浅谈Web服务器安全防护体系的构建

计算机光盘软件与应用　２０１０年第１３期　Ｃｏｍｐｕｔｅｒ　ＣＤ　Ｓｏｆｔｗａｒｅ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　工程技术　浅谈Ｗｅｂ服务器安全防护体系的构建　田子兰　（中国海洋大学，山东青岛　２６６１００）　摘要：本文针对Ｗｅｂ服务器面临的主要威胁，分　ｌ对服务器系统及Ｗｅｂ软件防护体系的构建问题进行探讨，以期　通过本文的阐述不断提高管理人员的网络技术水平，确保企业ＷＥＢ服务器有一个安全、稳定、高效的运行环境。　关键词：Ｗｅｂ服务器：安全防护：安全设置　中圉分类号：ＴＰ３９３．０８　文献标识码：Ａ　文章编号：１００７—９５９９（２０１０）１３一Ｏ０８１—０ｌ　Ｗｅｂ　Ｓｅｒｖｅｒ　Ｓｅｃｕｒｉｔｙ　Ｐｒｏｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ＴＪａｎ　Ｚｉｌａｎ　（Ｏｃｅａｎ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｃｈｉｎａ，Ｑｉｎｇｄａｏ　２６６１　Ｏ０，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｉｎ　ｔｈｉｓ　ｐａｐｅｒ，ｔＯ　Ｗｅｂ　ｓｅｒｖｅｒ　ｆａｃｅ　ｍａｉｎ　ｔｈｒｅａｔｓ，ｎａｍｅｌｙ，ｔｈｅ　ｓｅｒｖｅｒ　ｓｙｓｔｅｍｓ　ａｎｄ　Ｗｅｂ　ｓｏｆｔｗａｒｅ　ｐｒｏｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ　ｐｒｏｂｌｅｍｓ　ａｒｅ　ｄｉｓｃｕｓｓｅｄ，ｔｈｅ　ａｄｏｐｔｉｏｎ　ｏｆ　ｔｈｉｓ　ａｒｔｉｃｌｅ　ｄｅｓｃｒｉｂｅｓ　ｉｍｐｒｏｖｅ　ｍａｎａｇｅｍｅｎｔ　ｏｆ　ｎｅｔｗｏｒｋ　ｔｅｃｈｎｏｌｏｇｙ　ｔＯ　ｅｎｓｕｒｅ　ｔｈａｔ　ｅｎｔｅｒｐｒｉｓｅｓ　ＷＥＢ　ｓｅｒｖｅｒ　ｈａｓ　ａ　ｓａｆｅ，ｓｔａｂｌｅ，ｅｆｉｃｉｆｅｎｔ　ｏｐｅｒａｔｉｎｇ　ｅｎｖｉｒｏｎｍｅｎｔ．　Ｋｅｙｗｏｒｄｓ：Ｗｅｂ　ｓｅｒｖｅｒ；Ｓｅｃｕｒｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ；Ｓｅｃｕｒｉｔｙ　ｓｅｔｔｉｎｇｓ　密码策略。密码策略是所有安全配置的第一步，很多数据库　（三）ＳＯＬ注入　账号的密码过于简单，对于ｓａ更应该汴意，Ｊ司时不要让Ｓａ账号的　结构化查询语言（ＳＯＬ）注入是专门针对数据库的攻击。在这　密码写于应用程序或者脚本中。　安全的账号策略。ｓａ是既不能更改也不能删除的超级用户，　种攻击中，攻击者利用数据库或Ｗｅｂ页面的设计缺陷，从数据库提　取信息，甚至操纵数据库的信息，虽然不能详细解释这种攻击是　所以，我们必须对这个账号进行最强的保护。比如使用一个复杂　如何实施的，但如果了解ＳＯＬ的话，就可以找到相关的答案。如果　的密码，或者最好不要在数据库应用中使用ｓａ账号，只有当没有　在Ｗｅｂ／］￣务器上驻留数据库的话，一定要了解这种攻击。　其它方法　录￣ＩＪＳＱＬ　Ｓｅｒｖｅｒ实例（例如，当其它系统管　员不可　（四）不良代码　用或：玺记了密码）时才使用ｓａ。建议数据库管理员　建　：一个拥　任何开发人员或信息技术人员都知道，不良的编程习惯会带　有与ｓａ一样权限的超级用户来管理数据库。　来很多问题。不良代码源于众多闪素，包括培训质量差、新手或　赋予普通用户ｕｐｄａｔｅ、Ｄｅ１ｅｔｅ、ａｌｅｒｔ、ｃｒｅａｔｅ、ｄｒｏｐ等权限　应用程序的质量没有保证。从好的方面讲，不良代码会给人添麻　的时候，要限定到特定的数据库，尤其要避免普通客户拥有对　烦，并且某些特性不能按预期工作；从坏的方面讲，包含不良代　ｍｙｓｑ１数据库操作的权限。　码的应用程序就成了最大的安全隐患。　检查ｍｙｓｑ１．ｕｓｅｒ表，取消不必要用户的ｓｈｕｔｄｏｗｎＡｏｒｉｖ，　ｒｅｌｏａｄ二、服务器的安全防护　ｐｒｉｖ，ｐｒｏｃｅｓ　ｐｒｉｖｆＩｌＦｉｌｅ￣ｒｉｖ权限，这些权限可能泄漏　（一）密码安全　更多的服务器信息包括￣ｍｙｓｑｌ的其它信息。可以为ｍｙｓｑｌ设置一　服务器操作系统安装初期有一部分账号默认状态为开启，这　个启动用户，该用户只对ｍｙｓｑｌ目录有权限。设置安装目录的ｄａｔａ　些账号很多都是没用的，ＬＬ￣［１ｇｕｅｓｔ账号。不要使用ｗｉｎｄｏｗｓ默认　数据库的权限（此目录存放了ｍｙｓｑｌ数据库的数据信息）。对于　管理员账户ａｄｍｉｎｉｓｔｒａｔｏｒ做为管理账户，同时在建立两个管理员　ｍｙｓｑｌ安装目录给ｕｓｅｒｓ｝Ｊｌｌ上读取、列目录和执行权限。　账户，以便不时之需，但是这些账户的权限要严格控制，非必要　四、结束语　随着网络技术的普及、应用及Ｗｅｂ技术的不断完善，ｗｅｂ服务　时不要将整个服务器予以授权。鉴于暴力破解密码的手段和速度，　密码复杂度一定要高，最好是字符、数字、字母、特殊符号等组　已经成为互联网上重要的服务形式之一。保护ｗｅｂ服务器和驻留在　合的十位以上的字符串。并定期更改密码防止破解。　其上的应用程序是一项艰巨的任务，但这项任务并非不可完成。　（二）系统安全　通过一些研究和适当的努力，就能够获得更加安全的宿主环境，　我们现阶段常使用的服务器操作系统为Ｗｉｎｄｏｗｓ２００３　并避免以后可能发生的问题。　Ｅｎｔｅｒｐｒｉｓｅ　Ｅｄｉｔｉｏｎ版。操作系统安装后，要安装正版的服务器　参考文献：　专用杀毒软件，做到必要的安全防护。另外，微软公司根据安全　ｆ１】马琰．如何提高个人ｗｅｂ服务器的安全性ｆＩ１．职业圈，２００７，９　需求更新的系统补丁，必须及时为服务器安装上。将可能由这些　［２１王远哲．细说高校ｗＥＢ服务器安全『Ｊ１＿电脑知识与技术，２００８，９　漏洞引起的安全问题，及时扼杀在萌芽状态。　ｆ３１田巍四川航空股份有限公司网络安全方案可行性分析和规划　（三）服务分属、数据管理、保留地址　『Ｍ１．北京：电子科技大学，２００５　企业内的服务通常有ＤＮＳｎ￣务、邮件服务、ＯＡ服务、ＦＴＰ服务　ｗｅｂ服务器面临的主要威胁　ｗｅｂ服务器面临着许多威胁，大部分威胁与系统中配置的应用　程序、操作系统和环境有关。　（一）拒绝服务　拒绝服务是一种“老牌”服务器攻击。这种攻击很简单，通　常由技术水平较低的被称为脚本小子的年轻人发动此类攻击。总　体而吉，ＤｏＳ攻击通过一个系统攻击另一个系统，其目的是消耗后　者的所有资源，例如带宽和处理器时问，从而无法进行合法请求，　通常认为这是一种无聊的攻击。但一定不要因此放松警惕，为它　会使受害主机或网络无法及时接收并处理外界请求，或无法及时　同应外界请求。　（二）Ｗｅｂ页面更改攻击　在Ｉｎｔｒａｎｅｔ上经常可以看￣ＵＷｅｂ贞面被更改。顾名思义，Ｗｅｂ　页面更改源于攻击者利用Ｗｅｂ　Ｊｌ￣务器的不良配置修改Ｗｅｂ页面，其　原因有很多，比如为了捉弄别人或推行某种政治主张。　一、等等。尽量做到重要的服务，最好按照不同服务，分属开米，实　行　一化。避免一台服务器提供多项服务造成相互影响，增加服　务器的自身运行压力。　三、ＷＥＢ的安全防护　（一）ＩＩＳ的相关设置　不使用默认的ｗｅｂ站点，如果使用也要将ＩＩｓ目录与系统磁盘　分开。　在ｎｓ中展开网站，找到正在使用的网站，在其属性中配置所　有站点的公共设置，设置好相关的连接数限制，带宽以及性能等。　配置应用程序映射，删除所有不必要的应用程序扩展，只保留ａｓｐ，　ｐｈｐ，ｃｇｉ，ｐｌ应用程序扩展。设置Ｉ１ｓ的曰志保存目录，调整日志　记录信息。设置为发送文本错误信息。　更改ＩＩｓ日志的路径，避免使用默认的保存、缺省路径。　（二）ＭｙＳＱＬ安全设置