《2022年2022年计算机网络安全课程设计 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年计算机网络安全课程设计 .pdf(22页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、题目:WEB 服务器的安全配置学院:信息学院专业:网络工程姓名:汤佳慧学号: 1101010137 班级:信息 A1111班名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 22 页 - - - - - - - - - 摘要随着计算机普及、互联网的飞速发展,许多企业都开发了自己的WEB 网站。WEB 服务器是 intranet (企业内部网)网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好WEB 服务器中的资源,是一项至关
2、重要的工作。安全部署WEB 服务器是企业面临的一项重要工作,其中系统安装、安全策略和IIS 安全策略对企业 WEB 服务器安全、稳定、高效地运行至关重要。【关键字】 WEB,服务器安全,协议安全,IIS 设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 22 页 - - - - - - - - - Abstract With the popularization of computers,the Internet rapid development,many compa
3、nies have developed their own WEB site. The WEB server is Intranet (intranet) sites on the core, where in the data is very important, when the destruction of the enterprise will cause irreparable damage, manage, use, protect the WEB server resources, is an important task.Deployment of the security W
4、EB server is an enterprise is facing an important task, the system installation, security policy and security strategy of enterprise IIS WEB server security, stable, efficient operation is very important. keywordsWEB,server security, security protocol, IIS set 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - -
5、- - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 22 页 - - - - - - - - - 目录前言 . 1第一章需求分析. 21.1 WEB服务器的概念 . 21.2 WEB服务器存在的安全问题. 2 第二章安装和配置 IIS. 32.1 仅安装必要的组件 . 32.2 修改上传文件的大小. 32.3 IIS安全设置 . 4第三章 WEB服务器的安全设置. 103.1 选用 NTFS文件系统. 103.2 选用单操作系统. 103.3 关闭 Windows 2003不必要的服务. 103.4 禁用不必要的协议 . 103.5 设置磁盘访问权限
6、. 113.6 关闭不必要的端口及更改远程连接端口 . 113.7 限制匿名访问本机用户. 123.8 限制远程用户对光驱或软驱的访问 . 133.9 限制 NetMeeting 及禁用 NetMeeting . 13 第四章 WEB服务器安全评测 . 15第五章结论 . 16参考文献 . 17致谢 . 18名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 22 页 - - - - - - - - - 1 前言随着计算机技术的突飞猛进,计算机网络的日新月异,网络已经深入到我
7、们生活的各个角落。小到个人的生活、工作,大至国家的发展以致整个文明的进步。计算机网络在扮演着越来越重要的角色,越来越多的企业及个人都开发了自己的WEB网站。然而,在如今技术发达的时代,随着互联网技术的发展,黑客越来越猖獗。WEB 服务器被攻击,网站首页被篡改,各种各样的不安全因素存在我们周围,如何更好的保证 WEB 服务器安全更好的防止黑客的入侵、攻击是每一个人都很关心的话题。 WEB 服务器存在的安全问题从来就不是独立的,系统漏洞,系统权限,网络环境(如 ARP 等) ,网络端口管理以及来自WEB 服务器应用的安全, IIS 本身的配置、权限等,这个直接影响访问网站的效果和结果。名师资料总结
8、 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 22 页 - - - - - - - - - 2 第一章需求分析1.1 WEB 服务器的概念 WEB 服务器是指驻留于因特网上某种类型计算机的程序。当WEB 浏览器(客户端)连到服务器上并请求文件时, 服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。服务器使用 HTTP( 超文本传输协议 ) 进行信息交流,这就是人们常把它们称为HTTP 的服务器的原因。1.2 WEB 服务器存在的安全问题
9、 Internet的发展给企业和个人带来了革命性的改革和开饭。他们正努力通过利用 Internet来提高办事效率和市场反应速度,以便更具竞争力。通过Internet,企业可以从异地取回重要数据, 同时又要面对 Internet开放带来的数据安全带额新挑战和新危险:即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。随着 Internet的广泛应用,许多企业开发了自己的WEB 网站。然而由于人为的无意失误,黑客的恶意攻击,以及借助网络及系统软件的漏洞和“后门”进行捣乱的各种病毒等,使得开发的网站存在多方面的安全问题。要保证企业的WEB 网站的安
10、全,仅选择一个适合企业特点的防火墙、适合系统的杀毒软件是不够的。更主要的是要在企业内部WEB 服务器的安装、设置等多方面多做文章,以提高网站自身的免疫力。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 22 页 - - - - - - - - - 3 第二章安装和配置IIS 2.1 仅安装必要的组件选择 Internet(信息服务 IIS) 即可。原则是网站需要组件功能才安装,比如ASP.NET 或其它组件不需使用就不要安装。2.2 修改上传文件的大小Windows se
11、rver 2003服务器,当上传文件过大(超过200K)时,提示错误号2147467259。原因是 IIS6.0默认配置把上传文件限制在200k,超过即出错。解决方法如下:首先,停止以下服务:IIS admin service World Wide Web Publishing Service HTTP SSL 然后找到:C:Windowssystem32inesrvmetabase.xml Windowssystem32inesrv 编辑文件 metabase.xml( 不要用写字板,要用记事本编辑,否则容易出错。) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - -
12、- - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 22 页 - - - - - - - - - 4 找到: ASPMaxRequestEntityAllowed 默认为 204800 (200k) ,改成需要的!保存。最后,启动上面被停止的服务,就完成了!注:可能会碰到 metabase.xml 文件不能被保存,原因是你的服务未停干净,建议重启以后再进行上面的操作。2.3 IIS 安全设置1删掉 c:/inetpub目录,删除 iis不必要的映射。2使用虚拟主机的每个web站点都应该新建单独的IIS 来宾用户。3IIS 为每个虚拟主机设置来宾帐号
13、,这样即使一个网站由于后台漏洞被入侵也不会波及整台服务器 , 整个服务器管理权限不会沦陷。4IIS 管理后台设置限定 IP 地址访问 , 仅仅开放需要进入后台的IP。5IIS 管理器内一些文件夹内只有图片并没有程序(例如image、pic ) ,可将其运行权限设置为无(默认可运行脚本) 。6将 IIS 日志默认保存位置修改至其它分区,防止黑客入侵后删除安全事件及web日志。7防止 ASP木马程序入侵的三种办法:(1)上传目录的权限选择无执行权限,即使上传木马也会因无执行权限而入侵失败。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -
14、- 名师精心整理 - - - - - - - 第 8 页,共 22 页 - - - - - - - - - 5 访问时可执行文件的ASP显示:(2)上传的文件加上IP 地址限制,只允许信息员机器IP 地址访问。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页,共 22 页 - - - - - - - - - 6 a. 目录限定:b. 文件限定:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
15、- - - - - 第 10 页,共 22 页 - - - - - - - - - 7 (3)在上传文件中增加验证程序,比如: 这样打开页面即提示:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 22 页 - - - - - - - - - 8 (4)加入防注入代码,在上传文件入口处或关键程序中增加一行代码调用防注入程序,可以登陆后台对防注入程序进行管理,查看入侵扫描信息。代码不要放在首页,这样影响网站打开速度, 网站首页的 ASP代码要尽可能少, 最好已经是 HTML
16、 ,调用数据库内容太多会影响网站速度。图一登陆后台页面图二入侵信息记录名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 22 页 - - - - - - - - - 9 在防注入系统后台系统设置中推荐采用“直接关闭网页”。锁定 IP 可以封扫描IP,但不推荐使用, 以防误操作一个局域网段的internet出口地址全部被封。 这个自己在使用中可以慢慢体会。(5)使用从网上摘抄的源代码后台需要对其进行改动,尤其是上传文件名, 比如 upfile.asp改为 jxic-upfi
17、le.asp。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 22 页 - - - - - - - - - 10 第三章WEB 服务器的安全设置3.1 选用 NTFS 文件系统 NTFS 文件系统比 FAT系统多了安全控制功能,可以对不痛的文件夹设置不同的访问权限,因此拥有更强大的安全性。需要注意的是,目前大多数反病毒软件没有提供对软盘启动后NTFS 分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动时, 后果比较严重, 因此平时应做好病毒的预防及系统的备份
18、工作。;另外将系统盘与网站程序分开放置。3.2 选用单操作系统作为 WEB 服务器的计算机不要安装多种操作系统,否则黑客会利用其攻击Windows 2003 系统,使系统重启到另一个缺乏安全设置的操作系统进行破坏,将操作系统文件所在分区与WEB 数据(包括其他应用程序)所在的分区分开,并在安装时使用其自定义的目录,以免攻击者利用应用程序的漏洞(如微软的IIS 漏洞)导致系统文件的泄露,甚至让入侵者远程获取管理员权限,不安装WEB 站点服务无关的软件,安装操作系统最新的补丁程序,否则黑客可能会利用低版本的补丁的漏洞对系统造成威胁,另外也给病毒带来可乘之机。3.3 关闭 Windows 2003不
19、必要的服务 Windows 2003 系统中包括许多服务,而这些服务可能包含各种安全漏洞,如:甲服务能暴漏账号信息,乙服务在已知账号名称的情况下可以取得账号的密码。当这两种服务都开通时,系统也就被攻破。其次,不同的软件在同一系统下运行时,可能会产生一定的冲突, 从而产生新的漏洞, 而这些漏洞是未知的。 因此,作为 WEB网站的 Win2003系统,必须停掉没有用的服务。3.4 禁用不必要的协议 NetBIOS 协议在 WEB 服务器上是黑客扫描工具的首选目标,因此,必须解除NetBIOS 与 TCP/IP 协议的绑定。方法“设置 控制面板 网络连接 本地连接 名师资料总结 - - -精品资料欢
20、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 22 页 - - - - - - - - - 11 属性TCP/IP 属性高级WINS 禁用 TCP/IP 上的 NetBIOS ” 。 另外, NetBIOS、IPX/SPX协议对 WEB 网站也没有任何用处,只会被某些黑客工具利用,也必须禁用或删除。操作如图三所示。图三禁用 NetBIOS 协议3.5 设置磁盘访问权限系统磁盘只赋予 administrators和 system 权限,系统所在目录(默认时为Windows )要加上 users 的默认权
21、限,以保障ASP和 ASPX 等应用程序正常运行。其他磁盘可以此为参照, 当某些第三方应用程序以形式启动时, 需加 system 用户权限,否则启动不成功。3.6 关闭不必要的端口及更改远程连接端口在 Internet上,各主机间通过TCP/IP 协议发送和接收数据包,各个数据包根据其目的主机的IP 地址来进行互联网络中的路由选择。可见,把数据包顺利的传送到目的主机是没有问题的。问题处在哪里呢?我们知道大多数操作系统都支持多程序(进程)同时运行,那么目的主机应该把接收到的数据包传送给众多同时运行的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - -
22、- - - - 名师精心整理 - - - - - - - 第 15 页,共 22 页 - - - - - - - - - 12 进程中的哪一个呢?显然这个问题有待解决,端口机制便由此被引入进来。本地操作系统会给那些有需求的进程分配协议端口(protocol port,即我们常说的端口),每个协议端口由一个正整数标识,如:80,139,445,等等。当目的主机接收到数据包后,将根据报文首部的目的端口号,把数据发送到相应端口,而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。如果攻击者使用软件扫描目标计算机,得到目标计算机打开的端口, 也就了解了目标计算机提供了哪些服务。我们都知道,提
23、供服务就一定有服务软件的漏洞,根据这些,攻击者可以达到对目标计算机的初步了解。如果计算机的端口打开太多,而管理者不知道,那么,有两种情况:一种是提供了服务二管理者没有注意,比如安装 IIS 的时候,软件就会自动增加很多服务,而管理者可能没有注意到;一种是服务器被攻击者安装木马吗, 通过特殊的端口进行通信。 这两种情况都是很危险的,说到底,就是管理员不了解服务器提供的服务,减少了系统安全系数。3.7 限制匿名访问本机用户“开始” “程序” “管理工具” “本地安全策略” “本地策略” “安全选项” 双击“对匿名连接的额外限制”在下拉菜单中选择“不允许SAM 账户的匿名枚举” “确定” 。操作如图
24、四所示。图四限制匿名用户名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页,共 22 页 - - - - - - - - - 13 3.8 限制远程用户对光驱或软驱的访问“开始”“程序” “管理工具” “本地安全策略” “本地策略” “安全选项” 双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(E) ”“确定” 。操作如图五所示。图五限制远程用户对光驱软驱访问3.9 限制 NetMeeting 及禁用 NetMeeting 运行 “gpedit.msc” “计算机
25、配置” “管理模板” “Windows 组件” “NetMeeting”“禁用远程桌面共享” 右键在单选按钮中选择“启用(E) ”“确定” 。操作如图六所示。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页,共 22 页 - - - - - - - - - 14 图六限制共享名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页,共 22 页 - - - - -
26、- - - - 15 第四章WEB 服务器安全评测经过以上设置服务器的所有分区均采用了NTFS 格式进行设置并且系统盘与网站程序分开放置这样可以确保系统盘的纯净,避免感染病毒的机会。开启防火墙能确保基本的防毒,安装自动更新能及时的检查系统及时更新微软发布的安全补丁,及时给系统填补漏洞。仅安装必要的IIS 组件,开启必要的端口及协议防止黑客利用扫描工具进行扫描。设置用户权限,可以防止非法用户的进入。设置相应的策略审核,可以及时的记录系统的状态,事件额发生。经过这些设置,一个基本安全的服务器就正常运行了。经过自动更新的设置, 一旦微软有新的漏洞补丁发布, 服务器立即就会自动更新,防止部分不法分子利
27、用漏洞进行服务器扫描攻击等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页,共 22 页 - - - - - - - - - 16 第五章结论由于本人在知识、 经验方面都存在不足, 课程设计必然会存在一些缺陷和不足,可能步骤不够详尽,考虑有不周之处,因此,有未涉及和为提到的地方望谅解。本次课程设计完成了一下几个问题:1. 对 WEB 服务器进行了基本的介绍,以及进行了基本安全分析。2. 针对 WEB 服务器进行了存在的安全威胁进行了磁盘权限设置、账户设置、协议安全设置、端口
28、设置、 IIS 设置等。本课程设计虽然存在一些不足但却让我学到了许多,让我巩固了服务器的一些基本设置及注意的安全技巧,及统筹设计思维。还让我真切的体会到同学间的互帮互助团结精神,及浓浓的师生情谊!名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页,共 22 页 - - - - - - - - - 17 参考文献1 刘晓辉,张奎婷.WindowsServer2003系统安全管理M. 北京:电子工业出版社,2009 2 吕林涛 . 网络信息安全技术概论(第二版). 科学出版社,20
29、10 3 李新,李成友.基于 Windows系统的 Web服务器安全研究与实践J.教育信息化 ,2010 4 马琰 .如何提高个人Web服务器的安全性J.职业圈, 2011 5 远哲 .细说高校WEB 服务器安全 J.电脑知识与技术,2010 6 周军 .Web服务器性能改进的相关技术. 中国科技博览,2010 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页,共 22 页 - - - - - - - - - 18 致谢在课程设计即将完成之际,回顾紧张但又充实的课程完成过程,本人在此向所有关心我的及帮助我的老师和同学们致以最真诚的感谢。在本次课程设计中,我从知道老师身上学到了很多东西。他认真负责的工作态度,严谨的治学精神和深厚的理论水平都使我受益匪浅。这对于我以后的学习和工作都有一种巨大的帮助,在此感谢他的耐心辅导。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页,共 22 页 - - - - - - - - -