2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩21頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、<p>  題 目: WEB服務(wù)器的安全配置 </p><p>  學(xué) 院: 信息學(xué)院 </p><p>  專 業(yè): 網(wǎng)絡(luò)工程 </p><p>  姓 名: </p><p>  學(xué)

2、 號: </p><p>  班 級: </p><p><b>  摘 要</b></p><p>  隨著計算機普及、互聯(lián)網(wǎng)的飛速發(fā)展,許多企業(yè)都開發(fā)了自己的WEB網(wǎng)站。WEB服務(wù)器是intranet(企業(yè)內(nèi)部網(wǎng))網(wǎng)站的核心,其中的數(shù)據(jù)資料非常重要,一旦遭到破壞

3、將會給企業(yè)造成不可彌補的損失,管理好、使用好、保護好WEB服務(wù)器中的資源,是一項至關(guān)重要的工作。安全部署WEB服務(wù)器是企業(yè)面臨的一項重要工作,其中系統(tǒng)安裝、安全策略和IIS安全策略對企業(yè)WEB服務(wù)器安全、穩(wěn)定、高效地運行至關(guān)重要。</p><p>  【關(guān)鍵字】WEB,服務(wù)器安全,協(xié)議安全,IIS設(shè)置</p><p><b>  Abstract</b></p&

4、gt;<p>  With the popularization of computers,the Internet rapid development,many companies have developed their own WEB site. The WEB server is Intranet (intranet) sites on the core, where in the data is very imp

5、ortant, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the WEB server resources, is an important task.Deployment of the security WEB server is an enterprise is facing an import

6、ant task, the system installation, security policy and security strategy of </p><p>  [keywords]WEB,server security, security protocol, IIS set</p><p><b>  目 錄</b></p><

7、p><b>  前 言1</b></p><p>  第一章 需求分析2</p><p>  1.1 WEB服務(wù)器的概念2</p><p>  1.2 WEB服務(wù)器存在的安全問題2</p><p>  第二章 安裝和配置IIS3</p><p>  2.1 僅安裝必要的組件

8、3</p><p>  2.2 修改上傳文件的大小3</p><p>  2.3 IIS安全設(shè)置4</p><p>  第三章 WEB服務(wù)器的安全設(shè)置10</p><p>  3.1 選用NTFS文件系統(tǒng)10</p><p>  3.2 選用單操作系統(tǒng)10</p><p>  3.3

9、關(guān)閉Windows 2003不必要的服務(wù)10</p><p>  3.4 禁用不必要的協(xié)議10</p><p>  3.5 設(shè)置磁盤訪問權(quán)限11</p><p>  3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口11</p><p>  3.7 限制匿名訪問本機用戶12</p><p>  3.8 限制遠(yuǎn)程用戶對

10、光驅(qū)或軟驅(qū)的訪問13</p><p>  3.9 限制NetMeeting 及禁用NetMeeting13</p><p>  第四章 WEB服務(wù)器安全評測15</p><p><b>  第五章 結(jié)論16</b></p><p><b>  參考文獻(xiàn)17</b></p>&

11、lt;p><b>  致 謝18</b></p><p><b>  前 言</b></p><p>  隨著計算機技術(shù)的突飛猛進(jìn),計算機網(wǎng)絡(luò)的日新月異,網(wǎng)絡(luò)已經(jīng)深入到我們生活的各個角落。小到個人的生活、工作,大至國家的發(fā)展以致整個文明的進(jìn)步。計算機網(wǎng)絡(luò)在扮演著越來越重要的角色,越來越多的企業(yè)及個人都開發(fā)了自己的WEB網(wǎng)站。然

12、而,在如今技術(shù)發(fā)達(dá)的時代,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,黑客越來越猖獗。WEB服務(wù)器被攻擊,網(wǎng)站首頁被篡改,各種各樣的不安全因素存在我們周圍,如何更好的保證WEB服務(wù)器安全更好的防止黑客的入侵、攻擊是每一個人都很關(guān)心的話題。</p><p>  WEB服務(wù)器存在的安全問題從來就不是獨立的,系統(tǒng)漏洞,系統(tǒng)權(quán)限,網(wǎng)絡(luò)環(huán)境(如ARP等),網(wǎng)絡(luò)端口管理以及來自WEB服務(wù)器應(yīng)用的安全,IIS本身的配置、權(quán)限等,這個直接影響訪問網(wǎng)站

13、的效果和結(jié)果。</p><p><b>  第一章 需求分析</b></p><p>  1.1 WEB服務(wù)器的概念</p><p>  WEB服務(wù)器是指駐留于因特網(wǎng)上某種類型計算機的程序。當(dāng)WEB瀏覽器(客戶端)連到服務(wù)器上并請求文件時,服務(wù)器將處理該請求并將文件發(fā)送到該瀏覽器上,附帶的信息會告訴瀏覽器如何查看該文件(即文件類型)。服務(wù)器使用

14、HTTP(超文本傳輸協(xié)議)進(jìn)行信息交流,這就是人們常把它們稱為HTTP的服務(wù)器的原因。</p><p>  1.2 WEB服務(wù)器存在的安全問題</p><p>  Internet的發(fā)展給企業(yè)和個人帶來了革命性的改革和開飯。他們正努力通過利用Internet來提高辦事效率和市場反應(yīng)速度,以便更具競爭力。通過Internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時又要面對Internet開放帶來的

15、數(shù)據(jù)安全帶額新挑戰(zhàn)和新危險:即客戶、銷售商、移動用戶、異地員工和內(nèi)部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和商業(yè)間諜的入侵。</p><p>  隨著Internet的廣泛應(yīng)用,許多企業(yè)開發(fā)了自己的WEB 網(wǎng)站。然而由于人為的無意失誤,黑客的惡意攻擊,以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進(jìn)行搗亂的各種病毒等,使得開發(fā)的網(wǎng)站存在多方面的安全問題。要保證企業(yè)的WEB網(wǎng)站的安全,僅選擇一個適合企業(yè)特點的防火墻

16、、適合系統(tǒng)的殺毒軟件是不夠的。更主要的是要在企業(yè)內(nèi)部WEB服務(wù)器的安裝、設(shè)置等多方面多做文章,以提高網(wǎng)站自身的免疫力。</p><p>  第二章 安裝和配置IIS</p><p>  2.1 僅安裝必要的組件</p><p>  選擇Internet(信息服務(wù)IIS)即可。原則是網(wǎng)站需要組件功能才安裝,比如ASP.NET或其它組件不需使用就不要安裝。</p&

17、gt;<p>  2.2 修改上傳文件的大小</p><p>  Windows server 2003服務(wù)器,當(dāng)上傳文件過大(超過200K)時,提示錯誤號 2147467259。原因是IIS6.0默認(rèn)配置把上傳文件限制在200k,超過即出錯。解決方法如下:</p><p>  首先,停止以下服務(wù):</p><p>  IIS admin servic

18、e </p><p>  World Wide Web Publishing Service</p><p>  HTTP SSL   </p><p><b>  然后找到:</b></p><p>  C:\Windows\system32\inesrv\metabase.xml \Windows\system32\

19、inesrv\</p><p>  編輯文件metabase.xml(不要用寫字板,要用記事本編輯,否則容易出錯。)</p><p>  找到:ASPMaxRequestEntityAllowed 默認(rèn)為 204800 (200k),改成需要的!保存。</p><p>  最后,啟動上面被停止的服務(wù),就完成了!</p><p>  注:可能會

20、碰到metabase.xml 文件不能被保存,原因是你的服務(wù)未停干凈,建議重啟以后再進(jìn)行上面的操作。</p><p>  2.3 IIS安全設(shè)置</p><p>  1.刪掉c:/inetpub目錄,刪除iis不必要的映射。 </p><p>  2.使用虛擬主機的每個web站點都應(yīng)該新建單獨的IIS來賓用戶。</p><p>  3.IIS

21、為每個虛擬主機設(shè)置來賓帳號,這樣即使一個網(wǎng)站由于后臺漏洞被入侵也不會波及整臺服務(wù)器,整個服務(wù)器管理權(quán)限不會淪陷。</p><p>  4.IIS管理后臺設(shè)置限定IP地址訪問,僅僅開放需要進(jìn)入后臺的IP。</p><p>  5.IIS管理器內(nèi)一些文件夾內(nèi)只有圖片并沒有程序(例如image、pic),可將其運行權(quán)限設(shè)置為無(默認(rèn)可運行腳本)。</p><p>  6.

22、將IIS日志默認(rèn)保存位置修改至其它分區(qū),防止黑客入侵后刪除安全事件及web日志。</p><p>  7.防止ASP木馬程序入侵的三種辦法:</p><p> ?。?)上傳目錄的權(quán)限選擇無執(zhí)行權(quán)限,即使上傳木馬也會因無執(zhí)行權(quán)限而入侵失敗。</p><p>  訪問時可執(zhí)行文件的ASP顯示:</p><p> ?。?)上傳的文件加上IP地址限制

23、,只允許信息員機器IP地址訪問。</p><p><b>  a.目錄限定:</b></p><p>  b.文件限定: </p><p> ?。?)在上傳文件中增加驗證程序,比如:</p><p>  <!--#in

24、clude FILE="../admin/check.asp"--></p><p>  這樣打開頁面即提示:</p><p>  加入防注入代碼,在上傳文件入口處或關(guān)鍵程序中增加一行代碼調(diào)用防注入程序,可以登陸后臺對防注入程序進(jìn)行管理,查看入侵掃描信息。代碼不要放在首頁,這樣影響網(wǎng)站打開速度,網(wǎng)站首頁的ASP代碼要盡可能少,最好已經(jīng)是HTML,調(diào)用數(shù)據(jù)庫內(nèi)容太多

25、會影響網(wǎng)站速度。</p><p><b>  圖一 登陸后臺頁面</b></p><p><b>  圖二 入侵信息記錄</b></p><p>  在防注入系統(tǒng)后臺系統(tǒng)設(shè)置中推薦采用“直接關(guān)閉網(wǎng)頁”。鎖定IP可以封掃描IP,但不推薦使用,以防誤操作一個局域網(wǎng)段的internet出口地址全部被封。這個自己在使用中可以慢慢體

26、會。</p><p>  使用從網(wǎng)上摘抄的源代碼后臺需要對其進(jìn)行改動,尤其是上傳文件名,比如upfile.asp改為jxic-upfile.asp。</p><p>  第三章 WEB服務(wù)器的安全設(shè)置</p><p>  3.1 選用NTFS文件系統(tǒng)</p><p>  NTFS文件系統(tǒng)比FAT系統(tǒng)多了安全控制功能,可以對不痛的文件夾設(shè)置不同

27、的訪問權(quán)限,因此擁有更強大的安全性。需要注意的是,目前大多數(shù)反病毒軟件沒有提供對軟盤啟動后NTFS分區(qū)病毒的查殺,這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動時,后果比較嚴(yán)重,因此平時應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。;另外將系統(tǒng)盤與網(wǎng)站程序分開放置。</p><p>  3.2 選用單操作系統(tǒng)</p><p>  作為WEB服務(wù)器的計算機不要安裝多種操作系統(tǒng),否則黑客會利用其攻擊Win

28、dows 2003系統(tǒng),使系統(tǒng)重啟到另一個缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞,將操作系統(tǒng)文件所在分區(qū)與WEB數(shù)據(jù)(包括其他應(yīng)用程序)所在的分區(qū)分開,并在安裝時使用其自定義的目錄,以免攻擊者利用應(yīng)用程序的漏洞(如微軟的IIS漏洞)導(dǎo)致系統(tǒng)文件的泄露,甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限,不安裝WEB站點服務(wù)無關(guān)的軟件,安裝操作系統(tǒng)最新的補丁程序,否則黑客可能會利用低版本的補丁的漏洞對系統(tǒng)造成威脅,另外也給病毒帶來可乘之機。</p>&

29、lt;p>  3.3 關(guān)閉Windows 2003不必要的服務(wù)</p><p>  Windows 2003 系統(tǒng)中包括許多服務(wù),而這些服務(wù)可能包含各種安全漏洞,如:甲服務(wù)能暴漏賬號信息,乙服務(wù)在已知賬號名稱的情況下可以取得賬號的密碼。當(dāng)這兩種服務(wù)都開通時,系統(tǒng)也就被攻破。其次,不同的軟件在同一系統(tǒng)下運行時,可能會產(chǎn)生一定的沖突,從而產(chǎn)生新的漏洞,而這些漏洞是未知的。因此,作為WEB網(wǎng)站的Win2003系統(tǒng)

30、,必須停掉沒有用的服務(wù)。</p><p>  3.4 禁用不必要的協(xié)議</p><p>  NetBIOS 協(xié)議在WEB服務(wù)器上是黑客掃描工具的首選目標(biāo),因此,必須解除NetBIOS 與TCP/IP 協(xié)議的綁定。方法“設(shè)置→控制面板→網(wǎng)絡(luò)連接→本地連接→屬性→TCP/IP→屬性→高級→WINS→禁用TCP/IP上的NetBIOS”。另外,NetBIOS、IPX/SPX協(xié)議對WEB網(wǎng)站也沒有

31、任何用處,只會被某些黑客工具利用,也必須禁用或刪除。操作如圖三所示。</p><p>  圖三 禁用NetBIOS 協(xié)議</p><p>  3.5 設(shè)置磁盤訪問權(quán)限</p><p>  系統(tǒng)磁盤只賦予administrators和system權(quán)限,系統(tǒng)所在目錄(默認(rèn)時為Windows)要加上users的默認(rèn)權(quán)限,以保障ASP和ASPX等應(yīng)用程序正常運行。其他磁盤

32、可以此為參照,當(dāng)某些第三方應(yīng)用程序以形式啟動時,需加system用戶權(quán)限,否則啟動不成功。</p><p>  3.6 關(guān)閉不必要的端口及更改遠(yuǎn)程連接端口</p><p>  在Internet上,各主機間通過TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包,各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇??梢?,把數(shù)據(jù)包順利的傳送到目的主機是沒有問題的。問題處在哪里呢?我們知道大多數(shù)操作系統(tǒng)

33、都支持多程序(進(jìn)程)同時運行,那么目的主機應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時運行的進(jìn)程中的哪一個呢?顯然這個問題有待解決,端口機制便由此被引入進(jìn)來。</p><p>  本地操作系統(tǒng)會給那些有需求的進(jìn)程分配協(xié)議端口(protocol port,即我們常說的端口),每個協(xié)議端口由一個正整數(shù)標(biāo)識,如:80,139,445,等等。當(dāng)目的主機接收到數(shù)據(jù)包后,將根據(jù)報文首部的目的端口號,把數(shù)據(jù)發(fā)送到相應(yīng)端口,而與此端口相對

34、應(yīng)的那個進(jìn)程將會領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。</p><p>  如果攻擊者使用軟件掃描目標(biāo)計算機,得到目標(biāo)計算機打開的端口,也就了解了目標(biāo)計算機提供了哪些服務(wù)。我們都知道,提供服務(wù)就一定有服務(wù)軟件的漏洞,根據(jù)這些,攻擊者可以達(dá)到對目標(biāo)計算機的初步了解。如果計算機的端口打開太多,而管理者不知道,那么,有兩種情況:一種是提供了服務(wù)二管理者沒有注意,比如安裝IIS的時候,軟件就會自動增加很多服務(wù),而管理者可能沒有

35、注意到;一種是服務(wù)器被攻擊者安裝木馬嗎,通過特殊的端口進(jìn)行通信。這兩種情況都是很危險的,說到底,就是管理員不了解服務(wù)器提供的服務(wù),減少了系統(tǒng)安全系數(shù)。</p><p>  3.7 限制匿名訪問本機用戶</p><p>  “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“對匿名連接的額外限制”→在下拉菜單中選擇“不允許SAM賬戶的匿名枚舉”→“確定”。操

36、作如圖四所示。</p><p>  圖四 限制匿名用戶</p><p>  3.8 限制遠(yuǎn)程用戶對光驅(qū)或軟驅(qū)的訪問</p><p>  “開始”→“程序”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”→雙擊“只有本地登錄用戶才能訪問軟盤”→在單選按鈕中選擇“已啟用(E)”→“確定”。操作如圖五所示。</p><p>  圖五

37、限制遠(yuǎn)程用戶對光驅(qū)軟驅(qū)訪問</p><p>  3.9 限制NetMeeting 及禁用NetMeeting</p><p>  運行“gpedit.msc”→“計算機配置”→“管理模板”→“Windows組件”→“NetMeeting”→“禁用遠(yuǎn)程桌面共享”→右鍵→在單選按鈕中選擇“啟用(E)”→“確定”。操作如圖六所示。</p><p><b>  圖

38、六 限制共享</b></p><p>  第四章 WEB服務(wù)器安全評測</p><p>  經(jīng)過以上設(shè)置服務(wù)器的所有分區(qū)均采用了NTFS格式進(jìn)行設(shè)置并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈,避免感染病毒的機會。開啟防火墻能確?;镜姆蓝荆惭b自動更新能及時的檢查系統(tǒng)及時更新微軟發(fā)布的安全補丁,及時給系統(tǒng)填補漏洞。僅安裝必要的IIS組件,開啟必要的端口及協(xié)議防止黑客利

39、用掃描工具進(jìn)行掃描。設(shè)置用戶權(quán)限,可以防止非法用戶的進(jìn)入。設(shè)置相應(yīng)的策略審核,可以及時的記錄系統(tǒng)的狀態(tài),事件額發(fā)生。經(jīng)過這些設(shè)置,一個基本安全的服務(wù)器就正常運行了。</p><p>  經(jīng)過自動更新的設(shè)置,一旦微軟有新的漏洞補丁發(fā)布,服務(wù)器立即就會自動更新,防止部分不法分子利用漏洞進(jìn)行服務(wù)器掃描攻擊等。</p><p><b>  第五章 結(jié)論</b></p&g

40、t;<p>  由于本人在知識、經(jīng)驗方面都存在不足,課程設(shè)計必然會存在一些缺陷和不足,可能步驟不夠詳盡,考慮有不周之處,因此,有未涉及和為提到的地方望諒解。</p><p>  本次課程設(shè)計完成了一下幾個問題:</p><p>  對WEB服務(wù)器進(jìn)行了基本的介紹,以及進(jìn)行了基本安全分析。</p><p>  針對WEB服務(wù)器進(jìn)行了存在的安全威脅進(jìn)行了磁

41、盤權(quán)限設(shè)置、賬戶設(shè)置、協(xié)議安全設(shè)置、端口設(shè)置、IIS設(shè)置等。</p><p>  本課程設(shè)計雖然存在一些不足但卻讓我學(xué)到了許多,讓我鞏固了服務(wù)器的一些基本設(shè)置及注意的安全技巧,及統(tǒng)籌設(shè)計思維。還讓我真切的體會到同學(xué)間的互幫互助團結(jié)精神,及濃濃的師生情誼!</p><p><b>  參考文獻(xiàn)</b></p><p>  [1] 劉曉輝,張奎婷.

42、WindowsServer2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社,2009</p><p>  [2] 呂林濤.網(wǎng)絡(luò)信息安全技術(shù)概論(第二版).科學(xué)出版社,2010</p><p>  [3] 李新,李成友.基于Windows系統(tǒng)的Web服務(wù)器安全研究與實踐[J].教育信息化,2010</p><p>  [4] 馬琰.如何提高個人Web服務(wù)器的安全性[J

43、].職業(yè)圈,2011</p><p>  [5] 遠(yuǎn)哲.細(xì)說高校WEB服務(wù)器安全[J].電腦知識與技術(shù),2010</p><p>  [6] 周軍.Web服務(wù)器性能改進(jìn)的相關(guān)技術(shù).中國科技博覽,2010</p><p><b>  致 謝</b></p><p>  在課程設(shè)計即將完成之際,回顧緊張但又充實的課程完

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論