鐘百勝

摘要：文章描述的是通過網(wǎng)絡(luò)隔離、定期自動備份、數(shù)學(xué)證書、訪問權(quán)限等手段提高網(wǎng)站的安全性的方案。針對目前小型企業(yè)或單位在有限的資金和人力背景下，通過必要的手段使網(wǎng)站安全盡量在可控的范圍內(nèi)。以Windows2003操作系統(tǒng)+ASP網(wǎng)站架構(gòu)背景，利用成本較低和可行的手段保障網(wǎng)站安全。

關(guān)鍵詞：網(wǎng)站；訪問控制；信息安全；SSL；數(shù)字證書。

隨著網(wǎng)絡(luò)應(yīng)用的迅速發(fā)展，企業(yè)和單位除了現(xiàn)實(shí)世界的廣告宣傳外，網(wǎng)站的宣傳廣播作用也是日漸增大，特別是依靠網(wǎng)絡(luò)營銷的公司。例如，現(xiàn)在手機(jī)商城的整個銷售過程都是完全依賴公司的網(wǎng)站來進(jìn)行的。

網(wǎng)站的安全工作是持久性的，總會有人想通過自己的技術(shù)能從網(wǎng)站得到他想知道的信息或者破壞網(wǎng)站從而達(dá)到自己的目的。這樣，企業(yè)和單位要花費(fèi)大量資金和精力放在網(wǎng)站安全方面，做大量的網(wǎng)絡(luò)安全措施保障網(wǎng)站的安全。

1 網(wǎng)站物理架設(shè)

在中小企業(yè)或單位架設(shè)網(wǎng)站時要面臨2個選擇：一是為了保障網(wǎng)站訪問速度，將對外網(wǎng)站服務(wù)器架設(shè)在防火墻之外。二是為了安全考慮，將網(wǎng)站服務(wù)器架設(shè)在內(nèi)網(wǎng)，采用NAT技術(shù)將外網(wǎng)IP映射給服務(wù)器使用。在本文中介紹的案例綜合考慮2個因素，將服務(wù)器安裝雙網(wǎng)卡。其中一張網(wǎng)卡是直接接入外網(wǎng)，另外一張網(wǎng)卡接到防火墻之內(nèi)。在直接接入外網(wǎng)的網(wǎng)卡設(shè)置只限80端口，其他端口全部關(guān)閉。具體操作流程：打開Windows的網(wǎng)絡(luò)“IP設(shè)置選項(xiàng)卡”—“選項(xiàng)”—“可選TCP/IP篩選”—“高級”—“啟用TCP/IP篩選（所有選配器）”—“只允許80端口”。這樣做的目的是外網(wǎng)的所有訪問只能啟用80端口，防止有些端口給非法分子使用。在內(nèi)網(wǎng)網(wǎng)卡方面，使用同樣的方法，額外增加了一個給管理員的遠(yuǎn)程管理端口3389，但是限定了管理員的網(wǎng)段。

2 IIS設(shè)置

通過IIS的合理配配置，可以大大減少非法用戶入侵的機(jī)會。根據(jù)雙網(wǎng)卡的構(gòu)思，在IIS設(shè)置里可以分別設(shè)置2個站點(diǎn)：一個是外網(wǎng)站點(diǎn)，一個是內(nèi)網(wǎng)站點(diǎn)。在外網(wǎng)站點(diǎn)里只保留“只讀”的權(quán)限，在內(nèi)網(wǎng)站點(diǎn)作以下相應(yīng)的措施。

2.1 權(quán)限設(shè)置的思路

在系統(tǒng)中創(chuàng)建一個系統(tǒng)用戶，專門給IIS訪問時使用，且在系統(tǒng)中設(shè)置其他所有的磁盤分區(qū)禁止這個用戶訪問。而內(nèi)、外網(wǎng)站點(diǎn)的主目錄對應(yīng)的那個文件夾設(shè)置允許這個用戶訪問（要去掉繼承父權(quán)限，并且加上超級管理組和SYSTEM組）。且網(wǎng)站目錄只留下該用戶和超管理員的用戶，其他用戶一律不具有任何權(quán)限。

2.2 Web站點(diǎn)權(quán)限沒定

具體的設(shè)置：讀——允許；寫——不允許；腳本資源訪問——不允許；目錄瀏覽——關(guān)閉；日志訪問——關(guān)閉；索引資源——關(guān)閉；執(zhí)行——僅限于腳本。

2.3 設(shè)置子目錄的權(quán)限

首先將整個站點(diǎn)的目錄改為只讀，然后根據(jù)網(wǎng)站程序的特別需要給予對應(yīng)的權(quán)限。特別是寫入、修改和執(zhí)行這3個權(quán)限，能不開啟盡量不要啟用。要注意上傳目錄，比如UploadFiles這樣的目錄，還有圖片目錄，取消“執(zhí)行”權(quán)限。這樣設(shè)置以后，即使攻擊者找到了上傳漏洞，把木馬上傳到UploadFiles目錄，他們也只能看，不能執(zhí)行程序。

2.4 避免不必要的信息外露

網(wǎng)站調(diào)試好之后，關(guān)閉IIS中出錯調(diào)試信息出現(xiàn)在客戶端瀏覽器中，避免程序的錯誤使信息暴露數(shù)據(jù)庫的類型、位置等信息，為入侵者提供方便。

2.5 做好安全訪問日記地錄

做好安全訪問日記地錄是為了便于追潮，使用W3C擴(kuò)充日志文件格式，每天記錄客戶IP地址、用戶名、服務(wù)器端狀態(tài)、用戶代理等。不要使用默認(rèn)的目錄，建議更換一個記日志的路，同時設(shè)置日志的訪問權(quán)限，只允許管理員和系統(tǒng)用戶。通過系統(tǒng)的計劃任務(wù)和ftp方法，自動定時，將這些記錄文件上傳到網(wǎng)站管理員的機(jī)器上作備份。

2.6 防盜鏈設(shè)置

隨著網(wǎng)站資源的豐富，特別是視頻、圖片或音頻文件比較多的時候，如果給其他人直接復(fù)制URL路徑直接超鏈接的話，會消耗自己的服務(wù)器的資源。這里推薦使用開源的“IIS入侵檢測及警報系統(tǒng)”，設(shè)置好后，一旦別人鏈接站內(nèi)資源的話會自動跳轉(zhuǎn)到設(shè)置的錯誤提示頁面。

3 SSL安全技術(shù)的應(yīng)用

設(shè)置網(wǎng)站的管理目錄安全，關(guān)閉一些普通用戶無需訪問的目錄的讀權(quán)限，首先啟用IP地址和域外限制，將管理員常用的IP地址輸入到授權(quán)訪問，其他用戶拒絕訪問。為了提高網(wǎng)站的安全性，可以啟用IIS的安全通信，采用數(shù)字認(rèn)證的方式對后臺管理目錄。

3.1 本地安裝證書服務(wù)器

由于網(wǎng)上很多數(shù)字認(rèn)證不免費(fèi)的，可以在局域網(wǎng)配置成一個CA中心服務(wù)器，可頒發(fā)個人證書和服務(wù)器證書。具體操作流程：打開“控制面板”—“添加/刪除程序”—“添加/刪除Window組件”，選中“證書服務(wù)”，并選擇“獨(dú)立根”，在出現(xiàn)的“CA標(biāo)識信息”對話框中填寫CA信息，安裝完畢。局域網(wǎng)中就已經(jīng)可以頒發(fā)證書了。在客戶端瀏覽器地址欄里輸入http：//IP地址/certsrv/就可以登錄證書申請頁面。

3.2 申請和安裝服務(wù)器證書

在IIS設(shè)置的目錄安全屬性里選擇“安全通信”再選擇“服務(wù)器證書”，用系統(tǒng)自帶的WEB服務(wù)器證書向?qū)Мa(chǎn)生（見圖1）。

3.3 申請證書

復(fù)制剛才向?qū)傻腸ertreq.txt文件內(nèi)容。然后打開認(rèn)證服務(wù)器（http：//IP地址/certsrv/），利用向?qū)暾堊C書（見圖2）。

3.4 頒發(fā)證書

進(jìn)入服務(wù)器的“控制臺”界面，通過菜單命令“控制臺”—“添加/刪除管理單元”，點(diǎn)擊“添加”—“證書頒發(fā)機(jī)構(gòu)”，添加證書頒發(fā)機(jī)構(gòu)單元。在證書管理平臺中，選擇待申請的證書，將其頒發(fā)即可。

3.5 獲得證書

客戶端登錄證書服務(wù)器，將申請通過的證書下載并保存在本機(jī)（certnet.cer文件）。

3.6 SSL連接的配置

前面的工作都準(zhǔn)備好之后，就是設(shè)置站點(diǎn)的SSL安全通信配置了，回到網(wǎng)站服務(wù)器IIS配置，設(shè)置管理后臺目錄的錄安全性。選擇要求安全通道（SSL），如圖3所示。

3.7 使用SSL安全通道登錄管理頁面

網(wǎng)站管理人員可以通過以上方式申請得到自己的證書，通過IE安裝證書的方式將證書安裝在自己的電腦上，要登錄后臺管理網(wǎng)站時，可以輸入https：//IP地址的方式登錄網(wǎng)站的后臺頁面。

4 定時備份、重啟

在不增加成本的前提下，可以作好安全備份的措施，一旦使用的服務(wù)器短時間無法恢復(fù)的時候，可以有一個備用服務(wù)器暫時頂替。

4.1 定時備份

除了做本地服務(wù)器備份的工作外，在其他機(jī)器進(jìn)行備份，防止網(wǎng)站服務(wù)器徹底崩潰（例如硬盤損壞），導(dǎo)致恢復(fù)時間過長或無法恢復(fù)數(shù)據(jù)的嚴(yán)重后果。可以備一臺服務(wù)器專門作冗余，架設(shè)好ftp服務(wù)器（ServerU）軟件，設(shè)置好用戶名和密碼。然后在網(wǎng)站服務(wù)器端編寫一段bat命令，在計劃和任務(wù)添加定時上傳文件的命令。

4.2 定時升級和殺毒

系統(tǒng)長時間不升級，容易出現(xiàn)漏洞，需要定時升級和殺毒，讓非法入侵都無機(jī)可乘，所以有必要設(shè)置一個自動重啟的機(jī)制，可讓系統(tǒng)定時在訪問者很少的時候自動完成重啟的工作，對系統(tǒng)臨時文件進(jìn)行清理。

5 結(jié)語

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客們的技術(shù)也迅速發(fā)展，總會有漏洞或其他問題給不法份子有機(jī)可乘，所以在作足措施的同時，要養(yǎng)成一些好習(xí)慣。例如，定期手工將網(wǎng)站文件做一次備份，定期將網(wǎng)站服務(wù)器的外網(wǎng)開放進(jìn)行漏洞升級和病毒升級，定期對服務(wù)器殺毒。作好防范措施，可以在很短時間內(nèi)立刻恢復(fù)，以保障網(wǎng)站正常訪問。