返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
打造安全的Web服务器 (图)
2003-10-01 本网 / 江苏 王沛

本文出自《网管员世界》2003年第10期“安全防范”栏目

随着信息化程度的提高,很多单位都采用专线方式实现与Internet连接。而提供专线方式服务的ISP,往往会提供给我们几个公网地址。这样,单位对外发布主页就可以在自家里完成。
这样做主页的更新是方便了,但同时给安全维护也带来一系列问题。不管你采用哪种方式发布,和其它服务器相比,对外的Web服务器是直接挂在外网上的。它的维护既要时刻考虑系统、数据的安全,也要小心提防黑客的骚扰。那么应做哪些具体的设置呢?下面笔者以Windows 2000 Server+IIS 5.0 架设的Web服务器为例,在安全方面阐述几点建议。

停用不必要的服务

当我们采用缺省安装Windows 2000时,它的许多服务都是启用的。而对于单纯的Web服务器而言,许多的服务是不需要的。多一个服务,就会给安全方面多一些隐患。一般需要的服务如:WWW、RPC service、Eventlog、NTLM Security Provider 、Workstation、MSDTC、Protected Storage等。在必要时对SNMP 、SNMP trap、UPS以及Terminal、RAS等服务进行停止,建议改为手动启动方式。这样在需要时可以人为启动,而系统重启后也不会自行启用。
方法:开始/程序/管理工具/服务,进入“服务”设置窗口,在右窗格中列出系统的所有服务项目;右击某服务选择“属性”,在其“属性”窗口中修改启动类型,有自动、手动、已禁用三种选择。


关闭不用的端口

在缺省情况下2000系统所有的端口都是开放的,这对安全也是一个严重的威胁。在关闭一些端口之前,必须了解几个常用的对应端口号。比如:80端口是Web服务的默认口号、FTP默认端口是21、SNMP(简单网络管理协议)默认端口是161等。很明显需要开放的端口是极少数,如果采用关闭端口的方法就很烦琐。反之,只要把需要的几个端口开放即可。
设置端口的工作Windows 2000本身就可以完成:“开始/设置/网络拨号连接”,右击“本地连接”,“/属性/Internet协议(TCP/IP)/属性/高级”,进入“高级TCP/IP协议”的“选项”标签,进入“TCP/IP筛选”的“属性”窗口,勾选“启用TCP/IP筛选”,在TCP和UDP中分别勾选“只允许”项,然后点击下面的“添加”命令,把对应开放的端口号加进去(如图1)。

图1

修改IIS服务的缺省设置

Windows 2000的很一大部分漏洞就集中在IIS服务中,从微软公布的一些补丁就可看出这一点。对于IIS的相关安全设置来说,除了定期打补丁之外,还要进行以下几个方面设置:
一、停止原有的默认Web服务,自行建立新的Web服务站点。
二、将新的Web服务站点主目录设置在其它系统分区;删除原缺省安装的诸如scripts等虚拟目录。
三、在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP、ASA和一些我们确实需要用到的文件类型。而实际上90%的主机有了上面两个映射就够了。方法是:在IIS管理器中右击站点,选择“属性”,进入站点属性设置窗口,再选择“主目录”中的“配置”命令,进入“应用程序配置”设置窗口;在列出来的应用程序映射中,选择相应的映射程序,然后再点击下面的“删除”即可(如图2)。

图2

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读