WINDOWS架设WEB服务器的安全立体防护.pptVIP

服务器网络安全交流 主要针对windows系统 ——本地宝 邱家海 *、黑客入侵路径（知己知彼） *、防范入侵的安全措施 *、WEB应用程序安全——SQL注入 URL注入、输入框注入 1、程序中过虑危险字符 2、IIS使用REWRITE规则过虑 3、SQL语句不采用拼接的方式 Cookies注入 1、防止Cookies被修改 可逆加密 MD5校验 *、WEB应用程序安全—漏洞与防范 上传漏洞、文件管理、备份导致的漏洞防范 对上传程序要把关 权限审查要严格 文件夹权限要设好 跨站漏洞防范 构造JS脚本 过虑要严格 *、WEB应用程序安全—其它 Cookies篡改 可逆加密 MD5校验 开源应用程序小心使用，及时打补丁 ewebeditor 动网论坛 织梦（DEDE） 漏洞一被发现，挂马一大遍 *.IIS的安全配置 IIS访问用户与网站文件夹权限 每个网站都是不同的GUEST用户 ASP.NET网站，应用程序池用不同用户 对用户上传文件夹执行权限设为“无” 应用程序池下配置网站数量要适当 不要向客户端发送错误信息（ASP） ASP.NET禁用调试模式 *、数据库安全 帐号管理 SA 帐号 只有一两个人知道 开发人员帐号不得用于程序中 对个别重要的数据库各表权限设定 禁止程序中用于连接的用户建表、备份数据库 数据库连接 一个数据库一个帐户 连接串不出现在应用程序中，网站多的话集中配置 *、数据库安全 删除不必要扩展存储过程 防止注入漏洞被利用 :xp_cmdshell sp_makewebtask…… SA用户\sysadmin用户组可以恢复 实例端口不使用默认的端口1433 数据库备份 每天自动备份 保留半个月 异地备份每周一次 *、操作系统安全 自带防火墙 端口按需开启 杀毒软件 ARP防火墙 IP筛选 端口按需开启 及时打补丁 远程控制端口一定要改 危险DLL注销或彻底删除掉 禁用不必要的服务： workstation之类 文件夹权限配置 安全策略 登陆次数 记录登陆事件 *、了解黑客技术与工具 SQL注入扫描器 HDSI SQL注入工具 啊D 木马上传工具 各种语言写的WEBSHELL *、服务器瓶颈 内存 内存消耗物理内存 缓存适当使用 个别差性能的程序影响 磁盘I/O Avg.disk Queue Length=磁盘数*2 应用程序减少频繁的文件读写 数据库查询优化（20/80） 数据库服务与WEB服务分开 多个磁盘、RAID，提高I/O负载能力 *、服务器瓶颈 CPU 很少出现 带宽 GZIP压缩（节约70%带宽） 降低图片质量（节约30%带宽） 防盗链 CDN分流（DNS轮询+squid） 性能监视 任务管理器、性能监视器、SQL事件探查器 *、服务器数据备份 IIS配置 定期加密备份到其它分区 文件备份 使用WINDOWS备份工具自动 备份 数据库备份 维护计划自动备份保留一周 系统备份 GHOST 异地备份 每隔一段时间备份一次 备份记录 *、保证服务的稳定性、高可用性 服务器架构探讨 1、服务器群集 2、服务器虚拟化，虚拟机群集 服务器监控 提醒与自动化处理 1、监控IIS 2、监控网络连接 3、监控磁盘 4、监控指定的服务 谢 谢！ 邱家海 QQ：103201165 网络资源 WINDOWS2003安全设置：/os/windows2003/2005-12-11/a0976051.shtml 删除危险存储过程：/blog/static/32061113200871381630422/ IIS应用程序池权限配