版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第07章Web服务器的组建与
安全管理
本章将重点讲解如何通过IIS、Apache架设、设置Web服务器。7.1
初识Web服务器
Web服务器又被称为WWW(WorldWideWeb)服务器,它在网络中是为实现信息发布、资料查询、数据处理等诸多应用搭建基本平台的服务器。在Web服务器的Web页面上进行处理时大致可分为三个步骤:第一步,Web浏览器向一个特定的服务器发出Web页面请求。第二步,Web服务器接收到Web页面请求后,寻找所请求的Web页面,并将所请求的Web页面传送给Web浏览器。第三步,Web服务器接收到所请求的Web页面,并将它显示出来。
7.2IIS下组建Web服务
Web服务器是目前最为流行的服务器平台之一,在Internet中发挥着巨大的作用。因此,利用IIS组建一台高安全、高性能的Web服务器显得尤为重要。
Web服务的安装
建立第一台Web服务器
在一台服务器上实现多个Web站点实现授权/拒绝用户访问Web服务器实现IP地址授权/拒绝访问Web服务器自定义错误信息
管理Web服务器的日志
Web服务器其他设置创建虚拟目录
安装FrontPage2000服务器扩展通过浏览器远程管理Web服务器利用NAT技术实现外网访问内网Web服务器AdminScripts下的部分工具使用打造安全的IIS服务器
7.2.1Web服务的安装
(1)单击【开始】按钮,选择【控制面板】→【添加/删除程序】→【添加/删除Windows组件】。(2)在打开的【Windows组件向导】对话框中的“组件”列表框中双击打开【Internet信息服务(IIS)】组件。
(3)在【Internet信息服务(IIS)】对话框中,选择列表框中的【WorldWideWeb服务器】子组件,单击【确定】按钮开始安装Web服务。(4)经过3~5分钟的安装,Web服务便可安装完成。
(5)Web服务安装完成后,便会在【管理工具】对话框中显示一个【Internet服务管理器】快捷图标,而Web服务就包含在【Internet服务管理器】中。(6)当【Internet服务管理器】安装完成后,它还会在C盘自动建立一个名为Inetpub的目录,该文件夹所包含的就是IIS相关服务的默认目录,例如Web服务器默认存放网页的目录wwwroot及管理IIS服务的AdminScripts目录等。
7.2.2建立第一台Web服务器
(1)单击【开始】按钮,选择【控制面板】→【管理工具】,双击打开【Internet服务管理器】。(2)依次展开【Internet信息服务】窗口中【树】标签下的【Internet信息服务】→flyingfox(本地计算机名),可以看到共有两个目录【默认Web站点】、【管理Web站点】。对于要组建的Web站点,可以对现有的【默认Web站点】作相应的修改后,轻松实现。在【默认Web站点】上右击,在弹出的快捷菜单中选择【属性】命令。
(3)在【默认Web站点属性】对话框中,选择【Web站点】选项卡,在【Web站点标识】选项组中的【IP地址】下拉列表框中输入本机的IP地址“2”。在【TCP端口】文本框中,系统默认为80,也就是说用户只需通过浏览器输入你的域名,如“”,便能对该站点进行访问,如果把该TCP端口修改成其他的端口号,如改为“8080”,那么在访问该站点时,必须在浏览器地址中输入“http://+域名+端口号”,如“:8080”。(4)在【默认Web站点属性】对话框中,选择【主目录】选项卡,在【本地路径】文本框中输入网页所存放的路径“C:\54hack”。
(5)添加默认文档就是指在访问2时打开的首页,在【默认Web站点属性】对话框中,选择【文档】选项卡,单击【添加】按钮,在弹出的【添加默认文档】中输入网站的默认文档名“index.htm”,然后单击【确定】按钮即可完成添加。
(6)双击桌面上的InternetExplorer程序,在浏览器的【地址】下拉列表框中输入新Web站点的URL(域名或者IP地址,在这里我们的Web服务器地址为2,因此在浏览器的【地址】下拉列表框中输入“2”),然后按回车键,即可访问该Web服务器。如果可以打开Web服务器中的文件,表示Web服务器设置成功。如果出现【找不到服务器】,则表示测试失败,请检查服务器是否连入网络、Web服务器是启动、Web服务器是否设置正确、输入的Web服务器地址是否正确等,便能排除故障,成功访问Web站点。
7.2.3在一台服务器上实现多个Web站点
本节将重点介绍通过在IIS中更改TCP端口法、设置主机头名法在一台服务器上实现多个Web站点。在IIS中,每个Web站点都是以IP地址、端口号、主机头名3个部分来标识,用来接收客户端访问请求的。
更改TCP端口法主机头名法IP地址法
(1)在【Internet信息服务】窗口下的【树】标签中,右击flyingfox(本地计算机名),在弹出的快捷菜单中选择【新建】→【Web站点】命令。(2)在“Web站点创建向导”对话框中。单击【下一步】按钮继续以下的操作。
(3)在【说明】文本框中输入所要创建站点的说明文字,在这里输入要创建的单位网站域名为“”。单击【下一步】按钮继续以下的操作。(4)在【输入Web站点使用的IP地址】文本框中输入本机IP地址“2”,在【此Web站点应使用到的TCP端口】中为默认端口80(在创建A部门站点时,要将此端口设置为81,依次类推)。单击【下一步】按钮继续以下的操作。
(5)在【路径】文本框中输入站点的主目录路径“C:\Web\net”。单击【下一步】按钮继续以下的操作。(6)在这一步骤中我们无须作任何更改。单击【下一步】按钮继续以下的操作。
(7)完成Web站点创建,如图7-30所示。单击【完成】按钮,退出Web站点创建向导,回到“Internet信息服务”窗口。
(1)在域名服务商的网站中将单位网站的域名和其他3个部门网站的域名共同指向在同一台服务器的IP地址2上。(2)参照前面更改TCP端口法,在【Internet信息服务】窗口中分别建立单位及部门的Web站点,在【IP地址和端口设置】这步骤中,只需在【此站点的主机头】文本框中分别输入各自的域名,然后再选择Web站点的主目录,设置好访问权限,便可实现“一机多站”。(3)单位及部门的Web站点建立完成后。
(4)如果要重新配置某一Web站点的主机头名,只需在【Internet信息服务】窗口中,右击要更改主机头名的Web站点,在弹出的快捷菜单中选择【属性】命令。在【Web站点属性】对话框中选择【Web站点】选项卡,然后单击【Web站点标识】中的【高级】按钮,在【高级多Web站点配置】对话框中,便可以对该Web站点的主机头名进行重新配置。
(1)单击【开始】按钮,选择【设置】→【控制面板】,双击打开【网络和拨号连接】。(2)在【网络和拨号连接】对话框中,右击【本地连接】,在弹出的快捷菜单中选择【属性】命令。
(3)在【本地连接属性】对话框中,选择【此连接使用下列选定的组件】列表框中的【Internet协议(TCP/IP)】组件,然后单击【属性】按钮。(4)在【Internet协议(TCP/IP)属性】对话框中,单击下面的【高级】按钮。
(5)在打开的【高级TCP/IP设置】对话框中可以看到,在【IP地址】列表框中列出了网卡已设定的IP地址和子网掩码,此时可以通过单击【IP地址】列表框下面的【添加】按钮来添加其他3个合法IP地址及子网掩码。(6)在弹出的【TCP/IP地址】对话框中,分别在【IP地址】、【子网掩码】文本框中输入新的地址,如首先添加A部门网站()的IP地址“3”,子网掩码与原有的相同,然后单击【添加】按钮即可。重复此步骤,分别添加其他两个IP地址,即完成了多个IP地址的绑定操作。
(7)当所有站点的IP地址添加完成后,返回【高级TCP/IP设置】对话框中。接下来具体介绍如何在IIS里设置不同IP地址的Web站点。(8)参照前面更改TCP端口法,在【Internet信息服务】窗口中分别建立单位及部门的Web站点,在【IP地址和端口设置】这个步骤中,只需在【输入Web站点使用的IP地址】下拉列表中选择单位域名对应的IP地址即可,TCP端口保持默认的80,然后再选择Web站点的主目录,设置好访问权限,便可实现“一机多站”。
(9)该单位及其部门的Web站点建立完成后,“Internet信息服务”窗口。接下来我们可以通过在浏览器【地址栏】下拉列表框中输入网站的IP地址来测试Web站点配置是否正确。
7.2.4实现授权/拒绝用户访问Web服务器
(1)在IIS控制台中,双击左边窗口【树】标签下的站点,右击站点下的54hack.htm文件,在弹出的快捷菜单中选择属性命令。
(2)在弹出的【54hack.htm属性】对话框中,单击【文件安全性】标签,在【匿名访问和验证控制】选项组中单击【编辑】按钮。(3)在【验证方法】对话框中,默认情况下为匿名访问54hack.htm页面,即访问该页时不需要用户名及密码。现在取消选中【匿名访问】复选框,即要通过用户名和密码才能访问该页。例如,现在在Web服务器上创建一个名为“flyingfox”,密码为“123456”的用户,将此用户名及密码提供给授权用户,授权用户便可利用flyingfox这个用户名来访问54hack.htm了,单击【确定】按钮完成设置。
(4)当访问54hack.htm页面时,系统会弹出一个【输入网络密码】对话框,要求用户输入【用户名】、【密码】、【域】(在这里我们没有设置域,因此不用输入域名称)。当授权用户输入正确的【用户名】、【密码】后,单击【确定】按钮,即可查看54hack.htm页面。
(5)如果输入了错误的用户名和密码,系统将出现401.2错误提示,网页中显示【您没有权限查看该网页】的页面。
7.2.5实现IP地址授权/拒绝访问Web服务器
(1)在IIS控制台中,右击左边窗口【树】标签下的【】站点,在弹出的快捷菜单中选择【属性】命令。(2)在【属性】对话框中,选择【目录安全性】选项卡,在【IP地址及域名限制】选项组中单击【编辑】按钮。
(3)在弹出的【IP地址及域名限制】对话框中,通过选中【授权访问】、【拒绝访问】复选框来限制、授权IP地址访问Web服务器。(4)选中【授权访问】复选框,然后单击【添加】按钮,在弹出的【拒绝以下访问】对话框中的【类型】选项组中选择【单机】单选按钮,在【IP地址】文本框中输入被拒绝访问的IP地址“2”。单击【确定】按钮回到【IP地址及域名限制】对话框,可以看到IP地址为2已被添加到拒绝访问列表框中,此时计算机IP地址为2的用户将无法访问该站点。
(5)选中【拒绝访问】复选框,然后单击【添加】按钮,在弹出的【授权以下访问】对话框中的【类型】选项组中选择【单机】单选按钮,在【IP地址】文本框中输入被授权访问的IP地址“5”。单击【确定】按钮回到【IP地址及域名限制】对话框,可以看到IP地址为5已被添加到授权访问列表框中,此时只有计算机IP地址为5的用户才能访问该站点。
(6)设置完成后,此时如果客户端在被阻止的IP范围内,或者不在允许的IP范围内,在浏览该网站时,系统将出现403.6错误提示,网页中将显示【您没有权限查看该网页】的页面。
7.2.6自定义错误信息
(1)在IIS控制台中,右击左边窗口【树】标签下的站点,在弹出的快捷菜单中选择【属性】命令。(2)在弹出的【属性】对话框中,选择【自定义错误信息】选项卡。
(3)在【自定义错误信息】选项卡中选择HTTP错误名称【404】,然后单击【编辑属性】按钮来更改发生404错误后返回的无法找到网页的错误信息。(4)在弹出的【错误映射属性】对话框中,可以看到404错误信息默认路径为C:\WINNT\help\iisHelp\common\404b.htm,单击【浏览】按钮选择自定义404错误信息的路径,在这里将制作好的404错误信息网页存放在C:\Web\54hack\error目录下,名称为404.htm,找到该文件后,单击【确定】按钮。
(5)编辑完成后,当客户端在打开该网站不存在的网页时,此时客户端的浏览器上将显示为刚才自定义的错误信息页面。
7.2.7管理Web服务器的日志
(1)在IIS控制台中,右击左边窗口【树】标签下的站点,在弹出的快捷菜单中选择【属性】命令。
(2)启动日志记录及日志格式。在弹出的【属性】对话框中,选择【Web站点】选项卡,此时如果选中【启用日志记录】(默认为启动)复选框,系统将会启用Web站点的日志记录功能。该功能可记录用户活动的细节并以所选择的格式创建日志。活动日志格式有4种,分别为MicrosoftIIS日志文件格式、NCSA公用日志文件格式、ODBC日志及W3C扩充日志文件格式。
(5)Web日志在默认情况下每天生成一个后缀为log的日志文件,它包含了该日的一切记录。如果使用默认的W3C扩充日志文件格式存放日志,文件名通常为ex(年份)(月份)(日期)。例如,ex030425,就是2003年4月25日产生的日志。
(6)Web日志分析辅助工具。在这里介绍一款国外的Web日志分析工具——逆火Web日志分析器,它拥有众多激动人心的功能。例如,可以生成超过80个以上的各种图表,并附带有多个三维统计图,这些报表将告诉管理员:有多少访客访问了该网站,访客都从哪里来,他们访问了哪些页面,访客在网站停留了多长时间;并且支持自动日志分析,还可进行时区调整,解决服务器与网络管理员所在地不在同一时区的问题,可以自动通过HTTP下载日志文件等;还有一个重要的特点就是具有非常容易操作的用户界面。(7)默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles目录下。黑客在入侵服务器后,为防止管理员追查到他的来源,会清除入侵记录,删除所有的日志文件。所以最好修改一下IIS的日志存放路径及修改日志访问权限,可以将日志访问权限设置为只有管理员才能访问。
7.2.8Web服务器其他设置
管理网站的关键首先是要对Web服务器的属性设置有全面的了解。下面介绍Web服务器的其他几个设置。
【操作员】选项卡
【性能】选项卡【ISAPI筛选器】选项卡【HTTP头】选项卡
通过该选项卡可以在Windows2000Server用户账号中指定对站点拥有操作权的用户账号,也可单击【添加】按钮,授权其他的用户管理站点。默认Administrators组的用户是系统管理员。
【性能】选项卡主要包括性能调整、启用带宽限制、启用进程限制。
设置用于处理HTTP请求过程中的对事件作出响应的程序,可单击“添加”按钮设置对应的响应程序。
【HTTP头】选项卡主要包含启动内容失效、自定义HTTP头、内容分级、MIME映射4个方面的设置。
7.2.9创建虚拟目录
(1)在IIS控制台中,右击要创建虚拟目录的站点,在弹出的快捷菜单中选择【新建】→【虚拟目录】命令。(2)在“虚拟目录创建欢迎向导”对话框中,单击【下一步】按钮继续以下的操作。
(3)在【别名】文本框中为虚拟目录输入一个名称,在这里输入“down”,单击【下一步】按钮继续以下的操作。(4)在【目录】文本框中输入虚拟目录对应的实际的物理路径(如C:\down),单击【下一步】按钮继续以下的操作。
(5)默认情况下只允许读取、运行脚本权限,在这里不作更改,单击【下一步】按钮继续以下的操作。(6)完成虚拟目录创建,单击【完成】按钮退出虚拟目录创建向导。
(7)返回IIS控制台后,可以看到在站点下已成功地创建了一个名为down的虚拟目录,而目录中的内容却是其实际路径中的内容。(8)在浏览器的“地址”下拉列表框中输入虚拟目录的名称及文件名,按回车键即可访问该虚拟目录中的文件。
7.2.10安装FrontPage2000
服务器扩展
服务器扩展是一组应用程序的组合,在Web站点中启用服务器扩展程序,可以增加Web站点原本没有的功能,让站点能够完全支持FrontPage所制作的网页。通过FrontPage服务器扩展,能够支持协同制作、站点计数器、电子邮件、表单处理以及直接在服务器计算机编辑Web站点的功能。如果缺少扩展服务,则发布网页的部分功能可能难以实现。接下来我们以Windows2000Server版本为例,具体看看如何安装、配置及安全设置ForntPage服务器扩展。FrontPage2000服务器扩展安装
FrontPage2000服务器扩展配置
FrontPage服务器扩展服务的安全
(1)将Windows2000安装盘插入光驱中,光盘自动运行后,会弹出一个MicrosoftWindows2000CD界面,单击【安装附加组件】。(2)在【Windows组件向导】对话框中的【组件】列表框中选择【Internet信息服务】选项,然后单击【详细信息】按钮。
(3)在弹出的【Internet信息服务】对话框中的列表框中选择【FrontPage2000服务器扩展】选项,单击【确定】按钮开始安装。(4)系统便会开始安装FrontPage2000服务器扩展服务。(5)经过2~5分钟便会安装完成。然后,单击【完成】按钮,退出安装界面。
(1)在IIS控制台中,右击要配置FrontPage2000服务器扩展的站点,在这里选择站点,在弹出的快捷菜单中选择【所有任务】→【配置服务器扩展】命令。(2)在【服务器扩展配置向导】对话框中,单击【下一步】按钮,继续以下的操作。
(3)选中【创建本地计算机用户组】复选框,输入“FrontPageADMIN”。单击【下一步】按钮,此时系统会创建管理员(FrontPageAdminadmins)、作者(FrontPageAdminauthors)和浏览者(FrontPageAdminbrowsers)3个具有不同访问权限的分组以供选择。此时可以通过单击【每组中的用户有什么权限】按钮,来查看每组的具体权限。
(4)指定管理此服务的管理员隶属Windows哪个组或用户账号,默认为Administrators组,即Administrators组具有完全控制该Web站点的权限。(5)一般情况下不需要利用邮件通知管理员扩展服务遇到的错误,可以不将SMTP服务器与服务器扩展程序集合在一起,在这里选择【不。我稍后再做。】单选按钮。单击【下一步】按钮继续以下的操作。
(6)完成服务器扩展配置向导后。单击【完成】按钮,退出【服务器扩展配置向导】对话框。(7)此时系统将会在站点的目录下生成一些以_vti_为目录名开头的FrontPage服务器扩展所必需的目录。
(1)在IIS控制台中,右击要修复FrontPage服务器扩展的站点,在这里选择站点的FrontPage服务器扩展,在弹出的快捷菜单中选择【所有任务】→【检查服务器扩展】命令。(2)接着系统会弹出一个【检查站点】对话框,并弹出一个对话框询问用户是否希望FrontPage尽可能地提高所有FrontPage站点的安全性吗?单击【是】按钮,系统便会开始检查此FrontPage站点的安全性。
(3)检查结束后,系统会自动生成检查日志。如果服务器存在FrontPage服务器扩展服务缺陷,系统会自动修复。
7.2.11通过浏览器远程管理
Web服务器
在IIS安装完成后,IIS控制台会自动生成一个名为【管理Web站点】的Web站点,此站点的作用就是微软公司为方便管理员管理而设置的又一功能,使管理员可以在任何地方通过Internet远程管理自己的Web站点,来达到和IIS管理器一样的操作目的。接下来介绍利用此功能如何实现Web服务的远程管理及安全。
实现Web服务的远程管理
远程管理Web站点的安全
(1)在IIS控制台中,右击【管理Web站点】,在弹出的快捷菜单中选择【属性】命令。(2)在打开的【管理Web站点属性】对话框中,我们可以看到在【Web站点标识】选项组中的【TCP端口】是6344,这个端口号是IIS在安装完成后随机生成的,就是用于远程管理的端口号,一般可以不用更改它。如果现在Web服务器的IP地址为5,那么它的远程管理Web服务的地址就是:5:6344。
(5)可以看到通过浏览器来远程管理Web服务具有一样的功能。例如,现在要管理站点,只需单击Web站点名称,便进入了此站点的管理界面。在浏览器中和在Web服务器上管理Web站点的方法是一样的,此处不再存赘述。
为了防止黑客的攻击,建议在使用Web服务的远程管理功能时参考以下设置。端口设置:不要将远程管理Web服务的端口号设为过于简单并易于猜解的数字,尽量设为不常见的端口号,越大越好,但要小于65535,这样黑客要花费好长时间去扫描。密码安全:提高密码强度,尽量使用字母和数字相结合的密码,一般不要小于8位,不要在公共上网场所来管理Web服务器,防止用户名、密码被盗取。指定特定的计算机:通过IIS控制台中的【目录安全性】,设置IP地址来指定特定的计算机远程管理Web服务。加密传输:为了防止黑客使用嗅探监听技术盗取用户名和密码,可以使用SSH来进行远程管理(关于SSH请参阅本书的“安全保护神SSL服务”部分内容)。
7.2.12利用NAT技术实现外网访问内网Web服务器
(1)单击【开始】按钮,选择【设置】→【控制面板】→【管理工具】,双击运行【路由和远程访问】程序。(2)在【路由和远程访问】窗口中,依次展开【FLYINGFOX(本地)】→【IP路由选择】。
(3)右击【IP路由选择】→【常规】,在弹出的快捷菜单中选择【新路由选择协议】命令。(4)在弹出的【新路由选择协议】对话框中的【路由选择协议】列表框中选择【网络地址转换】,然后单击【确定】按钮。
(5)返回【路由和远程访问】窗口,这时可以看到【网络地址转换】已被添加到【IP路由选择】中了。(6)右击【网络地址转换】,在弹出的快捷菜单中选择【新接口】命令。
(7)在【网络地址转换的新接口】对话框中的【接口】列表框中选择【本地连接】(也就是连向Internet的那个连接),然后单击【确定】按钮。(8)接着系统会弹出一个【网络地址转换-本地连接属性】对话框,在【常规】选项卡中选择【公用接口连接到Internet】单选按钮,并选中【转换TCP/UDP头(推荐)】复选框。
(9)在【地址池】选项卡中,单击【添加】按钮,在【添加地址池】对话框中输入服务商指定的外网IP地址,在这里,ISP为我们提供的InternetIP地址为6,添加完成后,单击【确定】按钮即可返回。
(10)在【特殊端口】选项卡中,单击【协议】下拉列表框,从中选择TCP协议,因为Web服务所使用的协议为TCP协议,然后单击【添加】按钮。
(11)接着系统会打开【编辑特殊端口】对话框,这里就是设置端口映射的核心了,把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置。由于设有【地址池】,所以可以在【公网地址】选项组中添上【地址池】中的任一地址,选择【在此地址池项】单选按钮,在其后的文本框中输入刚才在【地址池】选项卡中添加的外网IP地址“6”。在【传入端口】文本框中输入访客从外网访问有公网IP的NAT服务器的端口,可以根据情况来输入,在这里输入“8080”端口。【专用地址】即内网Web主机的IP地址,【传出端口】即内网Web主机所设定的端口,默认为80号端口,设置完成后,单击【确定】按钮返回。通过设置此选项,就是把主机6上的8080端口映射到内网Web服务器的80端口上。
(12)返回【路由和远程访问】窗口后,我们发现【本地连接】已被添加在【IP路由选择】下的【网络地址转换】列表框中,即刚才所设置的网络地址转换已经生效。(13)接下来我们以外网计算机2来访问6的8080端口。在浏览器的【地址】下拉列表框中输入“6:8080”,按回车键,可以成功访问网内Web服务器(2),从而实现了利用NAT技术实现外网访问内网Web服务器。
7.2.13AdminScripts下的部分
工具使用
IIS在默认安装完成后,就会在系统盘\Inetpub\AdminScripts文件夹下生成20个VBScripts程序。管理员可以利用VBScripts程序方便地管理IIS的相关功能及服务。
Findweb.vbsDisptree.vbsMkw3site.vbsMkwebdir.vbs
Pausesrv.vbsContsrv.vbs
Stopsrv.vbsStartsrv.vbs
Findweb.vbs程序用来显示Web站点的节点号、描述、主机名、端口及IP地址。如果要显示指定的站点,可以输入“Findweb.vbs”命令。
Disptree.vbs程序用来显示指定站点路径管理树。
Mkw3site.vbs程序用来创建Web虚拟站点。
Mkwebdir.vbs程序用来创建指定站点的虚拟目录。
Pausesrv.vbs程序可以暂停指定站点的IIS服务。
Contsrv.vbs程序可以恢复被暂停指定站点的IIS服务。
Stopsrv.vbs程序可以停止指定IIS的Web服务,它的使用同Pausesrv.vbs程序使用方法相同。
Startsrv.vbs程序可以启动已被停止的IIS的Web服务,它的使用方法同Contsrv.vbs程序使用方法相同。
7.2.14打造安全的IIS服务器
越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,究其原因,一个是人为的,也就是说管理员在安装、配置IIS的时候没有进行安全配置错误。另一个则是IIS本身存严重的漏洞,IIS存在的弊端日益被暴露出来,从而给黑客、病毒带来了方便之门。接下来我们以Windows2000为例,介绍如何打造一台安全IIS服务器。如何备份和还原IIS配置
让黑客的CGI扫描软件失效
删除无用的应用程序映射
删除不必要的虚拟目录
(1)打开【Internet信息服务】窗口中,右击【flyingfox】(本地计算机名),在弹出的快捷菜单中选择【备份/还原配置】命令。(2)在系统打开的【配置备份/还原】对话框中,单击【创建备份】按钮对IIS的当前配置进行备份操作。
(3)在【配置备份】对话框中的【配置备份名】文本框中为要备份的IIS输入一个备份名,在这里输入一个当前日期为备份名。(4)单击“确定”按钮返回【配置备份/还原】对话框后,我们发现已成功备份了IIS的当前配置。
(5)如果要还原IIS的备份,在【配置务份/还原】对话框单击要还原的位置后,单击【还原】按钮,此时系统会弹出一个询号对话框,提示:还原是一项耗时的操作,它将覆盖所有当前的设置并导致全部服务的停止和重新启动,确定要继续操作吗?此时如果要还原IIS的配置,单击【是】按钮。经过几十秒的等待后,系统会弹出一个对话框,显示操作成功完成,此时IIS将会被还原到以前的备份状态。
黑客的CGI扫描软件是专门用来扫描IIS服务器的漏洞的。为了对付日益增多的CGI漏洞扫描器,我们可以通过更改Web服务的【自定义错误信息】将HTTP的404出错页面通过URL重定向到一个定制的HTM文件上,这样可以让目前绝大多数CGI漏洞扫描器失灵。
(1)在【Internet信息服务】窗口中,右击,在弹出的快捷菜单中选择【属性】命令。(2)在打开的【属性】对话框中,选择【主目录】选项卡,然后单击【应用程序设置】选项组中的【配置】按钮。(3)在打开的【应用程序配置】对话框中删除无用的应用程序映射,如.ida、idq、.htw、.htr、.idc、.printer等映射。除了ASP这个程序映射,其他的文件在网站上都很少用到,所以凡是用不到的映射,都可以删除,因为这些映射在日常应用中根本用不到,反而给黑客入侵开了后门。
安装完IIS后,在Web站点下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC、Scripts等,这些目录都没有什么实际的作用,在Web站点中直接删除即可。
7.3用Apache组建Web服务
Apache是现在最流行的Web服务器软件之一,快速、可靠,可通过简单的API扩展。Perl/Python解释器可被编译到服务器中,完全免费,完全源代码开放,并且还具有较高的安全性能。如果需要创建一个每天有数百万人访问的Web服务器,Apache可能是最佳选择。
Apache服务器的安装
Apache服务器的基本配置
设置Apache服务器的虚拟目录在Apache服务器中配置虚拟主机提高Apache服务器的安全性
7.3.1Apache服务器的安装
(1)双击Apache安装文件,安装程序首先进入安装许可协议界面,选择Iacceptthetermsinthelicenseagreement单选按钮,即接受许可协议。单击Next按钮继续下一步操作。(2)进入说明文档界面,单击Next按钮继续下一步安装操作。
(3)接着安装程序进入服务器信息配置界面。NetworkDomain表示域名信息,在该文本框中可以输入服务器的域名。如果已经申请到域名,可直接输入(注意,这里要输入的是域名,只是申请到的完整域名的后半部分,不包括“www”,如“”)。如果没有域名,可以输入本机的IP地址。【ServerName】表示服务器名,在这里可以输入完整的域名(如“”)或是本机的IP地址。在Administrator’sEmailAddress文本框中要求输入管理员的Email地址。这3项在安装时必须填写,但是在安装完成后可以随时进行修改。在InstallApacheHTTPServer2.0programsandshortcutsfor选项组中共有2个选项,一个是将服务器的端口设为默认Web服务器端口,即80端口,另一个是将服务器端口更改为8080。在这里接受默认设置。设置完成后,单击Next按钮继续下一步操作。
(4)选择安装类型。系统将给出Typical(典型)、Custom(自定义)两种安装类型供用户选择。在这里推荐选择Typical安装。单击Next按钮继续下一步安装操作。
(5)选择安装目录。默认安装目录为系统盘的ProgramFiles/ApacheGroup目录,此时可以通过单击Change按钮重新选择安装目录。单击Next按钮继续下一步操作。
(6)经过前面对Apache服务器域名、安装类型及安装目录设置完成后,系统将会进入准备安装界面。单击Install按钮便可以将Apache安装到计算机中。
(7)经过3~5分钟后,Apache便会完成安装。
(8)安装完成后,Apache将会提示完装完成。单击Finish按钮退出安装界面,此时可以在系统状态栏里看到Apache的羽毛状图标并带有绿色箭头,说明Apache服务器已经启动成功。
(9)打开浏览器程序,在浏览器的【地址】下拉列表框中输入服务器的IP地址或域名。如果安装正确就能看到Apache的测试页面,这表示Apache安装、启动成功。如果出现该页无法显示,证明在配置Apache存在错误,请参照步骤(3)。
7.3.2Apache服务器的基本配置
本节将重点介绍Apache服务器的启动、停止、语言设置、默认网页存放目录设置、添加默认文档配置等操作。
服务的启动、停止更改默认网页目录设置添加默认文档
解决网页显示中文乱码问题
(1)Apache安装完成后,会在状态栏出现一个羽毛状的托盘图标。右击该图标,系统将会弹出一个服务器操作的快捷菜单,其中包括OpenApacheMonitor、OpenServices、Exit。(2)在弹出的快捷菜单中选择OpenApacheMonitor命令后,就会进入ApacheServiceMoniton(Apache服务管理)窗口,在其中可以控制Apache服务器的启动、重启、停止等。(3)选择OpenServices命令,将会打开Windows自带的【服务】窗口,在【名称】列中找到Apache服务后,在其上右击,利用弹出的快捷菜单中的命令可以管理Apache服务器的启动、停止、暂停等。
(1)双击打开httpd.conf文件,按Ctrl+F组合键打开【查找】对话框。在【查找内容】文本框中输入“DocumentRoot”,单击【查找下一个】按钮即可找到默认网页存放路径。(2)当前网页默认存放根目录是C:/Apache2/htdocs。如果想把网站文件存放在“C:/Web/54hack”目录下,可以把DocumentRoot后面的目录修改为“C:/Web/54hack”,修改完成后,选择【文件】→【保存】命令。
(3)打开ApacheServiceMonitor窗口Apache控制台,单击Restart按钮,重新启动Apache服务器后,所更改的设置即可生效。
(1)双击打开httpd.conf文件,按Ctrl+F组合键打开【查找】对话框,在【查找内容】文本框中输入“DirectoryIndex”,单击【查找下一个】按钮即可找到默认文档设置选项。(2)现在我们就可以在DirectoryIndex后面添加网站默认页面的文件名,服务器将根据默认文档的先后顺序来显示查找到的页面。例如,在这里我们在默认文档index.html字段前添加了一个“Default.htm”字段,这样在打开网站时,服务器将首先查找名为Default.htm的网页,如果找不到该页,才依次查找index.htm文件。添加完成后,选择【文件】→【保存】命令。(3)打开ApacheServiceMonitor窗口,单击Restart按钮,重新启动Apache服务器后,所更改的设置即可生效。
(1)双击打开httpd.conf文件,按Ctrl+F组合键打开【查找】对话框,在【查找内容】文本框中输入“AddDefaultCharset”,单击【查找下一个】按钮即可找到该字符。(2)将AddDefaultCharset字符后面的ISO-8859-1更改为“Off”或是“GB2312”,便可以使Apache服务器能正常地显示中文字符。更改完毕后,选择【文件】→【保存】命令。
(3)打开ApacheServiceMonitor窗口,单击Restart按钮,重新启动Apache服务器后,所更改的设置即可生效。在重新打开该网站时,我们发现网页可以正常显示中文字符了。
7.3.3设置Apache服务器的
虚拟目录
(1)双击打开httpd.conf程序,找到Alias/icons/“C:/Apache2/icons/”这行。(2)Alias/icons/“C:/Apache2/icons/”就是/icons/虚拟目录配置字段。
(3)现在我们要通过访问9/flyingfox/,就可以访问到C:\54hack\目录下的内容。更改步骤(2)中的icons虚拟目录配置字段。
(4)更改完毕后,选择【文件】→【保存】命令,然后打开ApacheServiceMonitor窗口,单击Restart按钮,重新启动Apache服务器后,虚拟目录设置就会生效。通过浏览器打开9/flyingfox/站点后,就可以访问到C:\54hack\目录下的内容了。
7.3.4在Apache服务器中配置
虚拟主机
利用Apache服务器,可以实现、虚拟主机的配置。
在一个IP地址上运行多个基于域名的Web站点在多个IP下配置多台虚拟主机
在不同的IP地址上提供相同的内容在不同的端口上运行不同的站点
(1)双击打开httpd.conf程序,将代码添加到httpd.conf程序的最后面。(2)配置完成后,选择【文件】→【保存】命令,然后打开ApacheServiceMonitor窗口,单击Restart按钮,重新启动Apache服务器后,所配置的虚拟主机就会生效。
(1)双击打开httpd.conf程序,首先更改Apache的以下设置内容:*******************************************************
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度农产品加工与销售合同
- 肺活量计医疗器械市场发展现状调查及供需格局分析预测报告
- 姓名地址印写机市场发展现状调查及供需格局分析预测报告
- 2024年度标准仓库租赁合同
- 2024年度版权许可合同:我方为版权拥有方乙方为使用方
- 2024年度委托代建合同的工程质量与费用结算
- 淋浴器市场需求与消费特点分析
- 车载宠物座椅市场发展现状调查及供需格局分析预测报告
- 2024年度储油罐租赁合同:3000000立方米石油化工储存罐群
- 2024年度不锈钢材料行业发展规划与咨询合同
- 交货实施方案
- 钻石及钻石的仿制品
- 简谱视唱15942
- 通信作业冬季施工规范
- 中小学学校食堂食品安全检查记录表
- 培训学校校长绩效考核表
- DG∕T 154-2022 热风炉
- 递进式流程通用模板PPT
- 英文行程计划表
- 关于高中生暑假学习计划表
- 魔方教学(课堂PPT)
评论
0/150
提交评论