2003系统(Ⅱ)实施步骤安装操作系统1根据系统所提供的服务需要对硬盘分为三个盘符，C、D、和EC盘：15G，用于存放系统文件。D盘：50G，用于存放WEB站点文件、FTP站点文件及数据库文件。E盘：剩余硬盘空间，用于存放服务器的镜像文件、各种软件的安装文件、备份文件及各种日志文件。硬盘分区电子商务网站管理电子商务网站建设与实践136.2综合实例—设置相对安全的WindowsServer2003系统(Ⅲ)实施步骤安装杀毒软件2杀毒软件是所有计算机必须装的，包括服务器在内杀毒软件不但可以为服务器提供最基本的防护，而且还可以防止黑客上传木马程序杀毒软件对计算机是实时检测的，当木马程序准备运行时，杀毒软件会将其杀掉安装应用软件3安装其他应用软件时可以使用默认安装模式安装SQLServer时要注意以下两点：1.不要使用sa作为数据库的默认用户名，需要进行修改；2..安装完毕后，在建立数据库时要将数据库的存放路径路径进行修改安装补丁或升级4没有安装杀毒软件之前尽量不要上网在线更新补丁，有条件的话可以使用其他计算机下载补订数据包，然后再进行更新补丁包安装完毕后再上网更新杀毒软件的病毒库，病毒库一定要更新到最新为止最后到微软网站察看是否有最近的更新，直到IE浏览器显示“安装更新程序（0）”电子商务网站管理电子商务网站建设与实践146.2综合实例—设置相对安全的WindowsServer2003系统(Ⅳ)实施步骤禁用Guest账号5Guest帐户即来宾帐户，它可以访问计算机，但受到限制。而且Guest用户也会被黑客利用，有很多Guest用户得到管理员权限的方法，所以禁用或删除Guest帐户是最好的办法更改超级用户名并设置密码6没有任何权限的帐户真正的超级用户在图中，Administrator为陷阱用户，而真正的超级用户名为sgnrnWindowsServer2003的超级用户是Administrator，只要知道了超级用户的密码便可以畅通无阻了，因此可以再建立一个名为Administrator的陷阱用户，并且使用复杂的字符串为密码，然后让该用户不具有任何权限，这样就算黑客费尽周折破解了这个用户的密码，也不会利用该用户对服务器进行攻击电子商务网站管理电子商务网站建设与实践156.2综合实例—设置相对安全的WindowsServer2003系统(Ⅴ)实施步骤设置用户访问权限7设置用户的访问权限只有一个原则，就是只开放用户所需要的权限，其它权限一律关闭设置用户权限时首先将所有磁盘设置为只允许超级用户访问，并开放所有权限，其它用户均删除用户访问权限的设置可以有效的抑制黑客入侵，如果服务器还需要设置其他特殊用户或权限，可以另行设置由于D盘需要存放WEB站点文件、FTP站点文件及数据库文件，应该允许其他用户浏览，但并不要求其具有写或更改的权限，所以可以设置Everyone用户对D盘具有“读取和运行”、“列出文件夹目录”和“读取”权限电子商务网站管理电子商务网站建设与实践166.2综合实例—设置相对安全的WindowsServer2003系统(Ⅵ)实施步骤禁用不使用的服务8在特定的情况,一些服务有可能会变成黑客可利用的工具。“服务”控制台可以让用户关闭不需要的服务可以在“控制面板”中打开“管理工具”窗口，在“管理工具”窗口中运行“服务”快捷方式就可以打开“服务”界面，该界面显示了服务器所运行的所有服务建议禁用的服务ComputerBrowser维护网络计算机更新，禁用DistributedFileSystem局域网管理共享文件，不需要可禁用Distributedlinktrackingclient用于局域网更新连接信息，不需要可禁用Errorreportingservice发送错误报告，不需要可禁用MicrosoftSerch提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovidetelnet服务所使用的，不需要可禁用PrintSpooler打印服务，如果没有打印机可禁用RemoteRegistry远程修改注册表，不需要可禁用RemoteDesktopHelpSessionManager远程协助，不需要可禁用电子商务网站管理电子商务网站建设与实践176.2综合实例—设置相对安全的WindowsServer2003系统(Ⅶ)实施步骤设置IIS服务设置FTP服务修改日志文件目录系统备份其他备份910111213不使用默认的Web站点建立Web服务，可以在IIS里面从新建立一个Web站点，并将默认的Web站点删除。删除IIS默认创建的Inetpub目录，因为该目录具有安全隐患。尽量修改所有日志文件的默认目录，以防止黑客恶意删除日志文件另外有些日志文件可以在被攻击以后用来分析攻击源，或攻击手段FTP服务可以使用IIS中所提供的FTP功能，也可以使用Serv-U，但是要使用最新版本，因为低版本的Serv-U软件有漏洞，最新版本会好一些将C盘制作一个GHOST备份，并将镜像文件存放在E盘中，以备将来系统崩溃时恢复系统，但是要注意在恢复系统之