【文章內容簡介】 前面的復選框的狀態(tài)，打勾表明這是條允許規(guī)則，清空表明這是條禁止規(guī)則。默認情況下系統(tǒng)有四條配置好的訪問規(guī)則，如圖 312 所示，其中遠程協(xié)助是默認允許的 。 點擊添 加程序按鈕，然后選擇一個合適的程序。當然，可能列表中沒有您想要的程序，這時您可以單擊瀏覽并定位到程序的具體位置把它添加進來。以后，當程序運行時， Windows 防火墻會監(jiān)視程序偵聽的端口，并把它們自動添加到例外通信的列表中。這個方式創(chuàng)建的規(guī)則將更具靈活性和簡易性。并且只有在應用程序與外部通信時端口才是開放的， 一旦 連接斷開，端口也會隨之關閉。這比通過直接添加端口的方式安全性要高很多。 圖 312 添加程序規(guī)則 經(jīng)過這些設置 WEB 服務器安全就有了基本的安全保障，另外需要更多的技術設備上的發(fā)展才能滿足更多企業(yè) 及個人用的對安全的需求。 西南交通大學本科畢業(yè)設計（論文） 第 13 頁 第 4 章 IIS 策略應用 167。 不使用默認的 WEB站點將 IIS 與系統(tǒng)盤分開 將網(wǎng)站內容移動到非系統(tǒng)驅動器，不使用默認的 \Ipub\root 目錄，以減輕目錄遍歷攻擊（這種攻擊試圖瀏覽 WEB 服務器的目錄結構）帶來的危險（一定要驗證所有的虛擬目錄是否均指向目標驅動器）。 167。 刪除不要的 IIS 擴展名映射 右鍵單擊 “ 默認 WEB 站點 → 屬性 → 主目錄 → 配置 ” ，打開應用程序窗口，去掉不必要的應用程序映射，主要為 shtml、 shtm、 stm（如圖 41所示） 。 圖 41 刪除 IIS映射 167。 更改 IIS 日志的路徑 右鍵單擊 “ 默認 WEB 站點 → 屬性 → 網(wǎng)站 → 在啟用日志記錄下 → 點擊屬性更改設置（操作如圖 42 所示） 。 西南交通大學本科畢業(yè)設計（論文） 第 14 頁 圖 42 更改 IIS路徑 167。 只選擇網(wǎng)站和 WEB 所必需的服務和子組件 開始 → 控制面板 → 添加或刪除程序 → 添加 /刪除 Windows 組件 → 應用程序服務器 → 詳細信息 → Inter 信息服務 (IIS) → 詳細信息 → 然后通過選擇或清除相應組件或服務的復選框，來選擇或取消相應的 IIS 組件和服務。 IIS 子組件和服務的推薦設置 ； 禁 用后臺智能傳輸服務 (BITS) 服務器擴展、 FTP 服務、 FrontPage 2020 Server Extensions、 Inter 打印、 NNTP 服務。啟用公用文件、 Inter 信息服務管理器、萬維網(wǎng)服務 （操作如圖 43所示） 。 圖 43 選擇組件 167。 刪除未使用的帳戶 及 設置強 密碼 避免攻擊者通過使用以高級特權運行的帳戶來獲取未經(jīng)授權的資源訪問權。 限制對服務器的匿名連接，確保禁用來賓帳戶；重命名管理員帳戶并分配一個強密碼以 西南交通大學本科畢業(yè)設計（論文） 第 15 頁 增強安全性 ， 重命名 IUSR 帳戶。 在 IIS 元數(shù)據(jù)庫中更改 IUSR 賬戶 的值： “管理工具”→“ Inter 信息服務 (IIS) 管理器” →右鍵單擊“本地計算機”→“屬性”→選中“允許直接編輯配置數(shù)據(jù)庫”復選框→“確定”→ 瀏覽至 文件的位置，默認情況下為 C:\Windows\system32\isrv →右鍵單擊 文件→“編輯” → 搜索“ AnonymousUserName”屬性，→鍵入 IUSER賬戶 的新名稱→在“文件”菜單上→單擊“退出”→單擊“是” （操作如圖 4 45所示 ） 。 圖 44 更改 IUSER帳戶值 圖 45 更改 IUSER帳戶值 167。 使用應用程序池 應用程序池用來隔離應用程序，提高 WEB 服務器的可靠性和安全性。創(chuàng)建應用程序池： “管理工具”→“ Inter 信息服務 (IIS) 管理器” →本地計算機→右鍵單擊“應用程序池”→“新建”→“應用程序池”→在“應用程序池 ID”框中， 西南交通大學本科畢業(yè)設計（論文） 第 16 頁 為應用程序池鍵入一個新 ID→“應用程序池設置” →“ Use default settings for the new application pool”（使 用新應用程序池的默認設置）→“確定” （操作如圖 46 所示） 。 圖 46 應用程序池的設置 167。 將網(wǎng)站或應用程序分配到應用程序池 因為應用程序池中的應用程序與其他應用程序被工作進程邊界分隔，所以某個應用程序池中的應用程序不會受到其他應用程序池中應用程序所產生的問題的影響。 步驟： “ 管理工具 ”→“Inter 信息服務 (IIS) 管理器 ” → 右鍵單擊您想要分配到應用程序池的網(wǎng)站或應用程序 →“ 屬性 ”→“ 主目錄 ” 、 “ 虛擬目錄 ” 或“ 目錄 ” 選項卡，如果將目錄或虛擬目錄分配到應用程序池，則驗證 “ 應用 程序名 ”是否包含正確的網(wǎng)站或應用程序名稱，（如果在 “ 應用程序名 ” 框中沒有名稱，則單擊 “ 創(chuàng)建 ” ，然后鍵入網(wǎng)站或應用程序的名稱） →“ 應用程序池 ” 列表框 → 單擊您想要分配網(wǎng)站或應用程序的應用程序池的名稱 →“ 確定 ” 。 經(jīng)過以上設置， WEB 服務器 安全性有了很大的提升，但一些不法攻擊者會不斷尋找新漏洞來攻擊 WEB 服務系統(tǒng)，所以我們一定要養(yǎng)成及時修補系統(tǒng)漏洞的習慣，并不斷提高管理人員的網(wǎng)絡技術水平，確保 WEB 服務器有一個安全、穩(wěn)定、高效的運行環(huán)境 。 西南交通大學本科畢業(yè)設計（論文） 第 17 頁 第 5 章 WEB 服務器安全 評測 經(jīng)過以上設置服務器的所有分區(qū)均采用 了 NTFS 格式進行設置 并且系統(tǒng)盤與網(wǎng)站程序分開放置這樣可以確保系統(tǒng)盤的純凈，避免感染病毒的機會。 開啟防火墻能確?；镜姆蓝荆惭b自動更新能及時的檢查系統(tǒng)及時更新微軟發(fā)布的安全補丁，及時給系統(tǒng)填補漏洞。僅安裝必要的 IIS 組件，開啟必要的端口及協(xié)議防止黑客利用掃描工具進行掃描。設置用戶權限，可以防止非法用戶的進入。設置相應的策略審核 ，可以及時的記錄系統(tǒng)的狀態(tài)，事件的發(fā)生。經(jīng)過這些設置 ，一個基本安全的服務器就正常運行了。 經(jīng)過自動更新的設置，一旦微軟有新的漏洞補丁發(fā)布如圖 51 所示，服務器立即就會自動更新，防止部 分不法分子利用漏洞就行服務器掃描攻擊等。 圖 51自動修補漏洞 利用 XScan 進行漏洞掃描， XScan 是國內最著名的綜合掃描器之一 。 它完全免費，是不需要安裝的 綠色軟件 、界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內著名的民間黑客組織 “ 安全焦點 ” 完成，最值得一提的是， XScan把掃描報告和安全焦點網(wǎng)站相連接，對掃描到的每個漏洞進行 “ 風險等級 ” 評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補漏洞 ， XScan 運行于 Windows 操作系統(tǒng)。采用多線程方式對指定 IP 地址段（或單機）進行安全漏洞檢測，具有插件功能。 安裝 XScan 后，對剛才設置過的服務器進行評測安全系數(shù)。 首先獲取服務器的IP 地址，該服務器對應的網(wǎng)站為 ，首先在 ping 一些下這個域名以獲得該網(wǎng)站服務器的 IP 地址 （如圖 52 所示）。 . 西南交通大學本科畢業(yè)設計（論文） 第 18 頁 圖 52 獲取服務器的 IP地址 參數(shù)設置 ， 雙擊 xscan_gui，會打開 XScan GUI 的界面，點擊設置 掃描參數(shù)，設置要掃描網(wǎng)絡的 IP地址，也可以是地址段，把得到的信息工程學院的 IP 地址 填到指定 IP 地址范圍處。再對“全局設置”和“插件設置”進行相關的設置，界面如圖 53所示。 點擊“確定”，返回到 XScan GUI 的界面。 圖 53 XScan界面 掃描，點擊工具欄上的開始按鈕，就進行掃描了，這時，在進程里會出現(xiàn) 10 個 進程，掃描是會出現(xiàn)如圖 54畫面 。 圖 52 掃描界面 這是加載攻擊測試腳本的界面，只有把所有的腳 本文件都加載進去，才能進行全面而準確的掃描。 以下 圖 55 所示 是正式掃描的界面，對相應的端口和服務等進行掃描 。 西南交通大學本科畢業(yè)設計（論文） 第 19 頁 圖 53正式掃描 當掃描完成后，會自動生成被檢測主機的詳細漏洞信息的報表，報表的上部給出了掃描時間，檢測結果，主機列表，分析主機： ， 四項信息，如圖 給出了安全設置前后掃描信息對比如圖 56及 57 所示 。 圖 54 服務器沒有安全設置前掃描信息 圖 57安全設 置后的 掃描信息 結果分析從報表可以看到，報表給出了 10個提示數(shù)量， 3 個警告數(shù)量， 0個漏洞數(shù)量，下面就沒個提示做相應的分析與解決方案。 比 服務器 置前 漏洞 已經(jīng)沒有，雖然依然存在警告但相信只要我們及時觀察設置及時更新安全系數(shù)定會大大提升的。 西南交通大學本科畢業(yè)設計（論文） 第 20 頁 結束語 在本論文寫作過程中由于本人 在知識、經(jīng)驗方面都存在著不足，另外論文寫作時間也比較緊張， 因此論文必然會存在一些缺陷和不足。 可能步驟不夠詳盡，考慮有不周之處， 因為對 WEB 服務器還不是太熟悉，所以有未涉及未提到的地方望諒解！ 本次論文的完成大概 完成以下幾個問題 ： 1 對 WEB服務器進行了基本的介紹，以及進行了基本安全分析。 2 針對 WEB 服務器存在的安全威脅進行了 磁盤 權限設置 、賬戶 設置 、協(xié)議安全 設置、端口設置、 IIS 設置等 。 3 針對這些安全設置后 WEB 服務器是否安全進行了測試，由于條件有局限只針對該服務器所對應的網(wǎng)站 在服務器進行安全設置前后 進行了漏洞掃描與評測 。 經(jīng)過前后對比發(fā)現(xiàn)經(jīng)過安全設置后的網(wǎng)站確定安全了很多但還有一些不足的地方，由于條件、本人知識等有限制，在此可能不能更完善的展示出來。不過我以后會更加努力，謝謝大家支持。 本論文雖然存在一些不足但確讓我學到了很多，讓我鞏固 了服務器的一些基本設置及注意的安全技巧，及統(tǒng)籌設計思路。還讓我真切體會到同學間的互幫互助團結精神，及濃濃的師生情誼！不僅是一種知識的學習與表達更是一種精神的傳遞。 西南交通大學本科畢業(yè)設計（論文） 第 21 頁 參考文獻 [1] 劉曉輝 ,張奎亭 . WindowsServer2020 系統(tǒng)安全管理 [M].北京 :電子工業(yè)出版社 , 2020 [2] 呂林濤 .網(wǎng)絡信息安全技術概論 (第二版 )科學出版社， 2020 [3] 李 新 ,李成友 .基于 Windows 系統(tǒng)的 Web服務器安全研究與實踐 [J].教育信息化 ，2020 [4] 馬琰 .如何提高個人 Web 服務器的安