WebLogic-Web服务器安全配置基线(同名23086)

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1 系统启动账号 (3)1.1.2 帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP协议 (6)3.1.1支持加密协议 (6)3.1.2 限制应用服务器Socket数量 (7)3.1.3 禁用Send Server Header (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1 系统启动账号1.1.2 帐号锁定策略1.2口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2 限制应用服务器Socket数量3.1.3 禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准目录第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1 共享帐号管理 (12)1.1.2 无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2 目录列表访问限制 (16)3.2.3 禁用危险HTTP方法 (17)第1章账号管理、认证授权1.1账号管理1.1.1 共享帐号管理1.1.2 无关帐号管理1.2口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理3.2.2 目录列表访问限制3.2.3 禁用危险HTTP方法。

WEBLOGIC的安装、配置和启动WEBLOGIC的安装、配置和启动⼀、软件安装1. 安装前的准备⼯作1.1 ⾸先请确认您要安装的WebLogic版本所在的平台已通过了BEA的认证，完整的认证平台列表请参考1.2 确定⼀个安装⽬录，建议该⽬录下⾄少有1个G的空间，可单独创建个逻辑卷和⽂件系统1.3 创建⼀个BEA⽤户组帐号1.4 创建⼀个weblogic⽤户帐号2. 安装步骤WebLogic在AIX平台下的安装⽅法⼀般有三种:图形窗⼝模式，控制台模式，⽆⼈守护安装模式。

由于控制台模式的使⽤最为⼴泛且不受任何其它硬件条件的限制（所以我们这⾥只介绍控制台安装模式。

2.1 安装JRE环境WebLogic安装程序需要JRE的⽀持，根据安装平台的不同，WebLogic的安装介质也分为两类，⼀种⾃带了JRE（后缀名为.bin）,⼀种需要下载平台⼚商所提供的JRE环境(后缀名为.jar)，以WebLogic Server 8.1 with SP2为例，⽬前所⽀持的UNIX/LINUX平台如下所⽰(截⽌2004.2.23) WebLogic Server 8.1 with SP2⽀持平台是否⾃带JDKHP-UX (11.0,11.i, PA-RISC) YESSun Solaris (8, 9, SPARC) YESRed Hat Enterprise Linux (2.1, Pentium) YESRed Hat Enterprise Linux (2.1, Itanium) YESSuSE SLES (8, Pentium) YESUnited Linux (1.0, Pentium) YESIBM AIX (5.1, 5.2) NO⾸先要下载和操作系统以及WEBLOGIC相匹配JDK版本，最好是经过BEA认证的版本。

可查询以下链接；在AIX上安装JDK要注意以下步骤：安装后要修改环境变量/etc/environment⽂件，将PATH中Java部分更改为新安装的Java版本（Java131或Java14）,并重新Login后⽣效！否则系统会使⽤原有的Java130环境，在安装weblogic7.0以上版本时会⾃动退回到提⽰符下。

1.安装weblogic2.安装xmanager3.创建域3.1.在aix unix下创建域先通过xmanager登录系统，用户root口令root在terminal下执行cd /bea/weblogic81/common/bin./ config.sh建新域的操作同下面的windows的操作3.2在windows下创建域1.启动开始菜单的quickstart，执行create a new domain configuration…2．下一步3．下一步，选自定义4．下一步，name=myserver,listen port:60015．下一步6．下一步，user=weblogic password=weblogic7．下一步8．下一步，选择生产模式aix机器要选用ibm提供的jdk,路径：/usr/java14 9．下一步10．创建，完成4.配置服务4.1服务配置：4.1.1启动口令配置文件：在管理服务器的主目录中，例如：/bea/user_projects/domains/mydomain，创建文件boot.properties加入两行username=weblogicpassword=weblogic4.1.2启动命令配置在启动命令startWebLogic.sh最后加上-DINDIGO_HOME=\bea\app4.1.3系统环境设置no -p -o udp_sendspace=327684.2集群服务配置：4.2.1管理服务器配置----代理服务器1.http://管理服务器:6001/console2.部署一个web应用proxy.warproxy.war中的web.xml的地址需要作相应修改,参与cluster的服务器都需要加上。

例如：<param-name>WebLogicCluster</param-name><param-value>localhost1:9001|localhost2:9001</param-value>4.2.2管理服务器配置----cluster1.http://管理服务器:6001/console2.新建一个clustername = jungleCluster(任意)clusteraddress =被管理服务器1:9001,被管理服务器2:9001multicast Address = 237.0.0.1multicast Port = 6000(不能和6001--管理服务器和9001--被管理服务器重复) 4.2.3管理服务器配置----managed server1.http://管理服务器:6001/console2.新建一个server属于上面所建的clustercluster = myClustername = MyServer1listen address = 当前物理机器ipport = 60014.2.4被管理服务器配置1.从已建domain目录中，拷贝startManagedWebLogic.sh为startm.sh2.修改startm.sh文件，有五处要修改，下面有全部拷贝及其修改说明。

Web Logic中间件配置安全基线标准与操作指南南京农业大学图书与信息中心2018年6月目录第1章概述 (1)1.1 安全基线概念 (1)1.2 文档编制目的 (1)1.3 文档适用范围 (1)1.4 文档修订 (1)第2章账号管理、认证授权 (1)2.1 账号管理 (1)2.1.1 系统启动帐号 (1)2.1.2 帐号锁定策略 (1)2.2 口令 (1)2.2.1 密码复杂度 (1)第3章日志配置 (2)3.1 日志配置 (2)3.1.1 审核记录 (2)第4章IP 协议安全配置 (3)4.1 IP 协议 (3)4.1.1 支持加密协议 (3)4.1.2 限制应用服务器Socket 数量 (3)4.1.3 禁用Send Server Header (4)第5章其他配置操作 (4)5.1 登录安全管理 (4)5.1.1 定时登出 (4)5.1.2 更改默认端口 (5)5.1.3 错误页面处理 (5)5.1.4 目录列表访问限制 (5)第1章概述1.1 安全基线概念安全基线是指满足最小安全保证的基本要求。

1.2 文档编制目的本文档针对安装运行Weblogic中间件的服务器主机所应当遵循的基本安全设置要求提供了参考建议，供校园网用户在安装使用Weblogic中间件提供HTTP服务过程中进行安全合规性自查、检查、加固提供标准依据与操作指导。

1.3 文档适用范围本文档适用于Weblogic的各类版本。

1.4 文档修订本文档的解释权和修改权属于南京农业大学图书与信息中心，欢迎校园网用户提供意见或建议，请发送至security@。

第2章账号管理、认证授权2.1 账号管理2.1.1 系统启动帐号2.1.2 帐号锁定策略2.2 口令2.2.1 密码复杂度第3章日志配置3.1 日志配置3.1.1 审核记录第4章IP 协议安全配置4.1 IP 协议4.1.1 支持加密协议4.1.2 限制应用服务器Socket 数量4.1.3 禁用Send Server Header第5章其他配置操作5.1 登录安全管理5.1.1 定时登出5.1.2 更改默认端口5.1.3 错误页面处理5.1.4 目录列表访问限制。

Weblogic 服务器的基本配置一、配置服务器工作目录：启动配置向导程序，此时界面如下选择下一步，选择Base Welogic Server Domain此处要求输入管理控制台的用户名和密码：用户名：weblogic密码：weblogic选择下一步，选择要使用的JDK选择要保存工作目录的硬盘位置及工作目录名称。

选择Create，等待创建完成，如下所示为服务器创建工作目录过程服务器工作目录配置成功二、配置数据源（DB2）找到db2java.zip的存放位置：SQLLIB\java12\db2java.zip若需要配置DB2数据源，首先需要保证DB2驱动程序已升级，之后将SQLLIB\java12\db2java.zip文件拷贝至bea/weblogic81/server/lib/下注意，此时db2java.zip文件还不能被weblogic所使用，需要指定db2java.zip的存放路径打开之前建立的工作目录，找到G:\bea\mydomain04\下的startManagedWebLogic.cmd文件点右键编辑此文件打开文件如下：找到setCLASSPATH=%WEBLOGIC_CLASSPATH%;%POINTBASE_CLASSPATH%;%JA V A_HOME%\jre\lib\rt.jar;% WL_HOME%\server\lib\webservices.jar;%CLASSPATH%如图所示：编辑此段代码，将db2java.zip的路径引入加入此代码：;%WL_HOME%\server\lib\db2java.zip保存退出启动服务器：开始——>程序——>BEA Weblogic Platform 8.1——>User Projects——>mydomain04——>Start Server 如图所示：可以发现，此时服务器启动已经将db2java.zip文件的类路径加入注意：此服务器不要关闭之后打开IE浏览器在地址栏输入：http://localhost:7001/console输入此地址之后打开weblogic管理登陆页输入刚才配置工作目录时所需要的用户名与编码选择登陆此时界面如下：直接刷新此页面（F5），则直接进入Weblogic的管理控制台，如图所示：打开服务——>JDBC——>Connection Pool，如图所示：选择配置一新Connection Pool选择所需要的数据库及驱动选择下一步输入连接池的名称：MyJDBC Connection Pool输入数据库名称：testDB 输入用户名：test输入密码：test选择继续测试驱动配置连接成功后如图所示：选择创建并部署，添加完成此时，连接池配置成功左边导航栏也会出现提示之后配置数据源选择Server——>JDBC——>DataSource，如下图所示：点开之后，如下图所示：输入数据源名称：jdbc/db2选择继续，选择刚才新建好的Connection Pool，如图所示：选择继续，如下图所示：选择创建，则此数据源创建成功，此时界面如下所示：此时左边导航条也用相应提示三、发布WEB应用程序此程序为数据库访问程序java程序：DataBase.javapackage cn.itcareers.database;import java.sql.*;import javax.sql.DataSource;import javax.naming.*;import java.util.*;public class DataBase{//声明一InitialContext对象，用于取得初始化容器private InitialContext initialcontext ;//声明一DataSource对象，用于查找DataSourceprivate DataSource datasource ;//声明一Connection对象，用于连接数据库private Connection conn ;//声明一Statement对象，用于操作数据库private Statement stmt ;//声明一name对象用于存放JNDI名称private String name = "jdbc/db2" ;//声明一row的整型数组，用于得到批处理更新的行数private int[] row ;//DataBase 初始化操作public DataBase(){try {//取得初始化容器initialcontext = new InitialContext();}catch (NamingException ex1) {System.out.println("Initial Context 错误！："+ex1.getMessage());}try {//查找初始化容器中的name名称，返回结果转为DataSource datasource = (DataSource) initialcontext.lookup(name);}catch (NamingException ex) {System.out.println("DataSource 错误！："+ex.getMessage());}try {//数据库连接操作conn = datasource.getConnection();}catch (SQLException ex2) {System.out.println("数据库连接出错！");}}//数据库查询操作public ResultSet executeQuery(String sql){ResultSet rs=null;try{//conn = datasource.getConnection();stmt=conn.createStatement();rs=stmt.executeQuery(sql);}catch(SQLException e){System.out.println("数据库查询错误！："+e.getMessage());}return rs;}//数据库更新操作public void executeUpdate(String sql) {try {//conn = datasource.getConnection();conn.setAutoCommit(false);stmt = conn.createStatement();try {stmt.executeUpdate(sql);mit();}catch (SQLException r) {conn.rollback();System.err.println("数据库错误！：" + r.getMessage());}}catch (SQLException e) {System.err.println("数据库更新出错！：" + e.getMessage());}}public void closeStmt() {try {stmt.close();catch (SQLException e) {System.out.println("数据库操作关闭出错！："+e.getMessage());}}public void closeConn() {try {conn.close();}catch (SQLException e) {System.out.println("数据库断开出错！："+e.getMessage());}}}accessbean.jsp<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML><HEAD><%@ pagelanguage="java"contentType="text/html; charset=GBK"pageEncoding="GBK"import="java.sql.*"%><META http-equiv="Content-Type" content="text/html; charset=GBK"><META name="GENERATOR" content="IBM WebSphere Studio"><META http-equiv="Content-Style-Type" content="text/css"><LINK href="theme/Master.css" rel="stylesheet" type="text/css"><TITLE>testDB.jsp</TITLE></HEAD><BODY><jsp:useBean id="database" class="cn.itcareers.database.DataBase"scope="page"></jsp:useBean></BODY><%try{ResultSet rs = database.executeQuery("select * from study") ;while(rs.next()){out.print(rs.getString(1));out.print(rs.getString(2));out.println("<br><br>");rs.close();}catch(Exception e){e.printStackTrace();}finally{database.closeStmt();database.closeConn();}%></HTML>A、用上传war文件发布WEB应用程序文件存放格式如图所示：weblogic中如果要发布应用程序，可以是war、jar，但此文件中必须有WEB-INF/web.xml、文件夹和文件，可用jar命令将一个目录打包成war文件进入命令行方式：键入cmd进入：g:\testjsp目录键入：jar -cvf testweb.war jsp * 命令如下图所示：执行此命令，如下图所示此时生成一testweb.war文件Testweb.war打开此文件，可以发现文件目录此时完成了war文件的打包下一步开始在weblogic上发布应用程序选择部署一个新的web应用模块选择上传文件选择浏览，找到刚才的testweb.war文件，如图所示：选择打开选择（Upload）上传之后如下所示：选择myserver，进入，如图所示：打开upload，如下图所示：选中testweb.war文件，选择Target Module，此时如下图所示：选择Deploy，此时界面如下：左边导航条如下所示：打开浏览器，在地址栏输入：http://localhost:7001/testweb/access.jsp如下图所示：B、直接对服务器端开发打开配置好的工作目录下的applications文件夹在内部建立一工作目录：testjsp，其结果与之前相同之后打开weblogic管理控制台找到发布应用程序找到如下所示界面：部署一新的WEB应用模块选择部署一新的Web应用模块选择Target Module，界面如下所示：之后界面如下所示：之后打开浏览器运行：http://localhost:7001/testjsp/accessbean.jsp 界面如下所示：。

Tomcat Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1共享帐号管理* (5)2.1.2无关帐号管理* (5)2.2口令 (6)2.2.1密码复杂度 (6)2.2.2密码生存期 (7)2.3授权 (7)2.3.1用户权利指派* (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1审核登录 (9)第4章IP协议安全配置 (10)4.1IP协议 (10)4.1.1支持加密协议* (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1定时登出 (11)5.1.2错误页面处理 (11)5.1.3目录列表访问限制 (12)第6章评审与修订 (14)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的Tomcat Web 服务器系统。

1.3 适用版本4.x、5.x、6.x版本的Tomcat Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权2.1 帐号2.1.1共享帐号管理*2.1.2无关帐号管理*2.2 口令2.2.1密码复杂度2.2.2密码生存期2.3 授权2.3.1用户权利指派*第3章日志配置操作3.1 日志配置3.1.1审核登录第4章IP协议安全配置4.1 IP协议4.1.1支持加密协议*第5章设备其他配置操作5.1 安全管理5.1.1定时登出5.1.2错误页面处理检测操作步骤1、参考配置操作(1)查看tomcat/conf/web.xml文件:<error-page><error-code>404</error-code><location>/noFile.htm</location></error-page>……………<error-page><exception-type>ng.NullPointerException</exception-type> <location>/ error.jsp</location></error-page>基线符合性判定依据1、判定条件要求包含如下片段：备注5.1.3目录列表访问限制安全基线项目名称Tomcat目录列表安全基线要求项安全基线编号SBL-Tomcat-05-01-03安全基线项说明禁止tomcat列表显示文件检测操作步骤1、参考配置操作(1) 编辑tomcat/conf/web.xml配置文件，<init-param><param-name>listings</param-name> <param-value>true</param-value></init-param>把true改成false(2)重新启动tomcat服务基线符合性判定依据1、判定条件当WEB目录中没有默认首页如index.html,index.jsp等文件时，不会列出目录内容2、检测操作第6章评审与修订本标准由中国移动通信有限公司管理信息系统部定期进行审查，根据审视结果修订标准，并颁发执行。

1.1WebLogic服务器对Web安全验证的技术支持（第1部分）1、WebLogic Server中的安全框架介绍（1）WebLogic Server的安全框架是依照J2EE安全规范定义的J2EE应用程序开发者可以很容易的使用这个框架提供的服务保护自己的应用程序。

（2）在WebLogic Server环境下，组件的安全是由容器负责的组件的开发人员可以不用或者很少在组件中添加安全代码。

这种安全逻辑和业务逻辑相对独立的架构，使得企业级应用系统有更好的灵活性和扩展性。

（3）WebLogic Server遵守J2EE规范为应用程序开发者提供了两种形式的基于容器的安全性1)说明性的安全性2)可编程的安全性。

2、WebLogic Server的安全框架的主要特点（1）即装即用的安全模块BEA WebLogic Server支持由J2EE所声明的包含诸如用户ID、角色、访问控制列表、审计、安全事件等的安全性。

要实现这些特性，WebLogic Server囊括了一个安全框架，该框架能够通过安全提供方的模块进行扩展。

WebLogic Server允许这些模块采用即装即用的实现方式。

您可以在框架中插入自定义的模块。

（2）主要的安全服务BEA WebLogic Server 向所有的应用系统和应用组件，提供功能齐全的安全服务--先进的认证、授权、审核和加密功能。

●BEA Weblogic 安全框架应用BEA WebLogic 安全框架，能够使得开发者从业务逻辑中去除掉安全代码，从而让容器来保证应用系统的安全，从而解决了保证应用安全方面的难题（分离业务逻辑和安全逻辑）。

●安全策略通过其动态角色映射和利用授权策略引擎，BEA WebLogic Server 允许根据实际情况实时创建和处理安全策略与角色，因此，创建的安全策略强大而灵活。

●与第三方安全解决方案间的互操作性BEA WebLogic 安全框架支持即插即用，因此，允许外来安全解决方案管理 BEA WebLogic 资源。

服务器安装配置与操作说明文档(1)服务器名称和用途服务器名称：JSBC-DB1 JSBC-DB2服务器用途：网站(2)硬件配置CPU：XEON E5405MEM：16GDISK：146G×3RAID：5(3)软件列表centos 5.2weblogic 10.3(4)软件安装步骤获取并上传weblogic安装介质到一个临时目录开始安装chmod a+x wls1034_oepe111161_linux32.bin ./filename.bin进入控制台安装的欢迎界面，键入Next继续此时出现授权许可协议，读完后键入Yes继续提示选择一个BEA主目录，如下所示Choose BEA Home Directory:"BEA Home" = [/root/bea]Input new BEA Home OR Exit Previous Next> 如果想更改默认的BEA主目录，重新输入完整的目录路径即可，否则键入Next继续，如：/home/bea确认BEA主目录Choose BEA Home Directory: -> 1| Yes, Use this BEA home directory [/home/bea] 2| No, return to BEA home directory selectionEnter index number to select OR Exit Previous Next> 键入[1]继续选择安装类型Choose Install Type:-> 1|Complete Installation|Install the complete BEA WebLogic Platform. 2|Custom Installation|Choose software components to install and optionallycreate custom|application domains. Recommended for advanced users. 键入[1]继续选择安装路径Choose Product Directory:Product Installation Directory = [/home/bea/weblogicXX]Input new Product Installation Directory OR Exit Previous Next> 键入Next继续确认安装路径Choose Product Directory:-> 1| Yes, use this product directory [/home/weblogic] 2| No, select another product directoryEnter index numbers to select OR Exit Previous Next> 键入[1]继续2.4.8 现在开始安装，此时会出现一个模拟的进度条，耐心等待，直到100%安装顺利结束。

WebSphere Web服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (4)2.1帐号 (4)2.1.1应用程序角色 (4)2.1.2控制台帐号安全 (5)2.1.3口令管理 (5)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号应用程序角色控制台帐号安全口令管理密码复杂度2.2 认证授权控制台安全全局安全性与Java2安全第3章日志配置操作3.1 日志配置日志与记录第4章备份容错4.1 备份容错第5章设备其他配置操作5.1 安全管理控制台超时设置示例程序删除错误页面处理文件访问限制目录列出访问限制控制目录权限补丁管理*第6章评审与修订。

1.1WebLogic服务器对Web安全验证的技术支持（第2部分）1.1.1在Weblogic中实现基于表单的安全验证1、基于表单的验证概述（1）基于表单的验证基于From的安全认证可以通过WebLogic Server对Form表单中所提供的数据进行验证，基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。

这种验证方法与基本HTTP的验证方法的唯一区别就在于它可以根据用户的要求制定登陆和出错页面。

通过拦截并检查用户的请求，检查用户是否在应用系统中已经创建好login session。

如果没有，则将用户转向到认证服务的登录页面。

但在Weblogic中的基于表单的验证凭证不被保护并以纯文本发送。

（2）WebLogic 中的实现在WebLogic中，缺省的用户，组和角色都是在XML配置文件中指定的，我们只需要提供一个登陆页面，包含一个名为j_security_check的Form表单，一个名为j_username的TextBox 和一个名为j_password的PasswordBox，然后在/WEB-INF/web.xml和webLogic.xml中配置即可使用WebLogic默认的JAAS身份验证。

使用JAAS验证的好处是，验证逻辑从页面中分离，对页面的限制访问是通过/WEB-INF/web.xml中的配置指定的，无需自定义过滤器；在调用EJB时，Web容器能隐含的把Principal传递给EJB容器，从而和EJB的安全限制联系起来。

（3）为了实现Web应用程序的安全，Weblogic Web容器执行下面的步骤：1)在受保护的Web资源被访问时，判断用户是否被认证。

2)如果用户没有得到认证，则通过重定向到部署描述符中定义的注册页面，要求用户提供安全信任状。

3)根据为该容器配置的安全领域，确认用户的信任状有效。

4)判断得到认证的用户是否被授权访问部署描述符（web.xml）中定义的Web资源。

TongWeb服务器安全配置基线TongWeb服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章账号管理、认证授权 (1)2.1帐号 (1)2.1.1应用帐号分配 (1)2.1.2用户口令设置 (2)2.1.3用户帐号删除 (3)2.2认证授权 (4)2.2.1控制台安全 (4)第3章日志配置操作 (6)3.1日志配置 (6)3.1.1日志与记录 (6)第4章备份容错 (8)4.1备份容错 (8)第5章IP协议安全配置 (9)5.1IP通信安全协议 (9)第6章设备其他配置操作 (11)6.1安全管理 (11)6.1.1禁止应用程序可显 (11)6.1.2端口设置* (12)6.1.3错误页面处理 (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本5.x版本的TongWeb服务器。

1.4 实施1.5 例外条款第2章账号管理、认证授权2.1 帐号2.1.1应用帐号分配修改用户直接点击用户名，进行修改，如图：1、判定条件各账号都可以登录TongWeb服务器为正常。

2.1.2用户口令设置1、判定条件检查帐号口令是否符合口令复杂度要求。

2.1.3用户帐号删除2.2 认证授权2.2.1控制台安全选择“admin”，如下图：第3章日志配置操作3.1 日志配置3.1.1日志与记录第4章备份容错4.1 备份容错第5章IP协议安全配置5.1 IP通信安全协议2、修改tongweb的配置文件twn.xml，如图所示：1、判定条件使用https方式登陆TongWeb服务器页面，登陆成功2、检测操作使用https方式登陆TongWeb服务器管理页面ip：https：//ip:8445/twns第6章设备其他配置操作6.1 安全管理6.1.1禁止应用程序可显如果希望显示，可进行如图操作：6.1.2端口设置*定制部署到该虚拟主机上的所有web应用的错误页面，每个web应用都可以在自己的web.xml里覆盖这个配置，属性值分为3个部分：code指定错误号，path指定错误页的绝对路径，reason指定错误原因。

WebLogic Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1系统启动帐号 (5)2.1.2帐号锁定策略 (5)2.2口令 (6)2.2.1密码复杂度 (6)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)4.1.2限制应用服务器Socket数量 (8)4.1.3禁用Send Server Header (9)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (11)第6章评审与修订 (12)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。

1.3 适用版本8.x 9.x 10.x版本的WebLogic Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

1.1WebLogic服务器对Web安全验证的技术支持（第5部分）1.1.1数字签名和数字证书技术概述1、消息摘要（1）消息摘要可以看作是原始数据的指纹消息摘要是对原始数据按照一定算法进行计算得到的结果，它主要检测原始数据是否被修改过。

消息摘要与加密不同，加密是对原始数据进行变换，可以从变换后的数据中获得原始数据，而消息摘要是从原始数据中获得一部分信息，它比原始数据少得多，因此消息摘要可以看作是原始数据的指纹。

（2）消息摘要有两个基本特性1)两个不同的报文难以生成相同的摘要；2)难以对指定的摘要生成一个报文，而再由该报文反推算出该指定的摘要。

（3）消息摘要的作用消息摘要主要用于保持数据的完整性，我们经常听到的校验和就是消息摘要的一个特例。

它的算法是一个单项函数。

也就是直接将输入的数据进行消息摘要提取，但绝不能从消息摘要生成原数据。

例如，在银行系统，为了不让管理数据库的员工把我们的密码看到，系统本身在我们的密码存入数据库中之前就做了消息摘要的提取，这样库中别人看到的是一串奇怪的串，他也没法逆向获得我们的明文密码。

（4）消息摘要产生的示例代码---下面一段程序计算一段字符串的消息摘要import java.security.*;public class DigestPass{public static void main(String[] args) throws Exception{String str="Hello,I sent to you 80 yuan.";MessageDigest md = MessageDigest.getInstance("MD5");//常用的有MD5,SHA算法等md.update(str.getBytes("UTF-8"));//传入原始字串byte[] re = md.digest();//计算消息摘要放入byte数组中String result = "";for(int i=0;i＜re.length;i++){ //下面把消息摘要转换为字符串result += Integer.toHexString((0x000000ff&re[i])|0xffffff00).substring(6);}System.out.println(result);}}2、消息验证码安全验证码只有消息的发送者和消息的接收者知道，它是一个钥匙（通过MD5摘要方式生成的一个字串）。

图解WEBLOGIC详细安装及配置
很多初学者多不是很了解配置WEBLOGIC的详细要求，在下抽出工作之余整理了演示文稿，希望能解决对WEBLOGIC的初步认识。

前提：安装J2SDK1.4.1或更高版本，安装数据库，添加驱动包或设置环境变量。

一般采取设置环境变量；也可以把驱动包放置默认路径weblogic81\common\lib下
创建WEBLOGIC服务Configuration Wizard
创建用户，记住密码
指定JDK
服务的名字beayan
不要自动起用服务，要自己启动（这是程序员的规范）
环境变量（ORACLE为例）SET CLASSPA TH=%CLASSPATH%；C：\classes12.jar 其他信息可修改weblogic81\server\bin\startWLS.cmd
启动服务器发现在程序菜单中多了什么了吧！！
通常菜鸟犯的错误！应该是http://127.0.0.1:7001/console上面创建的用户名，和密码
创建JNDI，选择JDBC DATA SOURCES添加数据源
ORACLE
选择数据库类型，尽量使用自己的驱动包。

注释：SQLSERVER数据库驱动包不是很好用（对我个人而言），偶尔创建
不出来。

测试驱动（成功）。

WebLogic Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1系统启动帐号 (5)2.1.2帐号锁定策略 (5)2.2口令 (6)2.2.1密码复杂度 (6)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)4.1.2限制应用服务器Socket数量 (8)4.1.3禁用Send Server Header (9)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (11)第6章评审与修订 (12)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。

1.3适用版本8.x 9.x 10.x版本的WebLogic Web服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。