【正文】 全問(wèn)題從來(lái)就不是獨(dú)立的， 系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如 ARP 等）、網(wǎng)絡(luò)端口管理 以及 來(lái)自 WEB 服務(wù)器應(yīng)用的安全， IIS 本身的配置、權(quán)限等，這個(gè)直接影響訪(fǎng)問(wèn)網(wǎng)站的效率和結(jié)果。 XX 學(xué)院畢業(yè)設(shè)計(jì)論文 2 第 2 章 WEB 服務(wù)器介紹 167。當(dāng) WEB 瀏覽器（客戶(hù)端）連到服務(wù)器上并請(qǐng)求文件時(shí)，服務(wù)器將處理該請(qǐng)求并將文件發(fā)送到該瀏覽器上，附帶的信息會(huì)告訴瀏覽器如何查看該文件（即文件類(lèi)型）。 圖 11 WEB服務(wù)器的應(yīng)用 WEB 服務(wù)器 不僅能夠存儲(chǔ)信息，還能在用戶(hù)通過(guò) WEB 瀏覽器提供的信息的基礎(chǔ)上運(yùn)行腳本和程序 。 WEB 服務(wù)器存在的安全問(wèn)題 Inter 的發(fā)展給企業(yè)和個(gè)人帶來(lái)了革命性的改革和開(kāi)放。通過(guò) Inter，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Inter 開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶(hù)、銷(xiāo)售商、移動(dòng)用戶(hù)、異地員工和內(nèi)部員工的安全訪(fǎng)問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。然而由于人為的無(wú)意失誤，黑客的惡意攻擊，以及借助網(wǎng)絡(luò)及系統(tǒng)軟件的漏洞和“后門(mén)”進(jìn)行搗亂的各種病毒等，使得開(kāi)發(fā)的網(wǎng)站存在多方面的安全問(wèn)題。更主要的要在企業(yè)內(nèi)部 WEB 服務(wù)器的安裝、設(shè)置等方面多做文章，以提高網(wǎng)站自身的免疫力。Windows 系統(tǒng)是企業(yè)網(wǎng)站的基礎(chǔ)，只 有充分利用其自身的功能實(shí)現(xiàn)對(duì)系統(tǒng)的安全控制才能保證網(wǎng)站及數(shù)據(jù)的安全。 選用 NTFS 文件系統(tǒng) NTFS 文件系統(tǒng)比 FAT 系統(tǒng)多了安全控制功能，可以對(duì)不同的文件夾設(shè)置不同的訪(fǎng)問(wèn)權(quán)限，因此擁有更強(qiáng)大的安全性。 另外將系統(tǒng)盤(pán)與網(wǎng)站程序分開(kāi)放置。 選用單操作系統(tǒng) 作為 WEB 服務(wù)器的計(jì)算機(jī)不要安裝多種操作系統(tǒng)， 否則黑客會(huì)利用其攻擊Windows 2020 系統(tǒng)，使系統(tǒng)重啟到另一個(gè)缺乏安全設(shè)置的操作系統(tǒng)進(jìn)行破壞，將操作系統(tǒng)文件所在分區(qū)與 WEB 數(shù)據(jù)（包括其他應(yīng)用程序）所在的分區(qū)分開(kāi)，并在安裝時(shí)使用其自定義的目錄，以免攻擊者利用應(yīng)用程序的漏洞（如微軟的 IIS 漏洞）導(dǎo)致系統(tǒng)文件的泄露，甚至讓入侵者遠(yuǎn)程獲取管理員權(quán)限，不安裝與 WEB 站點(diǎn)服務(wù)無(wú)關(guān)的軟件，安裝操作系統(tǒng)最新的補(bǔ)丁程序，否則黑客可能會(huì)利用低版本的補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅，另外也給病毒帶來(lái)可乘之機(jī)。 關(guān)閉 Windows2020 不必要的服務(wù) Windows2020 系統(tǒng)中包括許多服務(wù)，而這些服務(wù)可能包含各種安全漏洞，如：甲服務(wù)器能 暴漏 賬號(hào)信息，乙服務(wù)在已知賬號(hào)名稱(chēng)的情況下可以取得賬號(hào)的密碼。其次，不同的軟件在同一系統(tǒng)下運(yùn)行時(shí)，可能會(huì)產(chǎn)生一定的沖突，從而產(chǎn)生新的漏洞，而這些漏洞是未知的。 167。方法“設(shè)置 → 控制面板 → 網(wǎng)絡(luò)連 接 → 本地連接 → 屬性→ TCP/IP→ 屬性 → 高級(jí) → WINS→ 禁用 TCP/IP 上的 NetBIOS。 圖 31禁用不必要協(xié)議 167。其 他磁盤(pán)可以此為參照，當(dāng)某些第三方應(yīng)用程序以服務(wù)形式啟動(dòng)時(shí)，需加 system 用戶(hù)權(quán)限，否則啟動(dòng)不成功。 關(guān)閉不必要的端口及 更改遠(yuǎn)程連接端口 在 Inter 上，各 主機(jī) 間通過(guò) TCP/IP 協(xié)議發(fā)送和接收 數(shù)據(jù)包 ，各個(gè)數(shù)據(jù)包根據(jù)其目的主機(jī)的 IP 地址來(lái)進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇。問(wèn)題出在哪里呢 ?我們知道大多數(shù) 操作系統(tǒng) 都支持多 程序 （進(jìn)程）同時(shí)運(yùn)行，那么目的主機(jī)應(yīng)該把接收到的數(shù)據(jù)包傳送給眾多同時(shí)運(yùn)行的進(jìn)程中的哪一個(gè)呢？顯然這個(gè)問(wèn)題有待解決，端口機(jī)制便由此被引入進(jìn) 來(lái) 。當(dāng)目的主機(jī)接收到數(shù)據(jù)包后，將根據(jù) 報(bào)文 首部的目的端口號(hào)，把數(shù)據(jù)發(fā)送到相應(yīng)端口，而與此端口相對(duì)應(yīng)的那個(gè)進(jìn)程將會(huì)領(lǐng)取數(shù)據(jù)并等待下一組數(shù)據(jù)的到來(lái)。我們都知道，提供服務(wù)就一定有服務(wù)軟件的漏洞，根據(jù)這些，攻擊者可以達(dá)到對(duì)目標(biāo)計(jì)算機(jī)的初步了解。這兩種情況都是很危險(xiǎn)的，說(shuō)到底，就是管理員不了解服務(wù)器提供的服務(wù)，減小了系統(tǒng)安全系數(shù)。常用端口 (見(jiàn) 圖32).關(guān)閉端口具體操作如下。 圖 33 關(guān)閉不必要端口 更 改 遠(yuǎn) 程 連 接 端 口 ： 開(kāi) 始 → 運(yùn)行 → 輸入 regedit 查找 3389 ：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp 下的 PortNumber=3389 改為自寶義的端口號(hào)并重新啟動(dòng)服務(wù)器 （如圖 34 所示 ） 。 限制匿名訪(fǎng)問(wèn)本機(jī)用戶(hù) “ 開(kāi)始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 對(duì)匿名連接的額外限制 ”→ 在下拉菜單中選擇 “ 不允許 SAM 賬 戶(hù)的匿名枚舉 ”→“ 確定 ” （ 如 圖 35 所示 ） 。 限制遠(yuǎn)程用戶(hù)對(duì)光驅(qū)或軟驅(qū)的訪(fǎng)問(wèn) “ 開(kāi)始 ”→“ 程序 ”→“ 管理工具 ”→“ 本地安全策略 ”→“ 本地策略 ”→“ 安全選項(xiàng) ”→ 雙擊 “ 只有本地登錄用戶(hù)才能訪(fǎng)問(wèn)軟盤(pán) ”→ 在單選按鈕中選擇 “ 已啟用 (E)” → “ 確定 ” （操作如圖 36 所示） 。 限制 NetMeeting 及 禁用 NetMeeting 運(yùn)行 “” →“ 計(jì)算機(jī)配置 ”→“ 管理模板 ”→“Windows 組件 ” →“NetMeeting” →“ 禁用遠(yuǎn) 程桌面共享 ”→ 右鍵 → 在單選按鈕中選擇 “ 啟用(E)”→“ 確定 ” （操作如圖 37所示 ） 。 注 冊(cè)表防止小規(guī)模 DDOS 攻擊 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值 名為 SynAttackProtect 數(shù)值為 1（操作如圖 38所示 ） 。 防火墻及自動(dòng)更新設(shè)置 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大 地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。如防火墻可以禁止諸如眾所周知的不安全的 NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻應(yīng)該可以拒絕所有以上類(lèi)型攻擊的報(bào)文并通知防火墻管理員。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。 如果所有的訪(fǎng)問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪(fǎng)問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。而網(wǎng) 絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。 經(jīng)常對(duì)服務(wù)器進(jìn)行定期的掃描殺毒等。 310 開(kāi)啟自動(dòng)更新 3．防火墻的安全設(shè)置。另一種是我們?cè)诶膺x項(xiàng)卡中手動(dòng)添加 ， 自動(dòng)添加這里不再 多說(shuō) 。添加端口的方式非常簡(jiǎn)單，點(diǎn)擊添加端口，然后給這個(gè)要開(kāi)放端口起個(gè)名字，比如這個(gè)端口是被 使用的，我們就可以起個(gè)名字叫 ，然后填上對(duì)應(yīng)的端口號(hào)如 8000，接著選擇通訊協(xié)議，默認(rèn)只有 TCP 和 UD