Web服务的安全配置方案

Web服务的安全配置方案任务需求：由于公网IP数量紧张，多个站点在一台服务器已经很普遍，对于拥有虚拟站点的主机，我们要设置好用户的访问权，同时对于有子网站的用户，单列出一个主机头，使用自己的虚拟目录，这样在子网站存在漏洞被黑客入侵时也很难跨站入侵。使用IIS6.0来建立web站点：，在站点。建立主页：主页内容为“lab0371.com”；主页内容为“en.lab0371.com”；主页内容为“cn.lab0371.com”任务重点：实现web站点的安全配置任务实现（根据以下方案完成web站点的安全配置，并截图）1.完成上述站点的配置并测试合格后，做下面的站点安全配置（基于）2.保证IIS自身的安全性1）IIS的更新在保证系统具有较高安全性的情况下，还要保证IIS的安全性。要构建一个安全的IIS服务器，多个角度来充分考虑安全问题。修改IIS站点的主目录的路径IIS的默认安装的路径是\inetpub，Web服务的页面路径是\inetpub\，这是任何一个熟悉IIS的人都知道的，入侵者也不例外，使用默认的安装路径无疑是告诉了入侵者系统的重要资料，所以需要更改。将上述站点的主目录放到非系统分区（C盘由于安装了操作系统，故成为系统分区），例如D盘上。打开windowsupdate，及时为Windows和IIS的补丁只要提高安全意识，经常注意系统和IIS的设置情况，并打上最新的补丁，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。2）IIS的安全配置删除危险的IIS组件：提示：控制面板——添加删除程序——windows组件默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，以下是一些“黑名单”，大家可以根据自己的需要决定是否需要删除。SMTPService和NNTPService：如果不打算使用服务器转发邮件和提供新闻组服务，就可以不安装这两项，否则，可能因为它们的漏洞带来新的不安全。如果该网站是专门做web服务的，建议删除ftp组件。截图3）为IIS中的文件分类设置权限除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是：为Web站点上不同类型的文件都建立目录，然后给它们分配适当权限。在的主文件夹分别创建如下文件夹来准备存放网站的各类文件，并设置权限：●静态文件文件夹：包括所有静态文件，如HTM或HTML，给予允许读取、拒绝写的权限。●ASP脚本文件夹：包含站点的所有脚本文件，如cgi、vbs、asp等等，给予允许执行、拒绝写和读取的权限。●EXE等可执行程序：包含站点上的二进制执行文件，给予允许执行、拒绝写和拒绝读取的权限。4）删除不必要的应用程序映射IIS中默认存在很多种应用程序映射，如.htw、.ida、.idq、.asp、.cer、.cdx、.asa、.htr、.idc、.shtm、.shtml、.stm、.printer等，通过这些程序映射，IIS就能知道对于什么样的文件该调用什么样的动态链接库文件来进行解析处理。但是，在这些程序映射中，除了.asp的这个程序映射，其它的文件在网站上都很少用到。而且在这些程序映射中，.htr、.idq/ida、.printer等多个程序映射都已经被发现存在缓存溢出问题，入侵者可以利用这些程序映射中存在的缓存溢出获得系统的权限。即使已经安装了系统最新的补丁程序，仍然没法保证安全。所以我们需要将这些不需要的程序映射删除。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击“配置”按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射，只保留asa和asp的映射。截图5）保护日志安全日志是系统安全策略的一个重要坏节，IIS带有日志功能，能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。方法一:修改IIS日志的存放路径IIS的日志默认保存在一个众所周知的位置（%WinDir%\System32\LogFil-es），这对Web日志的安全很不利。所以我们最好修改一下其存放路径。提示：在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“网站”页面中，在选中“启用日志记录”的情况下，点击旁边的“属性”按钮，在“常规属性”页面，点击“浏览”按钮或者直接在输入框中输入日志存放路径：放到非系统盘的某个文件夹中。当然，如果条件许可，还可单独设置一个分区用于保存系统日志，分区格式是NTFS，这样除了便于管理外，也避免了日志与系统保存在同一分区给系统带来的安全威胁。如果IIS日志保存在系统分区中，入侵者使用软件让IIS产生大量的日志，可能会导致日志填满硬盘空间，整个Windows系统将因为缺乏足够可用的硬盘空间而崩溃，为日志设置单独的分区则可以避免这种情况的出现。截图方法二:修改日志访问权限日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。截图3.TCP/IP上对进站连接进行控制方法一利用TCP/IP筛选数据包TCP/IP筛选是一种控制internet用户访问服务器网站的方法。从安全角度看，该方法是运行在内核模式下的，相比其他控制网络用户访问服务器网站的方法而言，比如使用IPSec策略筛选器和路由和远程访问服务器控制的话，简单安全。鼠标右击桌面上“网络邻居”“属性”“本地连接”“属性”，打开“本地连接属性”对话框。选择“Internet协议(TCP/IP)”“属性”“高级”“选项”，在列表中单击选中“TCP/IP筛选”选项。单击“属性”按钮，选择“只允许”，再单击“添加”按钮，只允许TCP80端口即可。截图“TCP/IP筛选”只能筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问，请使用IPSec策略或数据包筛选。方法二利用IP安全策略（在此仅做阅读了解IPSEC，以后有专门的实验）IPSecPolicyFilters（IP安全策略过滤器）弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。它是一个基于通讯分析的策略，将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。我们同样可以设置只允许80端口的数据通过，其它端口来的数据一律拦截。4.防范拒绝服务攻击DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全阻止这类攻击，但是可以降低其风险。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。修改SY缓存大小是通过注册表的相关键值完成的：(1)WIN2003下拒绝访问攻击的防范:第一步:“开始-运行-输入regedit”进入注册表编辑器。第二步:将HKEY_LOCAL_MACHINESYSTE——MCurrentControlSet——Services下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。截图通过以上的一些安全设置，你的WEB服务器会安全许多。需要提醒注意的是：不要认为进行了安全配置的主机就一定是安全的，我们只能说一台主机在某些情况下一定的时间内是安全的，随着网络结构变化、新漏洞的发现、用户操作，主机的安全状况是随时随地变化的，只有让安全意识贯穿整个过程才能做到真正的安全。