校园网WEB服务器的安全防护体系构建.docVIP

校园网WEB服务器的安全防护体系构建 0前言 校园网WEB服务器一般是提供给校内外访问，用于信息发布、文化交流和资源共享的服务器。随着高等教育信息化建设的推进和校园网应用功能的逐步完善，WEB服务的重要性也愈发突显，如何保证校园网WEB服务器的安全已是目前网络管理工作的重点。由于在Internet上的任何接入点都可对校园网WEB服务器进行访问，因此其容易成为网络攻击的目标和重点，WEB服务器经常会遭受各种网络攻击，诸如木马病毒入侵、漏洞扫描、DOS攻击、DDOS攻击、网页篡改等，所以必须进行全面的安全配置和管理，才能保证其承载的服务能稳定安全运行。本文结合作者在高校网络管理的经验，对校园网WEB服务器安全体系构建进行探讨。 1目前WEB服务器所面临的安全威胁 1.1拒绝服务(DOS) DOS攻击是指单一的DOS攻击，它是通过一台客户端主机向服务器提出握手请求，这种攻击会使服务器的硬件性能下降，如CPU负荷加大、可用内存减少和带宽阻塞。随着网络技术的不断发展，DOS的攻击难度加大，所产生的攻击效果有限。 1.2分布式拒绝服务(DDOS) 分布式拒绝服务(DDOS)攻击是DOS的升级版，攻击的目标和DOS一样，但它的规模更大，攻击性更强。在DDOS攻击中，攻击者不是通过一个主机攻击服务器，而是在黑客控制下使用多个主机攻击服务器，有时这种发出攻击的主机甚至多达十几万个以上。服务器系统遭受到DDOS攻击后，容易造成访问站点的网络瘫痪，严重干扰正常的WEB服务。 1.3SQL注入式攻击 SQL注入式攻击是通过正常的WEB方式访问的，它和一般的网页访问没有区别，一般的防火墙无法测出SQL注入攻击，它利用数据库本身的漏洞或者网页编写源代码的漏洞进行攻击，获取网站数据库的信息和数据库管理员的权限，进而再取得服务器系统管理员的权限，使服务器成为其操控的对象[1]。 1.4嵌入式网站攻击 嵌入式攻击就是将一段病毒代码以Iframe的形式嵌入到正常的网页中，当浏览者访问该网页时，网页会自动跳转到病毒代码所指向的病毒网页，一旦链接病毒网站，客户端的主机将遭到病毒网站所附带的病毒入侵致使系统瘫痪。近年来此类攻击在校园网络屡见不鲜，严重影响校内网络资源的正常使用。 2如何应对WEB服务器的安全问题 2.1服务器自身安全 WEB服务器的安全是一个综合性的问题，首先需要解决的是服务器自身安全，通过对windows Server 2003进行合理的安全设置可大幅降低服务器所面临的风险[2]。 2.1.1禁用不必要的服务 Windows Server 2003默认会开启一些不必要的服务，我们应当禁用这些服务以保证服务器的安全。一般我们需要禁用以下服务：NetMeeting、RemoteRegistry、RoutingandRemoteAccess、Telnet等。 2.1.2及时安装Windows系统漏洞补丁和杀毒软件 为了提高系统安全性，系统安装后，我们应当立即安装系统漏洞补丁，并且开启自动更新服务，让系统随时保持安全的状态。另外系统安装之后，需要立即安装一套正版杀毒软件，用于查杀病毒和防御病毒入侵，杀毒软件也需要保持病毒库的更新。 2.1.3屏蔽不需要的危险端口 Windows Server 2003安装后，默认会开启一些不经常使用却危险的端口，启用TCP/IP筛选，添加所需的端口，如80，21等，关闭其他所有未使用的端口。如果需要远程管理服务器，为安全起见，需要把默认的远程管理端口3389在注册表中修改成其他的端口。 2.1.4系统用户设置 1．禁用Guest账号。在计算机管理的用户里面把Guest账号禁用，为了保险起见，最好给Guest加一个复杂的密码；2、限制不必要的用户。去掉所有的DuplicateUser用户、测试用户、共享用户等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口；3、把系统Administrator账号改名。Windows2003的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户；4、创建一个陷阱用户。什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图；5、开启用户策略。使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 2.2IIS安全设置 目前在WindowsServer2003中一般采用IIS6.0作为WEB发布组件。所以对IIS的配置也非常重要。对IIS的安全配置如下： 2.2.1为IIS中的文件分