《Web安全设置和对策.doc》由会员分享,可在线阅读,更多相关《Web安全设置和对策.doc(7页珍藏版)》请在三一办公上搜索。
1、Web安全设置和对策摘要:本文介绍了以WEB安全为现状,分析其存在的各类问题,并从操作系统安全和WEB服务器安全两方面,阐述了关于WEB安全的一些系统设置,并从IIS平台、APACHE平台的对WEB安全设置做了介绍,最后,通过以上分析,得到一些具有普遍现实操作价值的措施,以期给大众一些有益的指导。关键词:WEB安全;IIS、APACHE安全设置。1.背景及主要谈论内容互联网进入中国20年来,已成为人们生活中不可分割的一部分。Web应用也迅速发展,各类网站数量直线上升。但伴随发展,日益突出的是安全问题,黑客攻击、病毒、漏洞等。人们在享受Web便利的同时也要忍受Web安全的威胁。网络安全是指网络系
2、统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,网络服务不中断。系统平台的安全和Web服务器的安全是目前国内外Web安全的主要研究方面。现有的常用系统,如WINDOWS、UNIX、LINUX,是黑客攻击的重点对象。系统平台安全研究主要在安全操作系统、安全数据库等,而服务器安全主要是Apache、IIS的安全配置与安全缺陷分析,包括安全模型,IIS安全锁等。本文主要谈论他们的安全性和设置。我们团队的合作流程(注:猪八戒有两次确认机会): 第一次确认(中标) 沟通(写作、设计等细节) 安排相关的人员完成稿件 客户确认 再
3、一次修改和完善(或者不需要) 客户满意 最后猪八戒确认 赏金支付!2 系统平台安全 UNIX于1969年产生于AT&T贝尔实验室,目前,也有许多国人开发的UNIX系统。对UNIX系统而言,主要的安全隐患来自一些应用的远程漏洞、本地漏洞和守护进程程序错误等安全漏洞。对UNIX,我们要做到的是周期性的常规检查,及时发现问题,及时解决问题。此外,周期性关注应用程序官方更新,打好补丁,也能在一定程度上保证UNIX系统安全。Linux系统中的不必要服务、系统出入、登录密码、安全漏洞等是主要的安全关注点。这里,有一些工具可以很好保证WEB安全,像具备远程监察相关安全漏洞;检测系统缺失补丁的功能安全漏洞扫描
4、器(Nessus和Nmap)。Linux的安全还需要通过保持经常性的安全检查,保持最新的系统核心,采用安全工具,定用户账号的安全等级,以及增强安全防护工具等措施去保证。 Windows作为微软Microsoft软件帝国的城基,因其易学易用的特点而在桌面系统领域占据着统治地位。同时,随着众多业余编程用户的加入,使得Windows的服务器系统得到了越来越多的应用,在我国,70%的用户使用windows系统作为服务器系统。但Windows操作系统的大多数版本有一个共性:默认安装后安全性都非常差。比较明显的一个例子就是在用户登陆后,每个用户都具有硬盘分区的访问控制权。另外,系统还开放了一些服务(如Me
5、ssenger服务),允许通过迂回的方式绕过用户审核直接进入系统。这都是WEB安全的潜在危险因素。通俗的去比较Windows和UNIX安全性,有这么一种说法:UNIX你用什么,它给你什么;Windows它全部都给你,你爱用什么去拿什么。所以默认安装完成后,Windows系统安全性很不理想。这很清楚地说明我们需要关闭一些服务以便保证Windows系统的安全。接下来以windows servers 2003为例,说明一些提高windows系统的安全的设置。一:文件系统权限。需要将at.exe、attrib.exe、cmd. Exe、format.exe 、net.exe、netstat.exe、r
6、egedit.exe、tftp.exe 文件全部设置为只允许用户访问。在C盘的权限问题上,只给system和administrators,另外要在Windows目录要加上用户默认权限以防ASP和ASPX程序运行失败。二:网络通信。启动系统自身防火墙,改变端口。防火墙能很大程度上拦截外界对Windows 2003系统的非法入侵,阻止外界非法对Windows进行远程扫描,对提高服务器安全指数大有裨益。三:用户设置。系统用户数量最好保持一个,并由管理员设置一个安全有效的密码,管理员名称需要定期去更改等等。四:注册列表。SYN攻击、ICMP重定向报文攻击和关闭默认共享对提高系统安全都很有意义,这些都可
7、以通过修改注册列表来实现。3 WEB服务器安全3.1 IIS平台IIS即internet information service,是由微软推出的服务平台。IIS拥有相当精简的管理和配置,下面主要分析以WIN2003为基础的IIS6的安全配置。在IIS安装完成后会在WWWROOT下生成目录,其默认设置包括MSADC、IISSamples、IISHelp等在内的虚拟目录,这些设置并没有太多的额实际意义,他们位置不定,有时候在Program files下,有时候在安装目录下,这样不明确的安装位置很可能造成很大伤害,完全可以删除。安装完成后,某些IIS组件对系统会有潜在的安全隐患,可能会造成安全威胁,
8、这些组件都应当从系统中去掉。当然,这些情况要根据个人而定。像是如果你不太需要通过服务器转发邮件,或提供新闻组服务,就可以删除SMTP Service和NNTP Service;如果你一般情况下不会通过Web进行管理,我的建议是卸载掉Internet服务管理器;而像样本页面和脚本,这些更多的意义在于显示IIS的强大功能,基本无用,但它却会被用来执行应用程序,有必要可以删除。以上提到的组件,包括一些本文未提及的,全都是不必要的,建议根据实际情况处理。IIS权限的问题上,一般说来,对一个文件夹永远也不应该同时设置写权限和执行权限,以防止攻击者向站点上传并执行恶意代码。IIS文件设置必要权限时,要同时
9、在其管理器和操作系统中进行,从而达到双重保障。最后我们要做的是禁止目录浏览,以防黑客将文件夹全部浏览而找到漏洞。最后,为站点上不同文件建立目录,并分配适当权限也是个很好的设置策略。在IIS的应用程序映射中,会常用到的就是.asp的这个程序映射,其它的程序映射都极少会涉及。但目前已发现众多的程序映射存在缓存溢出问题,缓存溢出会成为黑客入侵的把柄。即使已经安装了系统最新的补丁程序,仍然没法保证安全。所以我们最好要删除某些映射如.htw、.ida、.idq、.cer、.cdx、 .asa、.htr、.idc、.shtm、. shtml、.stm、.printer。这步的具体操作是在“Internet
10、服务管理器”中,右击网站目录,选择“属性”,在其中选择“主目录”页面,点击“配置”,在弹出的“应用程序配置”对话框,操作“应用程序映射”页面,删除以上无用的程序映射。另外,如果偶然需要恢复这一类型文件时,可以选择安装系统修补程序来解决。具体操作为:选中相应的程序映射,再点击“编辑”按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选 “检查文件是否存在”选项。操作后,要求此类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。 3.2 APACHE平台 Apache Server作为目前最流行和广泛的Web服务平台,为广大用户提供了较好的安全保障。但Apa
11、che Server也有其缺陷和不足,使用HTTP协议进行的拒绝服务攻击,会使Apache对系统资源的需求剧增,最后使系统缓慢甚至瘫痪。攻击者可以发送一个超长请求使缓存区溢出,因为Apache一般以root权限运行,进而攻击者可以获得root权限,接着控制整个系统。以下四个文件,httpd.conf主配置文件,srm.conf添加资源文件,access.conf设置文件,是Apache Web主要的三个配置文件,其中httpd.conf是Apache功能实现和安全配置的发生地。一般情况下,如果在Apache Server进程包含有Root用户特权,这就会给系统安全构成很大威胁。Apache W
12、eb的三个配置文件,他们的位置均在/usr/local/apache/conf目录下。Apache的一些功能实现和安全配置主要是在httpd.conf文件中进行。所以,保证Apache Server以较低权限运行,及时更换httpd.conf中User选项,可使Apache在相对安全的状态下运行。同样,Apache 主目录的访问权限也要严格控制,以免普通用户意外修改目录内容。当然,Apache的默认设置不能全部保障安全,还需要改变Apache 服务器的确省访问特性。4 总结策略总要来实际实施使用才有意义,最后就在这里总结一些常用的WEB安全方法:对于WEB安全问题,有很多的对策。因为开发者也和
13、我们普通用户一样关注它,漏洞一出现,往往开发者就会第一个作出反应,及时制作有效地补丁。所以打好补丁,定期更新系统对普遍使用者是很有效的安全策略。当然,安全问题的产生也有很大的责任在使用者的行为,像权限设置不恰当、密码过于简单易破解、大量地随意地下载一些绿色版和安全版软件等。为保证自身计算机WEB安全,我们自身应当杜绝这种引狼入室的行为。平时的网络生活中,普通使用者要养成良好习惯,不浏览不良网站,不打开陌生邮件,对下载的文件先进行安全扫描后再打开,这样就能很好的避开病毒和木马的伤害。在局域网中,或者说对管理员朋友来说,很多多余的东西其实并不是一定要开启,这时候关闭无用的服务,安装使用防火墙软件,按照最小权限设置文件系统就是避免攻击的最好办法。另外一点就是要去保持对黑客技术的关注,多了解黑客的手法,做到防患于未然。
