什么是web2 0WEb IIs 是什么？

什么是WEB安全？是网络安全么？

网站安全 §1、网站安全概述 一、 常见的网站提供的服务：DNS SERVER，WEB SERVER，E-MAIL SERVER，FTP SERVER，此外网站还需要有个主服务器（最好不要把网站的操作系统服务器与上述的SERVER 放在一起）（不一定全对互联网开放） 1、 这些常见的服务属于TCP/IP协议栈，如果低层安全性被攻击了，则高层安全成了空中楼阁。所以要进行安全分析（安全只是个动态的状态） 2、 TCP/IP协议栈各层常见的攻击（回忆TCP/IP各层结构图） （1）物理层：数据通过线传输是特点 威胁：监听网线，sniffer软件进行抓包，拓朴结构被电磁扫描攻破 保护：加密，流量填充等 （2）层：提供寻址功能是其特点-----路由，IP,ICMP,ARP,RARP 威胁：IP欺骗(工具完成将数据包源地址IP改变) 保护：补丁、防火墙、边界路由器设定 （3）传输层：控制主机间的信息流量-----TCP,UDP 威胁：DOS(图)，DDOS，会话劫持等 保护：补丁、防火墙、开启操作系统抗DDOS攻击特性 （4）应用层：协议最多最难防 ①SMTP协议： 威胁：邮件风暴（黑客给邮件服务器不断发木马或病毒），企业用户内网与外网采用同样的邮箱名，邮件的中继与转发(图) 保护：防病毒网关，邮件服务器软件及时打补丁 ②FTP协议： 威胁：匿名用户如果具有写权限，会上传非法服务给FTP SERVER; 用户名、口令在FTP客户端与服务器端之间是明文传输 保护：FTP数据存放于独立分区，不允许匿名的FTP连接，上传与下载位于不同的NTFS分区，FTP客户端与服务器端的通讯进行加密SSH ③HTTP协议： 威胁：Java script，CGI，ASP，ActiveX 保护：禁止这些不安全的控件，杀毒软件 ④协议： 威胁：明文传输敏感数据 保护：加密 ⑤SNMP协议： 威胁：public默认社区名，明文传输敏感信息 保护：将默认社区名改名，防火墙 ⑥DNS协议： 威胁：DNS欺骗 保护：防火墙阻止，在DNS zone中设定成只允许几个主机的zone传输 3、 网站业务流（电子商务与普通企业网站业务流不同，重点是认证）、采用的拓朴、防火墙体系结构、操作系统等的不同，受到的威胁也不同 二、 在网站业务流、采用的拓朴、防火墙体系结构、操作系统等体系结构确定的前提下，还存在的安全问题 1、未授权存取（匿名用户具有写权限----IIS写权限扫描工具+桂林老兵可以完成） 2、窃取系统信息:帐号,银行 3、破坏系统：破坏数据（删除数据） 4、非法使用：利用FTP服务器存放非法软件 5、病毒木马：不小心执行病毒、木马 三、web站点典型安全漏洞 1、操作系统类：通用安全漏洞，各操作系统特有的安全漏洞 2、路由器等网络系统漏洞：如路由器、防火墙等的缺省配置及配置错误（一部分边界路由器有自动配置的功能，但这种自动配置功能必须手工开启）（见校园网拓朴结构图） 3、应用系统安全漏洞：协议漏洞 4、网络安全防护系统不健全：缺乏安全意识，缺少定期的安全检测、安全监控 5、其它漏洞：易被欺骗，弱认证，对电邮队服附件病毒及WEB浏览可能存在的恶意java/ActiveX小控件进行有效控制。 正因为存在这些安全漏洞所以要制定安全策略。 §2、WEB站点安全策略 允许远程执行CGI脚本，脚本中的bug会成为保护操作系统的漏洞;但如果限制CGI限制得过头了，web使用起来不方便（安全是使用方便与安全配置之间的一个平衡点） 一、 安全策略定制原则： 1、风险分析：搞清站点属于低端安全、中端安全、还是高端安全？易受哪些威胁？（默认配置）？根据威胁进行安全评估（使用启明星辰的工具） 2、服务器记录原则：web服务器会记录它们收到的每一次连接（如果web server采用认证的方式还会记录下用户名），该用户在此期间填写的表格会被记录下来，会对用户构成威胁。 解决方案：web服务器管理者可以查阅用户资料，但无需打开(审计人员查管理员好些) 二、 配置web server的安全特性 1、用户与站点建立连接的过程中可能会造成因域名欺骗而使得用户得不到授权访问及要求的信息或者把黑客当作合法用户来允许其访问 2、加强各服务器的措施 ①web server：主分区存放操作系统，web server放至另一分区;CGI脚本放至第三个NTFS分区;不以administrator身份运行web server（而以另一用户身份运行web server）其余见winnt站点解决方案 ②ftp server：与web server不同分区，允许只读访问，进行访问控制的设置（一般只对内网开放） ③电子邮件服务器：安装网络级电子邮件扫描软件;禁掉中继任何未授权用户；设置垃圾邮件过滤及巨型邮件过滤条件 三、 排除站点中的安全漏洞，尽量减少安全漏洞 1、物理漏洞：未授权人员访问引起的 2、软件漏洞：由软件应用程序的错误授权引起。首要规则----不轻易相信脚本、java applet 3、不兼容问题 4、缺乏安全策略 四、 监视控制出入web站点的出入情况 1、 Webtrends：查访问次数最多的站点、最频繁的用户。它可以完成监控请求（如：sever访问次数，用户来自何处，服务器上哪类信息被访问、访问的浏览器类型、用户提交方式等）;它可以测算命中次数（可以确定出站点的命中次数----一个用户详细地读站点时一次简单的会话可以形成几次命中;还可以通过站点上某个文件的访问次数来确定站点访问者的数目） 2、 入侵检测系统：免费的snort 3、 传输更新：web三元素----HTTP协议，数据格式HTML，浏览器。三元素以HTML为中心，必须保持其更新

WEb IIs 是什么？

IIS（ Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。本文将向你讲述Windows 2000高级服务器版中自带的IIS 5.0的配置和管理方法。

准备篇 IIS的添加和运行

一、IIS的添加

南山请进入“控制面板”，依次选“添加/删除程序→添加/删除Windows组件”，将“信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。

二、IIS的运行

南山当IIS添加成功之后，再进入“开始→程序→管理工具→服务管理器”以打开IIS管理器，对于有“已停止”字样的服务，均在其上单击右键，选“启动”来开启。

一、建立第一个Web站点

南山 比如本机的IP地址为192.168.0.1，自己的网页放在D:Wy目录下，网页的首页文件名为Index.htm，现在想根据这些建立好自己的Web服务器。

南山对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。

南山1．修改绑定的IP地址：转到“Web站点”窗口，再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“192.168.0.1”。

南山2．修改主目录：转到“主目录”窗口，再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:Wy”目录。

南山3．添加首页文件名：转到“文档”窗口，再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。

南山4．添加虚拟目录：比如你的主目录在“D:Wy”下，而你想输入“192.168.0.1/test”的格式就可调出“E:All”中的网页文件，这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键，选“新建→虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入“E:All”后再按提示操作即可添加成功。

南山5．效果的测试：打开IE浏览器，在地址栏输入“192.168.0.1”之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！

二、添加更多的Web站点

南山1．多个IP对应多个Web站点

南山如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面，则只需在“默认Web站点”处单击右键，选“新建→站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可（如图1）；当建立好此Web站点之后，再按上步的方法进行相应设置。

山2．一个IP地址对应多个Web站点

南山当按上步的方法建立好所有的Web站点后，对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为81，一个设为82……（如图2），则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了，而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“ http://192.168.0.1:81”的格式。