WEB服务器安全毕业设计.doc

xx 学院毕业设计论文 i 安全计算机机房的构建与评测web 服务器安全部分 摘 要 随着计算机普及、互联网 internet 飞速发展，许多企业都开发了自己的 web 网 站。web 服务器是 intranet（企业内部网）网站的核心，其中的数据资料非常重要， 一旦遭到破坏将会给企业造成不可弥补的损失，管理好、使用好、保护好 web 服务 器中的资源，是一项至关重要的工作。安全部署 web 服务器是企业面临的一项重要 工作，其中系统安装、安全策略和 iis 安全策略对企业 web 服务器安全、稳定、高 效地运行至关重要，该文是基于 windows 2003 平台来介绍。 关键词：web，服务器安全，协议安全，iis 设置 xx 学院毕业设计论文 ii the security of the computer room construction and evaluation-web server security section abstract with the popularization of computers, the internet internet rapid development, many companies have developed their own web site. the web server is intranet ( intranet ) sites on the core, wherein the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the web server resources, is an important task. deployment of the security web server is an enterprise is facing an important task, the system installation, security policy and security strategy of enterprise iis web server security, stable, efficient operation is very important, this article is based on the windows 2003 platform to introduce. keywords: web, server security, security protocol, iis set xx 学院毕业设计论文 iii 目录 第 1 章 前言.1 1.1 本文目的及意义1 1.2 本文主要内容1 第 2 章 web 服务器介绍2 2.1 web 服务器概念2 2.2 web 服务器存在的安全问题2 第 3 章 web 服务器安全设置4 3.1 选用 ntfs 文件系统4 3.2 选用单操作系统4 3.3 关闭 windows2003 不必要的服务5 3.4 禁用不必要的协议5 3.5 设置磁盘访问权限5 3.6 关闭不必要的端口及更改远程连接端口6 3.7 限制匿名访问本机用户8 3.8 限制远程用户对光驱或软驱的访问8 3.9 限制 netmeeting 及禁用 netmeeting.9 3.10 注册表防止小规模 ddos 攻击9 3.11 防火墙及自动更新设置.10 第 4 章 iis 策略应用.13 4.1 不使用默认的 web 站点将 iis 与系统盘分开.13 4.2 删除不要的 iis 扩展名映射.13 4.3 更改 iis 日志的路径.13 4.4 只选择网站和 web 所必需的服务和子组件.14 4.5 删除未使用的帐户及设置强密码14 4.6 使用应用程序池.15 4.7 将网站或应用程序分配到应用程序池.16 第 5 章 web 服务器安全评测17 结束语.20 参考文献.21 致 谢.22 xx 学院毕业设计论文 1 第 1 章 前言 1.1 本文目的及意义 随着计算机技术的突飞猛进，计算机网络的日新月异，网络已经深入到我们生 活的各个角落。小到个人的生活、工作，大至国家的发展以致整个文明的进步。计 算机网络在扮演着越来越重要的角色，越来越多的企业及个人都开发了自己的 web 网站。然而，在如今技术发达的时代，随着互联网技术的发展黑客越来越猖獗。web 服务器被攻击，网站首页被篡改，各种各样的不安全因素存在我们周围，如何更好 的保证 web 服务器安全更好的防止黑客的入侵、攻击是每一个人都很关心的话题。 可是我们如何确定采取的措施能够创建一个安全的 web 服务器，使其不太可能受到 外部黑客或内部不良分子的破坏呢？本文以 windows 系统为基础进行表述。 1.2 本文主要内容 web 服务器存在的安全问题从来就不是独立的，系统漏洞，系统权限，网络环境 （如 arp 等）、网络端口管理以及来自 web 服务器应用的安全，iis 本身的配置、权 限等，这个直接影响访问网站的效率和结果。 本文介绍了什么是 web 服务器，web 服务器安装需要注意的问题以及如何更好的 保证 web 服务器的安全。 xx 学院毕业设计论文 2 第 2 章 web 服务器介绍 2.1 web 服务器概念 web 服务器是指驻留于因特网上某种类型计算机的程序。当 web 浏览器（客户端） 连到服务器上并请求文件时，服务器将处理该请求并将文件发送到该浏览器上，附 带的信息会告诉浏览器如何查看该文件（即文件类型） 。服务器使用 http（超文本传 输协议）进行信息交流，这就是人们常把它们称为 http 的服务器的原因，web 服务 器应用实例如图 1-1 所示。 图 1-1 web 服务器的应用 web 服务器不仅能够存储信息，还能在用户通过 web 浏览器提供的信息的基础上 运行脚本和程序。 2.2 web 服务器存在的安全问题 internet 的发展给企业和个人带来了革命性的改革和开放。他们正努力通过利 用 internet 来提高办事效率和市场反应速度，以便更具竞争力。通过 internet，企 业可以从异地取回重要数据，同时又要面对 internet 开放带来的数据安全的新挑战 和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保 护企业的机密信息不受黑客和工业间谍的入侵。 xx 学院毕业设计论文 3 随着 internet 的广泛应用，许多企业开发了自己的 web 网站。然而由于人为的 无意失误，黑客的恶意攻击，以及借助网络及系统软件的漏洞和“后门”进行捣乱 的各种病毒等，使得开发的网站存在多方面的安全问题。要保证企业的 web 网站的 安全，仅选择一个适合企业特点的防火墙、适合 win2003 的杀毒软件是不够的。更 主要的要在企业内部 web 服务器的安装、设置等方面多做文章，以提高网站自身的 免疫力。 xx 学院毕业设计论文 4 第 3 章 web 服务器安全设置 由于本篇文章以 windows 为基础进行研究的，所以在此 linux 系统不再叙述。 windows 系统是企业网站的基础，只有充分利用其自身的功能实现对系统的安全控制 才能保证网站及数据的安全。 3.1 选用 ntfs 文件系统 ntfs 文件系统比 fat 系统多了安全控制功能，可以对不同的文件夹设置不同的 访问权限，因此拥有更强大的安全性。需要注意的是，目前大多数反病毒软件没有 提供对软盘启动后 ntfs 分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不 能正常启动时，后果比较严重，因此平时应做好病毒的预防及系统的备份工作。另 外将系统盘与网站程序分开放置。 3.2 选用单操作系统 作为 web 服务器的计算机不要安装多种操作系统，否则黑客会利用其攻击 windows 2003 系统，使系统重启到另一个缺乏安全设置的操作系统进行破坏，将操 作系统文件所在分区与 web 数据（包括其他应用程序）所在的分区分开，并在安装 时使用其自定义的目录，以免攻击者利用应用程序的漏洞（如微软的 iis 漏洞）导 致系统文件的泄露，甚至让入侵者远程获取管理员权限，不安装与 web 站点服务无 关的软件，安装操作系统最新的补丁程序，否则黑客可能会利用低版本的补丁的漏 洞对系统造成威胁，另外也给病毒带来可乘之机。 xx 学院毕业设计论文 5 3.3 关闭 windows2003 不必要的服务 windows2003 系统中包括许多服务，而这些服务可能包含各种安全漏洞，如：甲 服务器能暴漏账号信息，乙服务在已知账号名称的情况下可以取得账号的密码。当 这两种服务都开通时，系统也就被攻破。其次，不同的软件在同一系统下运行时， 可能会产生一定的冲突，从而产生新的漏洞，而这些漏洞是未知的。因此，作为 web 网站的 win2003 系统，必须停掉没有用的服务。 3.4 禁用不必要的协议 netbios 协议在 web 服务器上是黑客扫描工具的首选目标，因此，必须解除 netbios 与 tcp/ip 协议的绑定。方法“设置控制面板网络连接本地连接属 性tcp/ip属性高级wins禁用 tcp/ip 上的 netbios。另外， netbios、ipx/spx 协议对 web 网站也没有任何用处，只会被某些黑客工具利用，也 必须禁用或删除（操作如图 3-1）。 图 3-1 禁用不必要协议 3.5 设置磁盘访问权限 系统磁盘只赋予 administrators 和 system 权限，系统所在目录（默认时为 xx 学院毕业设计论文 6 windows）要加上 users 的默认权限，以保障 asp 和 aspx 等应用程序正常运行。其 他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时，需加 system 用户 权限，否则启动不成功。 3.6 关闭不必要的端口及更改远程连接端口 在 internet 上，各主机间通过 tcp/ip 协议发送和接收 数据包，各个数据包 根据其目的主机的 ip 地址来进行互联网络中的路由选择。可见，把数据包顺利的 传送到目的主机是没有问题的。问题出在哪里呢 ?我们知道大多数 操作系统都支 持多程序（进程）同时运行，那么目的主机应该把接收到的数据包传送给众多同 时运行的进程中的哪一个呢？显然这个问题有待解决，端口机制便由此被引入进 来。 本地操作系统会给那些有需求的进程分配协议端口（ protocol port，即我 们常说的端口） ，每个协议端口由一个正整数标识，如： 80，139，445，等等。 当目的主机接收到数据包后，将根据 报文首部的目的端口号，把数据发送到相应 端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。 如果攻击者使用软件扫描目标计算机，得到目标计算机打开的端口，也就了 解了目标计算机提供了哪些服务。我们都知道，提供服务就一定有服务软件的漏 洞，根据这些，攻击者可以达到对目标计算机的初步了解。如果计算机的端口打 开太多，而管理者不知道，那么，有两种情况：一种是提供了服务而管理者没有 注意，比如安装 iis 的时候，软件就会自动增加很多服务，而 管理者可能没有 注意到；一种是服务器被攻击者安装 木马，通过特殊的端口进行通信。这两种情 况都是很危险的，说到底，就是管理员不了解服务器提供的服务，减小了系统安 全系数。 xx 学院毕业设计论文 7 图 3-2 常用端口 常用端口图 3-2 在缺省情况下，所有的端口将对外开放，而有些黑客工具可以 扫描那些可以利用的端口，所以为了系统安全关闭不用的端口为最佳。常用端口(见 图 3-2).关闭端口具体操作如下。 本地连接属性internet 协议(tcp/ip) 属性高级选项tcp/ip 筛选 属性把勾打上，操作如图 3-3，添加需要的端口(如: 21、80)。 图 3-3 关闭不必要端口 更改远程连接端口：开始运行输入 regedit 查找 3389：将 hkey_local_machinesystemcurrentcontrolsetcontrolterminalserverwdsrd pwdtdstcp 和 hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp 下的 portnumber=3389 改为自宝义的端口号并重新启 动服务器（如图 3-4 所示）。 xx 学院毕业设计论文 8 图 3-4 更改远程端口 3.7 限制匿名访问本机用户 “开始”“程序”“管理工具”“本地安全策略”“本地策略” “安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许 sam 账户的匿名枚举”“确定”（如图 3-5 所示）。 图 3-5 限制匿名用户 3.8 限制远程用户对光驱或软驱的访问 “开始”“程序”“管理工具”“本地安全策略”“本地策略”“ 安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启 用(e)” “确定” （操作如图 3-6 所示）。 xx 学院毕业设计论文 9 图 3-6 限制远程用户对光驱软驱访问 3.9 限制 netmeeting 及禁用 netmeeting 运行“gpedit.msc” “计算机配置”“管理模板”“windows 组件” “netmeeting” “禁用远程桌面共享”右键在单选按钮中选择“启用(e)” “确定”（操作如图 3-7 所示）。 图 3-7 限制共享 3.10 注册表防止小规模 ddos 攻击 hkey_local_machinesystemcurrentcontrolsetservicestcpipparameter s 新建 “dword 值“名为 “synattackprotect“ 数值为“1“（操作如图 3-8 所示）。 xx 学院毕业设计论文 10 图 3-8 更改 dword 值 3.11 防火墙及自动更新设置 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并 通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防 火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的 nfs 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部 网络。防火墙同时可以保护网络免受基于路由的攻击，如 ip 选项中的源路由攻击和 icmp 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知 防火墙管理员。 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身 份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防 火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份 认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志 记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行 适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的 使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击 者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分 析和威胁分析等而言也是非常重要的。 1安装企业级 360 软件如图 3-9 所示。经常对服务器进行定期的扫描杀毒等。 xx 学院毕业设计论文 11 图 3-9 360 安装 2开启自动更新，网上邻居-属性-本地连接-属性-高级-设置，如图 3-10 所示。 3-10 开启自动更新 3防火墙的安全设置。 添加防火墙规则有两种方法，一种是通过 windows 安全警报对话框，windows 防火墙中的通知机制允许本地管理员在得到相应提示后自动将新程序添加到例外程 序列表。另一种是我们在例外选项卡中手动添加，自动添加这里不再多说。手动添 加也有两种方式，一种是添加程序的文件名，一种是添加端口。添加端口的方式非 常简单，点击添加端口，然后给这个要开放端口起个名字，比如这个端口是被 qq 使 用的，我们就可以起个名字叫 qq，然后填上对应的端口号如 8000，接着选择通讯协 议，默认只有 tcp 和 udp，选择好后单击确定，一条防火墙规则就创建完成了。如图 3-11 所示。 xx 学院毕业设计论文 12 图 3-11 添加端口 事实上这就是我们的防火墙规则，每创建一条允许或禁止的防火墙规则都会被 放入列表中，每条规则前面的复选框的状态，打勾表明这是条允许规则，清空表明 这是条禁止规则。默认情况下系统有四条配置好的访问规则，如图 3-12 所示，其中 远程协助是默认允许的。点击添加程序按钮，然后选择一个合适的程序。当然，可 能列表中没有您想要的程序，这时您可以单击浏览并定位到程序的具体位置把它添 加进来。以后，当程序运行时，windows 防火墙会监视程序侦听的端口，并把它们 自动添加到例外通信的列表中。这个方式创建的规则将更具灵活性和简易性。并且 只有在应用程序与外部通信时端口才是开放的，一旦连接断开，端口也会随之关闭。 这比通过直接添加端口的方式安全性要高很多。 图 3-12 添加程序规则 经过这些设置 web 服务器安全就有了基本的安全保障，另外需要更多的技术设 备上的发展才能满足更多企业及个人用的对安全的需求。 xx 学院毕业设计论文 13 第 4 章 iis 策略应用 4.1 不使用默认的 web 站点将 iis 与系统盘分开 将网站内容移动到非系统驱动器，不使用默认的 inetpubwwwroot 目录，以 减轻目录遍历攻击（这种攻击试图浏览 web 服务器的目录结构）带来的危险（一定 要验证所有的虚拟目录是否均指向目标驱动器）。 4.2 删除不要的 iis 扩展名映射 右键单击“默认 web 站点属性主目录配置”，打开应用程序窗口，去掉 不必要的应用程序映射，主要为 shtml、shtm、stm（如图 4-1 所示）。 图 4-1 删除 iis 映射 4.3 更改 iis 日志的路径 右键单击“默认 web 站点属性网站在启用日志记录下点击属性更改设 置（操作如图 4-2 所示）。 xx 学院毕业设计论文 14 图 4-2 更改 iis 路径 4.4 只选择网站和 web 所必需的服务和子组件 开始控制面板 添加或删除程序添加/删除 windows 组件应用程序服务 器详细信息 internet 信息服务 (iis) 详细信息然后通过选择或清除相应 组件或服务的复选框，来选择或取消相应的 iis 组件和服务。 iis 子组件和服务 的推荐设置；禁用后台智能传输服务 (bits) 服务器扩展、ftp 服务、frontpage 2 002 server extensions、internet 打印、nntp 服务。启用公用文件、internet 信息服务管理器、万维网服务（操作如图 4-3 所示） 。 图 4-3 选择组件 4.5 删除未使用的帐户及设置强密码 避免攻击者通过使用以高级特权运行的帐户来获取未经授权的资源访问权。 限 制对服务器的匿名连接，确保禁用来宾帐户；重命名管理员帐户并分配一个强密码 xx 学院毕业设计论文 15 以增强安全性，重命名 iusr 帐户。 在 iis 元数据库中更改 iusr 账户的值： “管理工具”“internet 信息服 务 (iis) 管理器” 右键单击“本地计算机”“属性”选中“允许直接编辑 配置数据库”复选框“确定” 浏览至 metabase.xml 文件的位置，默认情况下 为 c:windowssystem32inetsrv 右键单击 metabase.xml 文件“编辑” 搜索“anonymoususername”属性，键入 iuser 账户的新名称在“文件”菜单上 单击“退出”单击“是” （操作如图 4-4、4-5 所示） 。 图 4-4 更改 iuser 帐户值 图 4-5 更改 iuser 帐户值 4.6 使用应用程序池 应用程序池用来隔离应用程序，提高 web 服务器的可靠性和安全性。创建应 用程序池： “管理工具”“internet 信息服务 (iis) 管理器” 本地计算机 右键单击“应用程序池”“新建”“应用程序池”在“应用程序池 id”框 xx 学院毕业设计论文 16 中，为应用程序池键入一个新 id“应用程序池设置” “use default settings for the new application pool” （使用新应用程序池的默认设置） “确定” （操作如图 4-6 所示） 。 图 4-6 应用程序池的设置 4.7 将网站或应用程序分配到应用程序池 因为应用程序池中的应用程序与其他应用程序被工作进程边界分隔，所以某 个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的 影响。 步骤：“管理工具”“internet 信息服务 (iis) 管理器” 右键单击您 想要分配到应用程序池的网站或应用程序“属性”“主目录” 、 “虚拟目录”或 “目录”选项卡，如果将目录或虚拟目录分配到应用程序池，则验证“应用程序名” 是否包含正确的网站或应用程序名称， （如果在“应用程序名”框中没有名称，则单 击“创建” ，然后键入网站或应用程序的名称）“应用程序池”列表框单击您想 要分配网站或应用程序的应用程序池的名称“确定” 。 经过以上设置， web 服务器安全性有了很大的提升，但一些不法攻击者会不断 寻找新漏洞来攻击 web 服务系统，所以我们一定要养成及时修补系统漏洞的习惯， 并不断提高管理人员的网络技术水平，确保 web 服务器有一个安全、稳定、高效的 运行环境。 xx 学院毕业设计论文 17 第 5 章 web 服务器安全评测 经过以上设置服务器的所有分区均采用了 ntfs 格式进行设置并且系统盘与网站 程序分开放置这样可以确保系统盘的纯净，避免感染病毒的机会。开启防火墙能确 保基本的防毒，安装自动更新能及时的检查系统及时更新微软发布的安全补丁，及 时给系统填补漏洞。仅安装必要的 iis 组件，开启必要的端口及协议防止黑客利用 扫描工具进行扫描。设置用户权限，可以防止非法用户的进入。设置相应的策略审 核，可以及时的记录系统的状态，事件的发生。经过这些设置，一个基本安全的服 务器就正常运行了。 经过自动更新的设置，一旦微软有新的漏洞补丁发布如图 5-1 所示，服务器立 即就会自动更新，防止部分不法分子利用漏洞就行服务器扫描攻击等。 图 5-1 自动修补漏洞 利用 x-scan 进行漏洞扫描，x-scan 是国内最著名的综合扫描器之一。它完全 免费，是不需要安装的绿色软件、界面支持中文和英文两种语言、包括图形界面和 命令行方式。主要由国内著名的民间黑客组织“安全焦点”完成，最值得一提的是， x-scan 把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级” 评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞，x-scan 运行于 windows 操作系统。采用多线程方式对指定 ip 地址段（或单机）进行安全漏洞检测， 具有插件功能。 安装 x-scan 后，对刚才设置过的服务器进行评测安全系数。首先获取服务器的 ip 地址，该服务器对应的网站为 ，首先在 ping 一些下这个域名以获 得该网站服务器的 ip 地址 69（如图 5-2 所示） 。. xx 学院毕业设计论文 18 图 5-2 获取服务器的 ip 地址 参数设置，双击 xscan_gui，会打开 x-scan v3.2 gui 的界面，点击设置-扫描 参数，设置要扫描网络的 ip 地址，也可以是地址段，把得到的信息工程学院的 ip 地址 0 填到指定 ip 地址范围处。再对“全局设置”和“插件设置”进 行相关的设置，界面如图 5-3 所示。点击“确定” ，返回到 x-scan v3.2 gui 的界面。 图 5-3 x-scan 界面 扫描，点击工具栏上的开始按钮，就进行扫描了，这时，在进程里会出现 10 个 checkhost.exe 进程，扫描是会出现如图 5-4 画面。 图 5-2 扫描界面 这是加载攻击测试脚本的界面，只有把所有的脚本文件都加载进去，才能进行 全面而准确的扫描。 xx 学院毕业设计论文 19 以下图 5-5 所示是正式扫描的界面，对相应的端口和服务等进行扫描。 图 5-3 正式扫描 当扫描完成后，会自动生成被检测主机的详细漏洞信息的报表，报表的上部给 出了扫描时间，检测结果，主机列表，分析主机：69，四项信息，如图 给出了安全设置前后扫描信息对比如图 5-6 及 5-7 所示。 图 5-4 服务器没有安全设置前扫描信息 图 5-7 安全设置后的扫描信息 结果分析从报表可以看到，报表给出了 10 个提示数量，3 个