【正文】 EB 服務(wù)器介紹 167。 WEB 服務(wù)器概 念 WEB 服務(wù)器是指駐留于因特網(wǎng)上某種類型計(jì)算機(jī)的程序。當(dāng) WEB 瀏覽器（客戶端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類型）。服務(wù)器使用 HTTP（超文本傳輸協(xié)議）進(jìn)行信息交流，這就是人們常把它們稱為 HTTP 的 服務(wù)器的原因 ， WEB服務(wù)器應(yīng)用實(shí)例如圖 11 所示 。 圖 11 WEB服務(wù)器的應(yīng)用 WEB 服務(wù)器 不僅能夠存儲(chǔ)信息，還能在用戶通過 WEB 瀏覽器提供的信息的基礎(chǔ)上運(yùn)行腳本和程序 。 167。 WEB 服務(wù)器存在的安全問題 Inter 的發(fā)展給企業(yè)和個(gè)人帶來了革命性的改革和開放。他們正努力通過利用Inter 來提高辦事效率和市場(chǎng)反應(yīng)速度，以便更具競(jìng)爭(zhēng)力。通過 Inter，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Inter 開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。 隨著 Inter 的廣泛應(yīng)用 ，許多企業(yè)開發(fā)了自己的 WEB 網(wǎng)站。然而由于人為的無意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門”進(jìn)行搗亂的各種病毒等，使得開發(fā)的網(wǎng)站存在多方面的安全問題。要保證企業(yè)的 WEB 網(wǎng)站的安全，僅選擇一個(gè)適合企業(yè)特點(diǎn)的防火墻、適合 Win2020 的殺毒軟件是不夠的。更主要的要在企業(yè)內(nèi)部 WEB 服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的免疫力。 第 3 章 WEB 服務(wù)器安全設(shè)置 由于本篇文章以 Windows 為基礎(chǔ)進(jìn)行研究的，所以在此 Linux 系統(tǒng)不再敘述。Windows 系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只 有充分利用其自身的功能實(shí)現(xiàn)對(duì)系統(tǒng)的安全控制才能保證網(wǎng)站及數(shù)據(jù)的安全。 167。 選用 NTFS 文件系統(tǒng) NTFS 文件系統(tǒng)比 FAT 系統(tǒng)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪問權(quán)限，因此擁有更強(qiáng)大的安全性。需要注意的是，目前大多數(shù)反病毒軟件沒有提供對(duì)軟盤啟動(dòng)后 NTFS 分區(qū)病毒的查殺，這樣一旦系統(tǒng)中了惡性病毒而導(dǎo)致系統(tǒng)不能正常啟動(dòng)時(shí)，后果比較嚴(yán)重，因此平時(shí)應(yīng)做好病毒的預(yù)防及系統(tǒng)的備份工作。 另外將系統(tǒng)盤與網(wǎng)站程序分開放置。 167。 選用單操作系統(tǒng) 作為 WEB 服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)， 否則黑客會(huì)利用其攻擊Windows 2020 系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與 WEB 數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開，并在安裝時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的 IIS 漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與 WEB 站點(diǎn)服務(wù)無關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來可乘之機(jī)。 167。 關(guān)閉 Windows2020 不必要的服務(wù) Windows2020 系統(tǒng)中包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)器能 暴漏 賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱的情況下可以取得賬號(hào)的密碼。當(dāng)這兩種服務(wù)都開通時(shí)，系統(tǒng)也就被攻破。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。因此，作為 WEB網(wǎng)站的 Win2020 系統(tǒng)，必須停掉沒有用的服務(wù)。 167。 禁用不必要的協(xié)議 NetBIOS 協(xié)議在 WEB 服務(wù)器上是黑客掃描工具的首選目標(biāo)，因此，必須解除NetBIOS 與 TCP/IP 協(xié)議的綁定。方法“設(shè)置 → 控制面板 → 網(wǎng)絡(luò)連 接 → 本地連接 → 屬性→ TCP/IP→ 屬性 → 高級(jí) → WINS→ 禁用 TCP/IP 上的 NetBIOS。另外， NetBIOS、 IPX/SPX協(xié)議對(duì) WEB 網(wǎng)站也沒有任何用處，只會(huì)被某些黑客工具利用，也必須禁用或刪除 （操作如圖 31） 。 圖 31禁用不必要協(xié)議 167。 設(shè)置磁盤訪問權(quán)限 系統(tǒng)磁盤只賦予 administrators 和 system 權(quán)限，系統(tǒng)所在目錄（默認(rèn)時(shí)為Windows）要加上 users 的默認(rèn)權(quán)限，以保障 ASP 和 ASPX 等應(yīng)用程序正常運(yùn)行。其 他磁盤可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加 system 用戶權(quán)限，否則啟動(dòng)不成功。 167。 關(guān)閉不必要的端口及 更改遠(yuǎn)程連接端口 在 Inter 上，各 主機(jī) 間通過 TCP/IP 協(xié)議發(fā)送和接收 數(shù)據(jù)包 ，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的 IP 地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇。可見，把數(shù)據(jù)包順利的傳送到目的主機(jī)是沒有問題的。問題出在哪里呢 ?我們知道大多數(shù) 操作系統(tǒng) 都支持多 程序 （進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問題有待解決，端口機(jī)制便由此被引入進(jìn) 來 。 本地操作系統(tǒng)會(huì)給那些有需求的進(jìn)程分配協(xié)議端口（ protocol port，即我們常說的端口），每個(gè)協(xié)議端口由一個(gè)正整數(shù)標(biāo)識(shí)，如： 80， 139， 445，等等。當(dāng)目的主機(jī)接收到數(shù)據(jù)包后，將根據(jù) 報(bào)文 首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來。 如果攻擊者使用軟件掃描目標(biāo)計(jì)算機(jī)，得到目標(biāo)計(jì)算機(jī)打開的端口，也就了解了目標(biāo)計(jì)算機(jī)提供了哪些服務(wù)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。如果計(jì)算機(jī)的端口打開太 多，而管理者不知道，那么，有兩種情況：一種是提供了服務(wù)而管理者沒有注意，比如安裝 IIS 的時(shí)候，軟件就會(huì)自動(dòng)增加很多服務(wù)，而 管理者 可能沒有注意到；一種是服務(wù)器被攻擊者安裝 木馬 ，通過特殊的端口進(jìn)行通信。這兩種情況都是很危險(xiǎn)的，說到底，就是管理員不了解服務(wù)器提供的服務(wù)，減小了系統(tǒng)安全系數(shù)。 圖 32常用端口 常用端口 圖 32 在缺省情況下，所有的端口將對(duì)外開放，而有些黑客工具可以掃描那些可以利用的端口，所以為了系統(tǒng)安全關(guān)閉不用的端口為最佳。常用端口 (見 圖32).關(guān)閉端口具體操作如下。 本地連接 → 屬性 →Inter 協(xié)議 (TCP/IP) → 屬性 → 高級(jí) → 選項(xiàng) →TCP/IP 篩選 →屬性 → 把勾打上， 操作如圖 33， 添加需要的端口 (如 : 2 80)。 圖 33 關(guān)閉不必要端口 更 改 遠(yuǎn) 程 連 接 端 口 ： 開 始 → 運(yùn)行 → 輸入 regedit 查找 3389 ：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp 下的 PortNumber=3389 改為自寶義的端口號(hào)并重新啟動(dòng)服務(wù)器 （如圖 34 所示 ） 。 圖 34 更改遠(yuǎn)程端口 167。 限制匿名訪問本機(jī)用戶 “ 開始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 對(duì)匿名連接的額外限制 ”→ 在下拉菜單中選擇 “ 不允許 SAM 賬 戶的匿名枚舉 ”→“ 確定 ” （ 如 圖 35 所示 ） 。 圖 35 限制匿名用戶 167。 限制遠(yuǎn)程用戶對(duì)光驅(qū)或軟驅(qū)的訪問 “ 開始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 只有本地登錄用戶才能訪問軟盤 ”→ 在單選按鈕中選擇 “ 已啟用 (E)” → “ 確定 ” （操作如圖 36 所示） 。 圖 36 限制遠(yuǎn)程用戶對(duì)光驅(qū)軟驅(qū)訪問 167。 限制 NetMeeting 及 禁用 NetMeeting 運(yùn)行 “” →“ 計(jì)算機(jī)配置 ”→“ 管理模板 ”→“Windows 組件 ” →“NetMeeting” →“ 禁用遠(yuǎn)程桌面共享 ”→ 右鍵 → 在單選按鈕中選擇 “ 啟用(E)”→“ 確定 ” （操作如圖 37所示 ） 。 圖 37 限制共享 167。 注 冊(cè)表防止小規(guī)模 DDOS 攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值 名為 SynAttackProtect 數(shù)值為 1（操作如圖 38所示 ） 。 圖 38更改 DWORD值 167。 防火墻及自動(dòng)更新設(shè)置 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用 協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一 次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 1． 安裝企業(yè)級(jí) 360軟件 如圖 39所示。 經(jīng)常對(duì)服務(wù)器進(jìn)行定期的掃描殺毒等。 圖 39 360安裝 2． 開啟自動(dòng)更新 ， 網(wǎng)上鄰居 屬性 本地連接 屬性 高級(jí) 設(shè)置 ，如圖 310所示。 310 開啟自動(dòng)更新 3．防火墻的安全設(shè)置。 添加防火墻規(guī)則有兩種方法，一種是通過 Windows 安全警報(bào)對(duì)話框， Windows 防火墻中的通知機(jī)制允許本地管理員在得到相應(yīng)提示后自動(dòng)將新程序添加到例外程序列表。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加 ， 自動(dòng)添加這里不再多說 。 手動(dòng)添加也有兩種方式，一種是添加程序的文件名 ， 一種是添加端口。添加端口的方式非常簡(jiǎn) 單，點(diǎn)擊添加端口，然后給這個(gè)要開放端口起個(gè)名字，比如這個(gè)端口是被 使用的，我們就可以起個(gè)名字叫 ，然后填上對(duì)應(yīng)的端口號(hào)如 8000，接著選擇通訊協(xié)議，默認(rèn)只有 TCP 和 UDP，選擇好后單擊確定，一條防火墻規(guī)則就創(chuàng)建完成了 。 如圖 311所示。 圖 311 添加端口 事實(shí)上這就是我們的防火墻規(guī)則，每 創(chuàng)建 一條允許或禁止的防火墻規(guī)則都會(huì)被放入 列表中，每條規(guī)則