張雙喜

摘要：隨著Internet技術(shù)的不斷進(jìn)步,信息資源瞬間可以通過在全球共享,WWW 是 Internet 的多媒體信息查詢工具，是 Internet 上近年才發(fā)展起來的服務(wù)，也是發(fā)展最快和目前用的最廣泛的服務(wù)。因此建立一個(gè)安全的Web服務(wù)器的是十分必要的。要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 操作系統(tǒng)和IIS的雙重安全。

關(guān)鍵詞：Web服務(wù)器 操作系統(tǒng) IIS 安全

一、WWW的概述及其特點(diǎn)

World Wide Web（也稱Web、WWW或萬維網(wǎng)）是Internet上集文本、聲音、動(dòng)畫、視頻等多種媒體信息于一身的信息服務(wù)系統(tǒng)，整個(gè)系統(tǒng)由Web服務(wù)器、瀏覽器（Browser）及通信協(xié)議等3部分組成。WWW采用的通信協(xié)議是超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol），它可以傳輸任意類型的數(shù)據(jù)對(duì)象，是Internet發(fā)布多媒體信息的主要協(xié)議。

WWW 采用的是客戶/服務(wù)器結(jié)構(gòu)，其作用是整理和儲(chǔ)存各種WWW資源，并響應(yīng)客戶端軟件的請(qǐng)求，把客戶所需的資源傳送到 Windows 95（或Windows98）、Windows NT 等平臺(tái)上。

二、Web服務(wù)器的功能

（一）、信息的發(fā)布及瀏覽

信息發(fā)布是最基本的應(yīng)用，行政機(jī)關(guān)、企事業(yè)單位甚至個(gè)人，都可以借助Web服務(wù)發(fā)布或?yàn)g覽各種各樣的信息，例如時(shí)事新聞、法律法規(guī)、科普知識(shí)、技術(shù)文檔、產(chǎn)品圖文等。這些能使用戶及時(shí)地了解到各種各樣的信息。

（二）、其他網(wǎng)絡(luò)服務(wù)的平臺(tái)

在信息發(fā)布的基礎(chǔ)上可以擴(kuò)展出電子商務(wù)、資料查詢、網(wǎng)絡(luò)圖書館，辦公自動(dòng)化、web電子郵件等，只是這些應(yīng)用的交互性更強(qiáng)，還要受到網(wǎng)絡(luò)數(shù)據(jù)庫的支持。

三、構(gòu)造一個(gè)安全的Windows 2000 操作系統(tǒng)

在創(chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2000操作系統(tǒng)和IIS的雙重安全，因此IIS的用戶可以對(duì)Windows 2000的用戶，并且IIS目錄的權(quán)限依賴Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全就是確保Windows 2000操作系統(tǒng)的安全。實(shí)際上，Web服務(wù)器安全的根本就是用來保護(hù)操作系統(tǒng)的安全。

（一）、使用NTFS文件系統(tǒng)

在Windows 2000系統(tǒng)中最好使用NTFS文件系統(tǒng)，否則NTFS可以對(duì)文件和目錄進(jìn)行管理，而FAT文件系統(tǒng)只能提供共享的安全，而且在默認(rèn)情況下，每建立一個(gè)新的共享，所有的用戶就都能看到，這樣不利于系統(tǒng)的安全性。而在NTFS文件下，建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。

（二）、如何關(guān)閉默認(rèn)共享

在Windows 2000中，有一個(gè)“默認(rèn)共享”,這是在安裝服務(wù)器的時(shí)候,把系統(tǒng)安裝分區(qū)自動(dòng)進(jìn)行共享，然后對(duì)訪問需要超級(jí)用戶的密碼，但這是潛在的安全隱患，從服務(wù)器的安全考慮，最好關(guān)閉 “默認(rèn)共享”文件，以卻保系統(tǒng)的安全。

（三）、共享權(quán)限的修改

在系統(tǒng)默認(rèn)情況下，每建立一個(gè)新的共享，Everyone用戶就享有“完全控制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的損壞的權(quán)限，不能讓W(xué)eb服務(wù)器訪問到不必要的權(quán)限，給服務(wù)器帶來不必要的攻擊和危險(xiǎn)。

（四）、為系統(tǒng)管理員帳號(hào)改名

對(duì)于一般用戶，我們可以在“本地安全策略”中的“帳戶鎖定策略”中限制猜測口令的次數(shù)，但對(duì)系統(tǒng)管理員賬號(hào)(Administrator)卻無法限制，這就可能給非法用戶帶來攻擊，給管理員賬號(hào)口令帶來一定的機(jī)會(huì)，所以我們需要將管理員賬號(hào)更名。具體設(shè)置方法如下:

右擊“我的電腦”選擇 “管理”，啟動(dòng)“計(jì)算機(jī)管理”，在“本地用戶和組”中，右擊“管理員賬號(hào)(Administrator)”,選擇“重命名”如圖1-1，將管理員帳號(hào)修改為一個(gè)很普通的用戶名即可。

（五）、禁用TCP/IP 上的NetBIOS

（六）、TCP/IP上對(duì)進(jìn)站連接進(jìn)行控制

1、利用TCP/IP篩選

2、如何利用IP安全策略

IP安全策略過濾器即IP安全機(jī)制,是抵御內(nèi)部、專用網(wǎng)絡(luò)及外部安全攻擊的關(guān)鍵防線。IPSec 使用加密的安全服務(wù)來也提供數(shù)據(jù)完整性、數(shù)據(jù)身份驗(yàn)證、數(shù)據(jù)機(jī)密性和 TCP/IP 通訊重放等多種級(jí)別的保護(hù)。

案例分析：在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的時(shí)候，通過創(chuàng)建IP安全策略，利用點(diǎn)到點(diǎn)的安全模型，能夠安全有效地把源計(jì)算機(jī)的數(shù)據(jù)傳輸?shù)侥繕?biāo)計(jì)算機(jī)。那么，我們?nèi)绾蝸韯?chuàng)建IP安全策略呢？

方法如下：運(yùn)行Gpedit.msc，打開“組策略”對(duì)話窗口，如圖1-4。依次展開“計(jì)算機(jī)配置” “Windows 設(shè)置” “安全設(shè)置” “IP 安全策略，在其右側(cè)窗口中就是系統(tǒng)內(nèi)置的三條安全策略：安全服務(wù)器(要求安全設(shè)置)、客戶端(只響應(yīng))、服務(wù)器(請(qǐng)求安全設(shè)置)如圖1-3。利用IP安全策略只允許訪問80端口，就可以保障Web服務(wù)的絕對(duì)安全。

在其右側(cè)窗口中右擊，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，打開“IP安全策略向?qū)А睂?duì)話框，單擊“下一步”，然后輸入策略名稱和策略描述。單擊“下一步”，不選“激活默認(rèn)響應(yīng)規(guī)則”復(fù)選項(xiàng)，單擊“下一步”，點(diǎn)擊“完成”就完成IP安全策略的創(chuàng)建工作。

四、IIS 與Web的關(guān)系

IIS（Internet Information Server）作為當(dāng)今流行的Web服務(wù)器之一，提供了強(qiáng)大的Internet和Intranet服務(wù)功能，如何加強(qiáng)IIS的安全機(jī)制，建立一個(gè)高安全性能的Web服務(wù)器，已成為IIS設(shè)置中不可忽視的重要組成部分。

1、IIS的安全配置

2、IIS與Web的關(guān)系

在Web服務(wù)器中IIS是最終用戶提供的Web發(fā)布的，在Web服務(wù)管理中IIS是核心組件，這些組件處理了配置和管理Web應(yīng)用程序，而在Web中IIS也能配置和管理網(wǎng)上的一引起信息、傳輸文件和用戶通訊等服務(wù)信息。

五、總結(jié)

我們?cè)谕ㄟ^ Web 瀏覽器訪問信息資源的過程中，無需再關(guān)心一些技術(shù)性的細(xì)節(jié)，而且界面非常好看，因而 Web 在Internet 上一推出就受到了熱烈的歡迎，并迅速得到了技術(shù)性的發(fā)展。但事物的發(fā)展是相對(duì)的，隨著現(xiàn)代信息技術(shù)的不斷發(fā)展，同時(shí)也經(jīng)常被發(fā)現(xiàn)有新的安全漏洞，因此對(duì)其安全的研究我們還需要不斷的深入了解,能夠做到及時(shí)發(fā)現(xiàn)問題并將其解決。