1、浅谈浅谈 webweb 服务器的安全防护体系构建服务器的安全防护体系构建 【摘 要】由于 Intranet 网站的数据资料都存储于 WEB 服务器中,一旦遭到破坏将会影响正常的网站运营,给企业造成不可弥补的损失,因此,构建 Web 服务器安全防护体系至关重要。本文针对 Web 服务器面临的主要威胁,分别对服务器系统及 Web 软件防护体系的构建问题进行探讨,以期通过本文的阐述不断提高管理人员的网络技术水平,确保企业 WEB 服务器有一个安全、稳定、高效的运行环境。【关键词】web 服务器 安全防护 安全设置 Abstract:Aiming at the main threat which th
2、e Web server is faced with respectively,the paper discusses the construction of the server system and Web software protection system.1.Web 服务器面临的主要威胁 Web 服务器面临着许多威胁,大部分威胁与系统中配置的应用程序、操作系统和环境有关。1.1 拒绝服务 拒绝服务是一种“老牌”服务器攻击。这种攻击很简单,通常由技术水平较低的被称为脚本小子的年轻人发动此类攻击。总体而言,DoS 攻击通过一个系统攻击另一个系统,其目的是消耗后者的所有资源,例如带宽和处理
3、器时间,从而无法进行合法请求,通常认为这是一种无聊的攻击。但一定不要因此放松警惕,为它会使受害主机或网络无法及时接收并处理外界请求,或无法及时同应外界请求。1.2Web 页面更改攻击 在 Intranet 上经常可以看到 Web 贞面被更改。顾名思义,Web 页面更改源于攻击者利用 Web 服务器的不良配置修改 Web 页面,其原因有很多,比如为了捉弄别人或推行某种政治主张。1.3SQL 注入 结构化查询语言(SQL)注入是专门针对数据库的攻击。在这种攻击中,攻击者利用数据库或 Web 页面的设计缺陷,从数据库提取信息,甚至操纵数据库的信息,虽然不能详细解释这种攻击是如何实施的,但如果了解 S
4、QL 的话,就可以找到相关的答案。如果在 Web 服务器上驻留数据库的话,一定要了解这种攻击。1.4 不良代码 任何开发人员或信息技术人员都知道,不良的编程习惯会带来很多问题。不良代码源于众多闪素,包括培训质量差、新手或应用程序的质量没有保证。从好的方面讲,不良代码会给人添麻烦,并且某些特性不能按预期工作;从坏的方面讲,包含不良代码的应用程序就成了最大的安全隐患。2.服务器的安全防护 2.1 密码安全 服务器操作系统安装初期有一部分账号默认状态为开启,这些账号很多都是没用的,比如 guest 账号。不要使用 windows 默认管理员帐户 administrator 做为管理账户,同时在建立两
5、个管理员帐户,以便不时之需,但是这些帐户的权限要严格控制,非必要时不要将键个服务器予以授权。鉴于暴力破解密码的手段和速度,密码复杂度一定要高,最好是字符、数字、字母、特殊符号等组合的十位以上的字符串。并定期更改密码防止破解。2.2 系统安全 我们现阶段常使用的服务器操作系统为 Windows 2003 Enterprise Edition 版。操作系统安装后,要安装正版的服务器专用杀毒软件,做到必要的安全防护。另外,微软公司根据安全需求更新的系统补丁,必须及时为服务器安装上。将可能由这些漏洞引起的安全问题,及时扼杀在萌芽状态。2.3 服务分属、数据管理、保留地址 企业内的服务通常有 DNS 服
6、务、邮件服务、0A 服务、FTP 服务等等。尽量做到重要的服务,最好按照不同服务,分属开来,实行单一化。避免一台服务器提供多项服务造成相互影响,增加服务器的自身运行压力。数据的安全至关重要,为保证数据的安全,备份是必不可少的,最好能做到增量备份,每星期做全盘备份,每个月检杏数据备份是否完善。有条件的能够做到将数据定期制作成兀余光盘是最理想的。服务器的地址要有完全不受控性和永久不被侵占性,这就要保留一部分地址只供服务器使用。并将这些 IP 地址和服务器的 MAC 地址绑定。避免服务器地址被占用而造成服务中断。3.WEB 的安全防护 3.1 IIS 的相关设置 不使用默认的 web 站点,如果使用
7、也要将 IIS 目录与系统磁盘分开。在 IIS 中展开网站,找到正在使用的网站,在其属性中配置所有站点的公共设置,设置好相关的连接数限制,带宽以及性能等。配置应用程序映射,删除所有不必要的应用程序扩展,只保留 asp,php,cgi,pl 应用程序扩展。设置I1S 的日志保存目录,调整日志记录信息。设置为发送文本错误信息。更改 IIS 日志的路径,避免使用默认的保存、缺省路径。3.2 MySQL 安全设置 由于服务器使用 MySQL 数据库,因此 MySQL 数据库也有一些需要注意的安全设置。密码策略。密码策略是所有安全配置的第一步,很多数据库帐号的密码过于简单,对于 sa 更应该应该注意,同
8、时不要让 sa 帐号的密码写于应用程序或者脚本中。安全的帐号策略。sa 是既不能更改也不能删除的超级用户,所以,我仃必须对这个帐号进行最强的保护。比如使用一个复杂的密码,或者最好不要在数据库应用中使用 sa 帐号,只有当没有其它方法登录到 SQL Server 实例(例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。建议数据库管理员新建立一个拥有与 sa 一样权限的超级用户来管理数据库。赋予普通用户 update、Delete、alert、create、drop 等权限的时候,要限定到特定的数据库,尤其要避免普通客户拥有对 mysql 数据库操作的权限。检查 mysq1.user 表,
9、取消不必要用户的 shutdown_priv,reload_priv,proces_priv 和 File_ priv 权限,这些权限可能泄漏更多的服务器信息包括非 mysql 的其它信息。可以为 mysql 设置一个启动用户,该用户只对 mysql 目录有权限。设置安装目录的 data 数据库的权限(此目录存放了 mysql 数据库的数据信息)。对于 mysql安装目录给 users 加上读取、列目录和执行权限。结束语 随着网络技术的普及、应用及 Web 技术的不断完善,Web 服务已经成为互联网上重要的服务形式之一。保护 Web 服务器和驻留在其上的应用程序是一项艰巨的任务,但这项任务并非不可完成。通过一些研究和适当的努力,就能够获得更加安全的宿主环境,并避免以后可能发生的问题。参考文献:1马琰如何提高个人 Web 服务器的安全性J.职业圈,2007,(9)2王远哲细说高校 WEB 服务器安全J电脑知识与技术,2008,(9)3田巍.四川航空股份有限公司网络安全方案可行性分析和规划M.北京:电子科技大学,2005(作者单位:秦皇岛首创水务有限公司)
