日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

建立安全的Web站點(diǎn)( 三 )

云知道


對(duì)于Web服務(wù)器,最基本的性能要求是響應(yīng)時(shí)間和吞吐量 。響應(yīng)時(shí)間通常以服務(wù)器在單位時(shí)間內(nèi)最多允許的鏈接數(shù)來衡量,吞吐量則以單位時(shí)間內(nèi)服務(wù)器傳輸?shù)骄W(wǎng)絡(luò)上的字節(jié)數(shù)來計(jì)算 。
典型的功能需求有:提供靜態(tài)頁(yè)面和多種動(dòng)態(tài)頁(yè)面服務(wù)的能力;接受和處理用戶信息的能力;提供站點(diǎn)搜索服務(wù)的能力;遠(yuǎn)程管理的能力 。
典型的安全需求有:在已知的Web服務(wù)器(包括軟、硬件)漏洞中,針對(duì)該類型Web服務(wù)器的攻擊最少;對(duì)服務(wù)器的管理操作只能由授權(quán)用戶執(zhí)行;拒絕通過Web訪問Web服務(wù)器上不公開的內(nèi)容;能夠禁止內(nèi)嵌在操作系統(tǒng)或Web服務(wù)器軟件中的不必要的網(wǎng)絡(luò)服務(wù);有能力控制對(duì)各種形式的執(zhí)行程序的訪問;能對(duì)某些Web操作進(jìn)行日志記錄,以便與入侵檢測(cè)和入侵企圖分析;具有適當(dāng)?shù)娜蒎e(cuò)功能 。
所以,在選擇Web服務(wù)器時(shí),首先要從建立網(wǎng)站的單位的實(shí)際情況出發(fā),根據(jù)安全政策決定具體的需求,廣泛地收集分析產(chǎn)品信息和相關(guān)知識(shí),借鑒優(yōu)秀方案或?qū)嵤┌咐木A,選擇你認(rèn)為能夠最好地滿足本單位包括安全考慮在內(nèi)的需求的產(chǎn)品組合 。
四、建立安全的Web網(wǎng)站
在本篇文章的開始討論過Web站點(diǎn)的組成的三個(gè)部分 。需要強(qiáng)調(diào)的是,主機(jī)操作系統(tǒng)是Web的直接支撐者,合理配置主機(jī)系統(tǒng),能為Web服務(wù)器提供強(qiáng)健的安全支持 。
1、理解配置主機(jī)操作系統(tǒng)
(1) 僅僅提供必要的服務(wù)
已經(jīng)安裝完畢的操作系統(tǒng)都有一系列常用的服務(wù),UNIX系統(tǒng)將提供Finger、Rwho、RPC、LPD、Sendmail、FTP、NFS、IP轉(zhuǎn)發(fā)等服務(wù) 。Windows NT系統(tǒng)將提供RPC(遠(yuǎn)程過程調(diào)用)IP(網(wǎng)際協(xié)議)轉(zhuǎn)發(fā)、FTP(文件傳輸協(xié)議)、SMTP(簡(jiǎn)單郵件傳輸協(xié)議)等 。而且,系統(tǒng)在缺省的情況下自動(dòng)啟用這些服務(wù),或提供簡(jiǎn)單易用的配置向?qū)?。這些配置簡(jiǎn)單的服務(wù)應(yīng)用在方便管理員而且增強(qiáng)系統(tǒng)功能的同時(shí),也埋下了安全隱患 。因?yàn)椋P(guān)于這些應(yīng)用服務(wù)的說明文檔或是沒有足夠的提醒,或是細(xì)碎繁雜使人無暇細(xì)研,不熟練的管理員甚至沒有認(rèn)真檢查這些服務(wù)的配置是否清除了已知的安全隱患 。
為此,在安裝操作系統(tǒng)時(shí),應(yīng)該只選擇安裝必要的協(xié)議和服務(wù);對(duì)于UNIX系統(tǒng),應(yīng)檢查/etc/rc.d/目錄下的各個(gè)目錄中的文件,刪除不必要的文件;對(duì)于Windows系統(tǒng),應(yīng)刪除沒有用到的網(wǎng)絡(luò)協(xié)議,不要安裝不必要的應(yīng)用軟件,如C/C編譯程序等 。一般情況下,應(yīng)關(guān)閉Web服務(wù)器的IP轉(zhuǎn)發(fā)功能 。
系統(tǒng)功能越單純,結(jié)構(gòu)越簡(jiǎn)單,可能出現(xiàn)的漏洞越少,因此越容易進(jìn)行安全維護(hù) 。對(duì)于專門提供Web信息服務(wù)(含提供虛擬服務(wù)器)的網(wǎng)站,最好由專門的主機(jī)(或主機(jī)群)作Web服務(wù)器系統(tǒng),對(duì)外只提供Web服務(wù),沒有其他任務(wù) 。這樣,可以保證(1)使系統(tǒng)最好地為Web服務(wù)提供支持;(2)管理人員單一,避免發(fā)生管理員之間的合作不調(diào)而出現(xiàn)安全漏洞的現(xiàn)象;(3)用戶訪問單一,便于控制;(4)日志文件較少,減輕系統(tǒng)負(fù)擔(dān) 。
對(duì)于必須提供其他服務(wù),如(提供需擬網(wǎng)站服務(wù))FTP服務(wù)與Web服務(wù)共用文件空間,既FTP和HTTP共享目錄,則必須仔細(xì)設(shè)置各個(gè)目錄、文件的訪問權(quán)限,確保遠(yuǎn)程用戶無法上傳通過Web服務(wù)所能讀取或執(zhí)行的文件 。
(2) 使用必要的輔助工具,簡(jiǎn)化主機(jī)的安全管理
啟用系統(tǒng)的日志(系統(tǒng)帳戶日志和Web服務(wù)器日志)記錄功能 。監(jiān)視并記錄訪問企圖是主機(jī)安全的一個(gè)重要機(jī)制,以利于提高主機(jī)的一致性以及其數(shù)據(jù)保密性 。
Unix系統(tǒng),可以在服務(wù)器上安裝tcp_wrapper工具 。它在其他網(wǎng)絡(luò)服務(wù)啟動(dòng)之前首先啟動(dòng) 。tcp_wrapper的配置文件可以控制只有本主機(jī)上的用戶才可以用登陸(Telnet)到本服務(wù)器 。
Windows NT提供端口訪問控制功能,有助于加強(qiáng)Web服務(wù)器的安全 。在網(wǎng)絡(luò)→協(xié)議→TCP/IP協(xié)議屬性→高級(jí),選用“啟用安全機(jī)制” → 配置,將出現(xiàn)窗口 。選擇“僅允許”,便可以利用“添加”功能,設(shè)置允許訪問的端口 。

推薦閱讀