【文章內(nèi)容簡介】 ，還要在 IIS 管理器中為它們設置權限。一個好的設置策略是：為 Web 站點上不同類型的文件都建立 目錄，然后給它們分配適當權限。例如：靜態(tài)文件文件夾允許讀、拒絕寫， ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取， EXE 等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。 4. 刪 除 不必要的應用程序映射 ISS 中默認存在很多種應用程序映射，除了 ASP 的這個程序映射，其他的文件在網(wǎng)站上都很少用到。 在“ Inter 服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，點擊 [配置 ]按鈕，彈出“應用程序配置”對話框，在“應用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時，必須安裝最新的系統(tǒng)修 補補丁，并且選中相應的程序映射，再點擊 [編輯 ]按鈕，在“添加 /編輯應用程序擴展名映射”對話框中勾選“檢查文件是否存在”選項。這樣當客戶請求這類文件時， IIS 會先檢查文件是否存在，文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。 5. 保護日志安全 日志是系統(tǒng)安全策略的一個重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改 IIS 日志的存放路徑默認情況下， IIS 的日志存放在 %WinDir%\\System32\\LogFiles，黑客當然非常清楚，所以最好修改一下其存放路徑。在“ Inter 服務管 理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“ Web 站點”頁面中，在選中“啟用日志記錄”的情況下，點擊旁邊的 [屬性 ]按鈕，在“常規(guī)屬性”頁面，點擊 [瀏覽 ]按鈕或者直接在輸入框中輸入日志存放路徑即可。 修改日志訪問權限，設置只有管理員才能訪問 Web 服務器與操作系統(tǒng) 要創(chuàng)建一個安全可靠的 Web 服務器，必須要實現(xiàn) Windows server 和 IIS 的雙重安全，因為 IIS 的用戶同時也是 Windows server 的用戶，并且 IIS 目錄的權限依賴 Windows 的 NTFS 文件系統(tǒng)的權限控制， 所以保護 IIS 安全的第一步就是確保 Windows server 操作系統(tǒng)的安全 NTFS 文件系統(tǒng)，以便對文件和目錄進行管理。 2. 關閉默認共享 3. 修改共享權限 建立新的共享后立即修改 Everyone 的缺省權限，不讓 Web 服務器訪問者得到不必要的權限。 第 4 頁（共 23 頁） 4. 為系統(tǒng)管理員賬號更名，避免非法用戶攻擊。 5. 禁用 TCP/IP 上的 NetBIOS 6. TCP/IP 上對進站連接進行控制 鼠標右擊桌面上 [網(wǎng)絡鄰居 ] →[ 屬性 ] →[ 本地連接 ] →[ 屬性 ]，打開“本地連接屬 性”對話框。選擇 [Inter 協(xié)議 (TCP/IP)]→[ 屬性 ]→[ 高級 ]→[ 選項 ]，在列表中單擊選中“ TCP/IP 篩選”選項。單擊 [屬性 ]按鈕，選擇“只允許”，再單擊 [添加 ]按鈕，只填入 80 端口。 7. 修改注冊表，減小拒絕服務攻擊的風險。 打開注冊表：將 HKLM\\System\\CurrentControlSet\\Services\\Tcpip\\Parameter的值修改為 2，使連接對超時的響應更快 安全機制 SSL（加密套接字協(xié)議層）位于 HTTP 層和 TCP 層之間 ，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。 SSL 是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應的私人密鑰。使用 SSL 安全機制時，首先客戶端與服務器建立連接，服務器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網(wǎng)絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個惟一的安全通道 IIS 的身份認證除了匿名訪問、基本驗證和 Wi ndows NT 請求 /響應方式外，還有一種安全性更高的認證：通過 SSL（ Security Socket Layer）安全機制使用數(shù)字證書。 1. 建立步驟 啟動 ISM 并打開 Web 站點的屬性頁； 選擇“目錄安全性”選項卡； 單擊“密鑰管理器”按鈕； 通過密鑰管理器生成密鑰對文件和請求文件； 從身份認證權限中申請一個證書； 通過密鑰管理器在服務器上安裝證書； 激活 Web 站點的 SSL 安全性 web 服務器的配置過程 以 Windows server 2020 系統(tǒng)為例 首先要準備好自己提前做好 的網(wǎng)頁 1. 安裝 web 服務器 在服務器管理器中在角色選項中添加角色 選擇 web 服務器 (IIS)然后安裝以下圖示為安裝過過程 第 5 頁（共 23 頁） 圖 11 點擊下一步 第 6 頁（共 23 頁） 圖 12 將安全性里的選項全部勾選 第 7 頁（共 23 頁） 圖 13 點擊安裝 圖 14 安裝 成功 2. 在電腦磁盤里新建一個文件夾將事先做好的網(wǎng)頁放進新建 文件夾里 第 8 頁（共 23 頁） 圖 21 網(wǎng)頁文件位置 3. 建立 web 站點 打開管理工具 找到安裝好的 iis(inter 信息服務器 )管理器 圖 31 inter 信息服務管理器 如 圖 13 第 9 頁（共 23 頁） 圖 41 5 依照 圖 51 配置 web 服務器 圖 51 配置 6 .網(wǎng)站建成 結(jié)果為圖 14 第 10 頁（共 23 頁） 圖 61 一個能用的 web 網(wǎng)站建成 7 驗證網(wǎng)站是否能訪問輸入網(wǎng)址 打開網(wǎng)頁 圖 71為打開網(wǎng)頁的結(jié)果 圖 71 驗證成功 第 11 頁（共 23 頁） 第 2章 流媒 體服務器 流媒體服務器 定義及特點 流媒體指以流方式在網(wǎng)絡中傳送音頻、視頻和多媒體文件的媒體形式。 相對于下載后觀看的網(wǎng)絡播放形式而言，流媒體的典型特征是把連續(xù)的音頻和視頻信息壓縮后放到網(wǎng)絡服務器上，用戶邊下載邊觀看，而不必等待整個文件下載完畢。由于流媒體技術的優(yōu)越性，該技術廣泛應用于視頻點播、視頻會議、遠程教育、遠程醫(yī)療和在線直播系統(tǒng)中。 作為新一代互聯(lián)網(wǎng)應用的標志，流媒體技術在近幾年得到了飛速的發(fā) 展。而流媒體服務器又是流媒體應用的核心系統(tǒng)，是運營商向用戶提供視頻服務的關鍵平臺。其主要功能是對媒體內(nèi)容進行采集、緩存、調(diào)度和傳輸播放，流媒體應用系統(tǒng)的主要性能體現(xiàn)都取決于媒體服務器的性能和服務質(zhì)量。因此，流媒體服務器是流媒體應用系統(tǒng)的基礎，也是最主要的組成部分。 流媒體服務器的 功能 流媒體服務器的主要功能是以流式協(xié)議（ RTP/RTSP、 MMS、 RTMP 等）將視頻文件傳輸?shù)娇蛻舳?，供用戶在線觀看；也可從視頻采集、壓縮軟件接收實時視頻流，再以流式協(xié)議直播給客戶端。典型的流媒體服務器有微軟的 Windows Media Service（ WMS），它采用 MMS 協(xié)議接收、傳輸視頻，采用 Windows Media Player（ WMP）作為前端播放器； RealNetworks 公司的 Helix Server，采用 RTP/RTSP協(xié)議接收、傳輸視頻，采用 Real Player 作為播放前端； Adobe 公司的 Flash Media Server,采用 RTMP(RTMPT/RTMPE/RTMPS)協(xié)議接收、傳輸視頻，采用 Flash Player作為播放前端。值得注意的是，隨著 Adobe 公司的 Flash 播放器的普及（根據(jù)Adobe 官方數(shù)據(jù)， Flash 播放器裝機量已高達 99%以上），越來越多的網(wǎng)絡視頻開始采用 Flash 播放器作為播放前端，因此，越來越多的企業(yè)開始采用兼容 Flash播放器的流媒體服務器，而開始淘汰其他類型的流媒體服務器。支持 Flash 播放器的流媒體服務器，除了 Adobe Flash Media Server，還有 sewise 的流媒體服務器軟件和 Ultrant Flash Media Server 流媒體服務器軟件，以及基于 Java語言的開源軟件 Red5。 流媒體服務器的安全問題 面對流媒體服務的巨大需求，在進一 步提高服務性能、保證質(zhì)量的同時，流媒體服務的安全性也成為亟待考慮的問題。由于流媒體服務具有連續(xù)性、實時性要求，且媒體服務雙方自愿消耗相差懸殊，拒絕服務攻擊 (DoS)和分布式拒絕服務攻擊 (DDoS)攻擊對流媒體服務的危害具有明顯的放大作用。針對傳統(tǒng) DoS、DDoS 的攻擊問題，許多學著已經(jīng)在不同方面給出了比較有效的防御策略 流媒體服務的特點 與大多數(shù) Inter 應用相比，流媒體服務具有以下特點： 1. 服務器與用戶消耗資源相差懸殊，使得針對流媒體應用的 Dos、 DDos 攻擊效果更加明顯。 2. 、連續(xù)性的要求，用戶體驗要求高，即使瞬時的 Dos、 DDos 攻擊也能對流媒體的服務質(zhì)量造成破壞。 第 12 頁（共 23 頁） 3. 流媒體服務采用 RTSP 作為用戶與服務器之間的交互協(xié)議。 RTSP 存在一些 “ 漏洞 ” ，可以被攻擊者利用，成為直接或者間接攻擊流媒體服務的有效武器。 以上特性使得傳統(tǒng)的 Dos、 DDos 防御策略不在有效 協(xié)議漏洞 RTSP 定義了一對所應用程序如何有效的通過 ip 網(wǎng)絡傳輸多媒體數(shù)據(jù)，其中包括 11 個命令。針對這些命令編寫了一套攻擊工具 攻擊方法分為一下幾類： 1. 泛洪攻擊。例如 Describe Flood，這類攻擊通過向目標主機發(fā)送大量無用的 RTSP 請求，導致目標主機計算資源消耗在處理這些 RTSP 請求上。 2. 全連接攻擊。例如 Setup Attack 和 Play Attack，這類攻擊具有持續(xù)性和放大性，需要消耗服務器更多的傳輸帶寬、內(nèi)存等資源。 3. 異常請求攻擊。例如攻擊者將請求的消息體長度 ContentLength 設置很大，導致服務器必須構建較大的緩存來保留整個消息體，造成內(nèi)存資源的大量消耗。 流媒體服務 DoS、 DDoS 攻擊的防御策略 針對流 媒體服務的 DoS、 DDoS 攻擊特點、將防御方案分成分成攻擊檢測和攻擊反應 2 部分，他們針對 play attack 這類的攻擊根據(jù)受信任 ip 地址列表與單個 ip 最大會話數(shù)的限制，檢測為攻擊的會話將被強行終止。檢測為合法的會話將被繼續(xù)服務。此時整個系統(tǒng)處于 ddos 攻擊防御狀態(tài)。 除以上 3 類攻擊反應策略以外。系統(tǒng)還設定了主動防御策略：當流媒體服務已經(jīng)接近滿