鐘百勝

摘要：文章描述的是通過(guò)網(wǎng)絡(luò)隔離、定期自動(dòng)備份、數(shù)學(xué)證書、訪問(wèn)權(quán)限等手段提高網(wǎng)站的安全性的方案。針對(duì)目前小型企業(yè)或單位在有限的資金和人力背景下，通過(guò)必要的手段使網(wǎng)站安全盡量在可控的范圍內(nèi)。以Windows2003操作系統(tǒng)+ASP網(wǎng)站架構(gòu)背景，利用成本較低和可行的手段保障網(wǎng)站安全。

關(guān)鍵詞：網(wǎng)站；訪問(wèn)控制；信息安全；SSL；數(shù)字證書。

隨著網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，企業(yè)和單位除了現(xiàn)實(shí)世界的廣告宣傳外，網(wǎng)站的宣傳廣播作用也是日漸增大，特別是依靠網(wǎng)絡(luò)營(yíng)銷的公司。例如，現(xiàn)在手機(jī)商城的整個(gè)銷售過(guò)程都是完全依賴公司的網(wǎng)站來(lái)進(jìn)行的。

網(wǎng)站的安全工作是持久性的，總會(huì)有人想通過(guò)自己的技術(shù)能從網(wǎng)站得到他想知道的信息或者破壞網(wǎng)站從而達(dá)到自己的目的。這樣，企業(yè)和單位要花費(fèi)大量資金和精力放在網(wǎng)站安全方面，做大量的網(wǎng)絡(luò)安全措施保障網(wǎng)站的安全。

1 網(wǎng)站物理架設(shè)

在中小企業(yè)或單位架設(shè)網(wǎng)站時(shí)要面臨2個(gè)選擇：一是為了保障網(wǎng)站訪問(wèn)速度，將對(duì)外網(wǎng)站服務(wù)器架設(shè)在防火墻之外。二是為了安全考慮，將網(wǎng)站服務(wù)器架設(shè)在內(nèi)網(wǎng)，采用NAT技術(shù)將外網(wǎng)IP映射給服務(wù)器使用。在本文中介紹的案例綜合考慮2個(gè)因素，將服務(wù)器安裝雙網(wǎng)卡。其中一張網(wǎng)卡是直接接入外網(wǎng)，另外一張網(wǎng)卡接到防火墻之內(nèi)。在直接接入外網(wǎng)的網(wǎng)卡設(shè)置只限80端口，其他端口全部關(guān)閉。具體操作流程：打開(kāi)Windows的網(wǎng)絡(luò)“IP設(shè)置選項(xiàng)卡”—“選項(xiàng)”—“可選TCP/IP篩選”—“高級(jí)”—“啟用TCP/IP篩選（所有選配器）”—“只允許80端口”。這樣做的目的是外網(wǎng)的所有訪問(wèn)只能啟用80端口，防止有些端口給非法分子使用。在內(nèi)網(wǎng)網(wǎng)卡方面，使用同樣的方法，額外增加了一個(gè)給管理員的遠(yuǎn)程管理端口3389，但是限定了管理員的網(wǎng)段。

2 IIS設(shè)置

通過(guò)IIS的合理配配置，可以大大減少非法用戶入侵的機(jī)會(huì)。根據(jù)雙網(wǎng)卡的構(gòu)思，在IIS設(shè)置里可以分別設(shè)置2個(gè)站點(diǎn)：一個(gè)是外網(wǎng)站點(diǎn)，一個(gè)是內(nèi)網(wǎng)站點(diǎn)。在外網(wǎng)站點(diǎn)里只保留“只讀”的權(quán)限，在內(nèi)網(wǎng)站點(diǎn)作以下相應(yīng)的措施。

2.1 權(quán)限設(shè)置的思路

在系統(tǒng)中創(chuàng)建一個(gè)系統(tǒng)用戶，專門給IIS訪問(wèn)時(shí)使用，且在系統(tǒng)中設(shè)置其他所有的磁盤分區(qū)禁止這個(gè)用戶訪問(wèn)。而內(nèi)、外網(wǎng)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問(wèn)（要去掉繼承父權(quán)限，并且加上超級(jí)管理組和SYSTEM組）。且網(wǎng)站目錄只留下該用戶和超管理員的用戶，其他用戶一律不具有任何權(quán)限。

2.2 Web站點(diǎn)權(quán)限沒(méi)定

具體的設(shè)置：讀——允許；寫——不允許；腳本資源訪問(wèn)——不允許；目錄瀏覽——關(guān)閉；日志訪問(wèn)——關(guān)閉；索引資源——關(guān)閉；執(zhí)行——僅限于腳本。

2.3 設(shè)置子目錄的權(quán)限

首先將整個(gè)站點(diǎn)的目錄改為只讀，然后根據(jù)網(wǎng)站程序的特別需要給予對(duì)應(yīng)的權(quán)限。特別是寫入、修改和執(zhí)行這3個(gè)權(quán)限，能不開(kāi)啟盡量不要啟用。要注意上傳目錄，比如UploadFiles這樣的目錄，還有圖片目錄，取消“執(zhí)行”權(quán)限。這樣設(shè)置以后，即使攻擊者找到了上傳漏洞，把木馬上傳到UploadFiles目錄，他們也只能看，不能執(zhí)行程序。

2.4 避免不必要的信息外露

網(wǎng)站調(diào)試好之后，關(guān)閉IIS中出錯(cuò)調(diào)試信息出現(xiàn)在客戶端瀏覽器中，避免程序的錯(cuò)誤使信息暴露數(shù)據(jù)庫(kù)的類型、位置等信息，為入侵者提供方便。

2.5 做好安全訪問(wèn)日記地錄

做好安全訪問(wèn)日記地錄是為了便于追潮，使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址、用戶名、服務(wù)器端狀態(tài)、用戶代理等。不要使用默認(rèn)的目錄，建議更換一個(gè)記日志的路，同時(shí)設(shè)置日志的訪問(wèn)權(quán)限，只允許管理員和系統(tǒng)用戶。通過(guò)系統(tǒng)的計(jì)劃任務(wù)和ftp方法，自動(dòng)定時(shí)，將這些記錄文件上傳到網(wǎng)站管理員的機(jī)器上作備份。

2.6 防盜鏈設(shè)置

隨著網(wǎng)站資源的豐富，特別是視頻、圖片或音頻文件比較多的時(shí)候，如果給其他人直接復(fù)制URL路徑直接超鏈接的話，會(huì)消耗自己的服務(wù)器的資源。這里推薦使用開(kāi)源的“IIS入侵檢測(cè)及警報(bào)系統(tǒng)”，設(shè)置好后，一旦別人鏈接站內(nèi)資源的話會(huì)自動(dòng)跳轉(zhuǎn)到設(shè)置的錯(cuò)誤提示頁(yè)面。

3 SSL安全技術(shù)的應(yīng)用

設(shè)置網(wǎng)站的管理目錄安全，關(guān)閉一些普通用戶無(wú)需訪問(wèn)的目錄的讀權(quán)限，首先啟用IP地址和域外限制，將管理員常用的IP地址輸入到授權(quán)訪問(wèn)，其他用戶拒絕訪問(wèn)。為了提高網(wǎng)站的安全性，可以啟用IIS的安全通信，采用數(shù)字認(rèn)證的方式對(duì)后臺(tái)管理目錄。

3.1 本地安裝證書服務(wù)器

由于網(wǎng)上很多數(shù)字認(rèn)證不免費(fèi)的，可以在局域網(wǎng)配置成一個(gè)CA中心服務(wù)器，可頒發(fā)個(gè)人證書和服務(wù)器證書。具體操作流程：打開(kāi)“控制面板”—“添加/刪除程序”—“添加/刪除Window組件”，選中“證書服務(wù)”，并選擇“獨(dú)立根”，在出現(xiàn)的“CA標(biāo)識(shí)信息”對(duì)話框中填寫CA信息，安裝完畢。局域網(wǎng)中就已經(jīng)可以頒發(fā)證書了。在客戶端瀏覽器地址欄里輸入http：//IP地址/certsrv/就可以登錄證書申請(qǐng)頁(yè)面。

3.2 申請(qǐng)和安裝服務(wù)器證書

在IIS設(shè)置的目錄安全屬性里選擇“安全通信”再選擇“服務(wù)器證書”，用系統(tǒng)自帶的WEB服務(wù)器證書向?qū)Мa(chǎn)生（見(jiàn)圖1）。

3.3 申請(qǐng)證書

復(fù)制剛才向?qū)傻腸ertreq.txt文件內(nèi)容。然后打開(kāi)認(rèn)證服務(wù)器（http：//IP地址/certsrv/），利用向?qū)暾?qǐng)證書（見(jiàn)圖2）。

3.4 頒發(fā)證書

進(jìn)入服務(wù)器的“控制臺(tái)”界面，通過(guò)菜單命令“控制臺(tái)”—“添加/刪除管理單元”，點(diǎn)擊“添加”—“證書頒發(fā)機(jī)構(gòu)”，添加證書頒發(fā)機(jī)構(gòu)單元。在證書管理平臺(tái)中，選擇待申請(qǐng)的證書，將其頒發(fā)即可。

3.5 獲得證書

客戶端登錄證書服務(wù)器，將申請(qǐng)通過(guò)的證書下載并保存在本機(jī)（certnet.cer文件）。

3.6 SSL連接的配置

前面的工作都準(zhǔn)備好之后，就是設(shè)置站點(diǎn)的SSL安全通信配置了，回到網(wǎng)站服務(wù)器IIS配置，設(shè)置管理后臺(tái)目錄的錄安全性。選擇要求安全通道（SSL），如圖3所示。

3.7 使用SSL安全通道登錄管理頁(yè)面

網(wǎng)站管理人員可以通過(guò)以上方式申請(qǐng)得到自己的證書，通過(guò)IE安裝證書的方式將證書安裝在自己的電腦上，要登錄后臺(tái)管理網(wǎng)站時(shí)，可以輸入https：//IP地址的方式登錄網(wǎng)站的后臺(tái)頁(yè)面。

4 定時(shí)備份、重啟

在不增加成本的前提下，可以作好安全備份的措施，一旦使用的服務(wù)器短時(shí)間無(wú)法恢復(fù)的時(shí)候，可以有一個(gè)備用服務(wù)器暫時(shí)頂替。

4.1 定時(shí)備份

除了做本地服務(wù)器備份的工作外，在其他機(jī)器進(jìn)行備份，防止網(wǎng)站服務(wù)器徹底崩潰（例如硬盤損壞），導(dǎo)致恢復(fù)時(shí)間過(guò)長(zhǎng)或無(wú)法恢復(fù)數(shù)據(jù)的嚴(yán)重后果。可以備一臺(tái)服務(wù)器專門作冗余，架設(shè)好ftp服務(wù)器（ServerU）軟件，設(shè)置好用戶名和密碼。然后在網(wǎng)站服務(wù)器端編寫一段bat命令，在計(jì)劃和任務(wù)添加定時(shí)上傳文件的命令。

4.2 定時(shí)升級(jí)和殺毒

系統(tǒng)長(zhǎng)時(shí)間不升級(jí)，容易出現(xiàn)漏洞，需要定時(shí)升級(jí)和殺毒，讓非法入侵都無(wú)機(jī)可乘，所以有必要設(shè)置一個(gè)自動(dòng)重啟的機(jī)制，可讓系統(tǒng)定時(shí)在訪問(wèn)者很少的時(shí)候自動(dòng)完成重啟的工作，對(duì)系統(tǒng)臨時(shí)文件進(jìn)行清理。

5 結(jié)語(yǔ)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客們的技術(shù)也迅速發(fā)展，總會(huì)有漏洞或其他問(wèn)題給不法份子有機(jī)可乘，所以在作足措施的同時(shí)，要養(yǎng)成一些好習(xí)慣。例如，定期手工將網(wǎng)站文件做一次備份，定期將網(wǎng)站服務(wù)器的外網(wǎng)開(kāi)放進(jìn)行漏洞升級(jí)和病毒升級(jí)，定期對(duì)服務(wù)器殺毒。作好防范措施，可以在很短時(shí)間內(nèi)立刻恢復(fù)，以保障網(wǎng)站正常訪問(wèn)。