WebLogic中间件配置安全基线标准与操作指南-南京农业大学

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1 系统启动账号 (3)1.1.2 帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP协议 (6)3.1.1支持加密协议 (6)3.1.2 限制应用服务器Socket数量 (7)3.1.3 禁用Send Server Header (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1 系统启动账号1.1.2 帐号锁定策略1.2口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2 限制应用服务器Socket数量3.1.3 禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准目录第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1 共享帐号管理 (12)1.1.2 无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2 目录列表访问限制 (16)3.2.3 禁用危险HTTP方法 (17)第1章账号管理、认证授权1.1账号管理1.1.1 共享帐号管理1.1.2 无关帐号管理1.2口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理3.2.2 目录列表访问限制3.2.3 禁用危险HTTP方法。

Weblogic中间件安装配置指南（Weblogic 8.1 for Linux）北京久其软件股份有限公司2009年3月1概述Weblogic的安装配置总共包括五个部分：1. 安装前准备3. Weblogic8.1中间件产品的安装4. 创建Weblogic实例5. 配置实例说明：本文档的WebLogic的安装是在linux环境下的,在Unix环境下的安装和Linux 环境的安装差别不大。

2安装前准备1.确定一个安装目录，建议该目录下至少有1个G的空间，可以使用df来查看磁盘空间的使用情况，df命令后可加参数：如-k，使用 KBytes 显示结果；-m，使用MBytes 显示结果。

如下图：2.创建一个用户组帐号,命令如下：groupadd groupname比如创建一个组名叫bea的用户组：groupadd bea。

3.创建一个weblogic用户帐号，命令如下：useradd –g groupname username说明：groupname代表用户的所属用户组的名称。

比如：useradd –g bea weblogic 。

3安装Weblogic8.1特别说明：如果直接在Linux服务器上安装的话，可以启动Weblogic的图像安装界面，在图形安装界面安装较为简单，如果是通过一些Linux客户端文档工具安装俺么就不会启动图形界面，只能在文字界面下安装，而且要一定的英文阅读能力，请见附录部分。

安装步骤：1. 将weblogic安装程序放到到一个临时目录。

2. 以root用户赋予.bin文件weblogic用户可执行权限，执行：chmod a+x filename.bin3. 以刚刚创建的weblogic用户登陆，执行：su - weblogic4. 找到weblogic8.1的安装文件，执行./ platform813_hpux32.bin，开始解压，如下图所示：5. 解压缩完以后，进入到Weblogic安装向导界面，如图所示：6. 点击下一步，进入到许可协议界面，选择“是”，然后点击“下一步”路径；（这个路径需要记住，在配置实例的时候需要用到）8. 点击“下一步”，进入到下面的窗口；9. 选择“自定义”，进入到下面的窗口：进入到下面的界面；11. 在上面的窗口中选择产品安装的目录，也采用默认的即可，然后点击下一步，选择“立即安装”，开始程序的安装。

Weblogic安装1.1WebLogic10.3.3.0安装点“Getting started with WebLogic Server 10.3.3”密码为：weblogic1234启动D:\Oracle\Middleware\WebLogic\user_projects\domains\utrustdomain\bin\startWebLogic.cmd，启动完成后，在浏览器中，敲入：http://localhost:7001/console后，出现如下图页面输入账号密码：weblogic/weblogic1234后，点<登录>出现如下页面：Domain创建第一步：执行 /weblogic/wls10/wlserver_10.3/common/bin/config.sh 脚本第二步：选择 1或者回车第三步：回车第四步: 选择1、2、3 修改 weblogic控制台的账号第五步：选择开发模式（如果是生产环境请选择 Production Mode）第六步：选择默认的jdk第七步：如果默认使用7001端口就直接回车或者选择2如果想修改端口号等信息就选择1回车回车回车一直回车下去第七步:输入domian新建的地址： /echnweb/domains第八步：输入新建domain名字第九步：回车新建serverServer创建在weblogic控制台进行操作：1、点击servers New2、修改server名称和端口3、完成启动脚本编写1、cd /chnesb/domains/openplatform_domain/bin2、cp startManagedWebLogic.sh startManagedWebLogic40000.sh3、编辑startManagedWebLogic40000.sh，在脚本中增加SERVER_NAME、和修改WLS_USER、WLS_PW值(推荐是用Beyond Compare工具修改)4、新建启停脚本启动脚本：start40000.shnohup /chnesb/domains/openplatform_domain/bin/startManagedWebLogic40000.sh2>&1 >/chnesb/logs/console40000.log & tail -f /chnesb/logs/console40000.log停止脚本：stop40000.shps -ef|grep openplatform_domain|egrep "Server40000" |grep -v grep|grep -v egrep|awk '{print $2}' |xargs kill -9备注：grep openplatform_domain 中的openplatform_domain是在/chnesb/domains/openplatform_domain/bin/startWebLogic.sh中进行修改，新增openplatform_domain变量。

WebLogic 日常维护手册版本号修改原因／内容修改人审核人修改时间V1.0 建立昂晓玲变更记录 (2)第一章Weblogic 安装部署规范 (4)1.1 安装前的准备工作 (4)1.1.1 创建weblogic 软件对应用户 (4)1.1.2 上传安装介质包 (4)1.1.3 主机环境检查 (5)1.2 软件安装 (5)1.2.1 jdk 安装 (5)1.2.2 weblogic 软件安装 (6)1.2.3 创建域 (9)1.2.3 域节点配置 (14)第二章Tuxedo 安装部署规范 (17)2.1 安装前的准备工作 (18)2.1.1 创建tuxedo 软件对应用户 (18)2.1.2 上传安装介质包 (18)2.2 软件安装 (18)2.2.1 tuxedo 软件安装 (18)2.2.2 配置环境变量 (22)2.2.3 测试 (22)如已创建了单独的用户，则不需再另建用户，普通新建的用户的主目录在 /opt (空暇 空间较多，至少 5g )下。

建议在用户下安装单独jdk 、weblogic 软件以及创建域，不与其 他用户共享。

useradd -d 目录 -m 用户名passwd 用户名注： 1、设置密码位数不少于 8 位， 2、密码中必须包含字母(大小写)、数字和特殊字符中的两种。

chown – R 用户名 目录su – 用户名将安装介质上传至服务器，根据操作系统、 weblogic 版本对选择相应的jdk 版本。

注：每种操作系统都有对应的操作系统的jdk ，weblogic9 必须使用jdk1.5，weblogic10 必须 使用jdk1.6。

JdkJava5.sdk.tar Java6.sdk.tar Java5_64.sdk.tar Java6_64.sdk.tarZ7550-00192_jdk15_ 15024_ia.depot jdk6_ 16012_ia.depot jdk- 1_5_0_22-linux-i586.bin jdk-6u21-linux-i586.bin jdk- 1_5_0_22-linux-amd64.bin jrmc-4.0.0- 1.6.0-linux-x64.bin jdk- 1_5_0-windows-i586.exe jdk-6u26-windows-i586.exe jdk- 1_5_0_22-windows-amd64.exe jdk-6u26-windows-x64.exeWeblogic 版本WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2 WEBLOGIC9.2.3 WEBLOGIC10.3.2操作系统AIXHPUXLINUXWINDOWS操 作 系 统位数 3264共用326432641) 检查主机名，不允许主机名为’localhost’之类的默认名称2) 检查安装用户的打开文件数是否为1024 以上3) 检查控制台端口是否被占用，建议控制台端口设置为8000 以上，受管服务端口4000到9999 之间。

服务器安装配置与操作说明文档(1)服务器名称和用途服务器名称：JSBC-DB1 JSBC-DB2服务器用途：网站(2)硬件配置CPU：XEON E5405MEM：16GDISK：146G×3RAID：5(3)软件列表centos 5.2weblogic 10.3(4)软件安装步骤获取并上传weblogic安装介质到一个临时目录开始安装chmod a+x wls1034_oepe111161_linux32.bin ./filename.bin进入控制台安装的欢迎界面，键入Next继续此时出现授权许可协议，读完后键入Yes继续提示选择一个BEA主目录，如下所示Choose BEA Home Directory:"BEA Home" = [/root/bea]Input new BEA Home OR Exit Previous Next> 如果想更改默认的BEA主目录，重新输入完整的目录路径即可，否则键入Next继续，如：/home/bea确认BEA主目录Choose BEA Home Directory: -> 1| Yes, Use this BEA home directory [/home/bea] 2| No, return to BEA home directory selectionEnter index number to select OR Exit Previous Next> 键入[1]继续选择安装类型Choose Install Type:-> 1|Complete Installation|Install the complete BEA WebLogic Platform. 2|Custom Installation|Choose software components to install and optionallycreate custom|application domains. Recommended for advanced users. 键入[1]继续选择安装路径Choose Product Directory:Product Installation Directory = [/home/bea/weblogicXX]Input new Product Installation Directory OR Exit Previous Next> 键入Next继续确认安装路径Choose Product Directory:-> 1| Yes, use this product directory [/home/weblogic] 2| No, select another product directoryEnter index numbers to select OR Exit Previous Next> 键入[1]继续2.4.8 现在开始安装，此时会出现一个模拟的进度条，耐心等待，直到100%安装顺利结束。

中间件weblogic安全基线配置标准目录第1章账号管理、认证授权 (3)1.1账号管理 (3)1.1.1系统启动账号 (3)1.1.2帐号锁定策略 (3)1.2口令 (4)1.2.1密码复杂度 (4)第2章日志配置操作 (4)2.1日志配置 (4)2.1.1审核登录 (4)第3章IP协议安全配置 (6)3.1IP 协议 (6)3.1.1支持加密协议 (6)3.1.2限制应用服务器Socket数量 (7)3.1.3禁用Send ServerHeader (7)第4章其他配置操作 (8)4.1登录安全管理 (8)4.1.1定时登出 (8)4.1.2更改默认端口 (8)4.1.3错误页面处理 (9)4.1.4目录列表访问限制 (9)第1章账号管理、认证授权1.1账号管理1.1.1系统启动账号1.1.2帐号锁定策略1.2 口令1.2.1密码复杂度第2章日志配置操作2.1日志配置2.1.1审核登录第3章IP协议安全配置3.1IP协议3.1.1支持加密协议3.1.2限制应用服务器Socket数量3.1.3禁用Send Server Header第4章其他配置操作4.1登录安全管理4.1.1定时登出4.1.2更改默认端口4.1.3错误页面处理4.1.4目录列表访问限制中间件tomcat安全基线配置标准第1章账号管理、认证授权 (12)1.1账号管理 (12)1.1.1共享帐号管理 (12)1.1.2无关帐号管理 (12)1.2口令 (13)1.2.1密码复杂度 (13)1.3授权 (13)1.3.1用户权利指派 (13)第2章日志配置操作 (14)2.1日志配置 (14)2.1.1审核登录 (14)第3章其他配置操作 (15)3.1访问权限 (15)3.1.1定时登出 (15)3.2防攻击管理 (15)3.2.1错误页面处理 (15)3.2.2目录列表访问限制 (16)3.2.3禁用危险HTTP方法 (17)11第1章账号管理、认证授权1.1账号管理1.1.1共享帐号管理1.1.2无关帐号管理121.2 口令1.2.1密码复杂度1.3授权1.3.1用户权利指派第2章日志配置操作2.1日志配置2.1.1审核登录第3章其他配置操作3.1访问权限3.1.1定时登出3.2防攻击管理3.2.1错误页面处理153.2.2目录列表访问限制3.2.3禁用危险HTTP方法17。

WebLogic中间件作业指导书WebLogic中间件作业指导书目录第一章系统检查 (4)1.1 weblogic 日志检查 (4)1.2 通过控制台查看系统状态 (4)1.2.1查看节点状态 (4)1.2.2查看线程状态 (4)1.2.3查看连接池状态 (5)1.3 分析节点cpu使用率高原因 (5)1.3.1 AIX主机 (5)1.3.2 HP主机 (7)1.3.2 LINUX主机 (7)1.4 分析工具 (8)1.4.1 线程分析工具 (8)1.4.2 内存分析工具 (9)1.5 启动参数设置 (10)第二章weblogic故障处理 (10)2.1修改控制台密码 (10)2.2 针对日志报错信息处理 (11)第一章系统检查1.1 weblogic 日志检查控制台中设置了日志所在目录，默认目录是域目录/servers/节点名/logs。

受管节点有2种日志，一种access.log，记录web访问活动，一种节点名.log，记录节点运行时候的提示信息以及报错信息，可在节点日志中查找报错信息，确定节点状态，定位问题。

管理节点则多了域日志，记录域信息。

1.2 通过控制台查看系统状态1.2.1查看节点状态登陆控制台-环境-服务器，查看节点运行状态，正常运行，状态为“RUNNING”.1.2.2查看线程状态登陆控制台-环境-服务器，选择其中一节点，选择标签页“监控”-“线程”，可查看线程运行状态。

队列长度为0，空闲线程大于0，没有等待的申请任务需要处理。

如果空闲线程>0，但是业务访问慢，可根据后面cpu使用率高分析方法，获取thread dump来跟踪分析当前业务操作等，作为改善应用的参考。

1.2.3查看连接池状态登录控制台-环境-服务器，选择其中一个节点，选择标签页“监控”-“jdbc”，可查看到该节点上的连接池的运行情况。

连接池中的活动连接没有到连接池的上限为正常。

1.3 分析节点cpu使用率高原因1.3.1 AIX主机1)通过topas观察cpu一直比较高的进程。

Weblogic使用手册大全详解(中文).pdfWebLogic 管理指南1 WEBLOGIC 服务器管理概述 (1)域、管理服务器与受管服务器 (1)启动管理控制台 (1)2运行时对象与配置对象 (1)2日志消息的集中访问 (1)4W EB L OGIC管理服务器与W EB L OGIC受管服务器 (1)4启动时的错误消息 (1)5启动W EB L OGIC管理服务器 (1)5WebLogic 服务器启动时的口令使用 (1)6从Start菜单启动WebLogic管理服务器 (1)6启动与终止Windows服务形式的WebLogic 服务器 (1)6从命令行启动WebLogic管理服务器 (1)7用脚本启动管理服务器 (2)在受管服务器运行时重启管理服务器 (2)在同台机器上重启管理服务器 (2)1在其它机器上重启管理服务器 (2)1将W EB L OGIC受管服务器加入到域 (2)2启动W EB L OGIC受管服务器 (2)2通过脚本启动W EB L OGIC受管服务器 (2)4从老版本W EB L OGIC服务器升级 (2)4从管理控制台终止W EB L OGIC服务器 (2)5从命令行停止服务器 (2)5暂停和恢复受管服务器 (2)6将W EB L OGIC服务器设置为W INDOWS服务 (2)6删除W INDOWS服务形式的W EB L OGIC服务器 (2)7更改安装成Windows服务的服务器口令 (2)7注册启动与终止类 (2)72 节点管理器 (2)9节点管理器概述 (2)9配置与启动节点管理器 (3)启动节点管理器 (3)1启动管理服务器 (3)23 配置WEBLOGIC 服务器与集群 (3)5服务器与集群配置概述 (3)5管理服务器的角色 (3)5启动管理控制台 (3)7动态配置的工作原理 (3)8集群配置规划 (3)8服务器配置任务列表 (3)9- 1 -WebLogic 管理指南集群配置列表 (4)1新建一个域 (4)2概述 (4)3监控服务器 (4)4终止或暂停服务器 (4)5性能 (4)5集群数据 (4)6服务器安全 (4)6JMS (4)6JTA (4)6监控JDBC连接池 (4)6管理控制台的M ONITORING页面一览表 (4)74 用日志消息管理WEBLOGIC 服务器 (5)日志子系统概述 (5)本地服务器的日志文件 (5)1启动日志 (5)2客户端日志 (5)2日志文件的格式 (5)3消息属性 (5)3消息目录 (5)4消息的严重级别 (5)4消息调试 (5)5浏览日志文件 (5)5查看日志 (5)5创建域日志过滤器 (5)55 分发应用 (5)7分发格式 (5)7用管理控制台分发应用 (5)7步骤1：配置与分发应用 (5)8步骤2：分发应用组件 (5)8分发顺序 (6)自动分发 (6)1启用或禁用自动部署 (6)1动态分发 (6)2启用与禁用自动分发 (6)3自动分发展开目录格式的应用 (6)3卸载或重新分发被自动分发的应用 (6)36 配置WEBLOGIC 服务器的WEB 组件 (6)5概述 (6)5- 2 -WebLogic 管理指南HTTP 参数 .................................................................................................................................. 6 5配置监听端口............................................................................................................................. 6 6W EB应用 ..................................................................................................................................... 6 7Web 应用与集群 ...................................................................................................................... 6 7指定缺省的Web应用............................................................................................................. 6 7配置虚拟主机............................................................................................................................. 6 8虚拟主机与缺省Web应用..................................................................................................... 6 9设置虚拟主机.......................................................................................................................... 6 9W EB L OGIC服务器如何解析HTTP 请求................................................................................... 7 0设置HTTP访问日志................................................................................................................. 7 2日志回旋（LogRotation）..................................................................................................... 7 2使用管理控制台设置HTTP访问日志................................................................................... 7 2普通日志格式.......................................................................................................................... 7 3使用扩展日志格式 .......................................................................... (7)4 防止“POST 拒绝服务”攻击 (7)9设置 W EB L OGIC 服务器的 HTTP 隧道 ........................................................................... (79)配置 HTTP 隧道连接 .......................................................................... (8)建立客户端与 WebLogic 服务器之间的连接 ........................................................................ 80 用本地 I/O 提供静态文件服务（只适用于 W INDOWS ） (81)7 代理对另一个 HTTP 服务器的请求 (8)2概述 .......................................................................... (8)2设置从服务器的代理 .......................................................................... (8)2 代理 S ERVLET 的分发描述符示例 .......................................................................... (8)38 代理对 WEBLOGIC 集群的请求 (8)5概85述.............................................................................................................................................设置H TTP C LUSTER S ERVLET.................................................... (85)H TTP C LUSTER S ERVLET的分发描述符示例 .......................................................................... (86)9 ...................................................................................................................................................... 8 9配置W EB应用的安全性........................................................................... (89)设置对Web应用的授权.......................................................................... (89)多Web应用、Cookies与身份验证.......................................................................... (90)限制对Web应用资源的访问................................................................................................. 9 0在servlet中使用用户和角色.................................................................................................. 9 2配置W EB应用的外部资源........................................................................................................ 9 3在W EB应用中引用EJB S.......................................................................................................... 9 5配置会话管理............................................................................................................................. 9 5HTTP 会话属性 ....................................................................................................................... 9 6会话超时..........................................................................9 6........................................................配置会话Cookies .................................................................................................................... 9 7- 3 -WebLogic 管理指南使用长效cookies (9)7配置持久化会话 (9)7通用属性 (9)8使用基于内存的、单服务器的、非复制的持久存储 (9)9使用基于文件的持久存储 (9)9使用基于数据库的持久存储 (9)9使用URL重写 (1)01URL 重写的编码指南 (1)01URL 重写与无线访问协议(WAP) (1)02使用字符集与POST数据 (1)0210 配置APACHE-WEBLOGIC 服务器插件 (1)04概述 (1)04平台支持 (1)05安装库 (1)05配置HTTPD.CONF文件 (1)07通过URL代理 (1)07通过MIME文件类型代理 (1)08A PACHE-W EB L OGIC S ERVER插件的参数 (1)08使用SSL协议 (1)10与SSL-A PACHE配置有关的问题 (1)11H TTPD.CONF文件示例 (1)12配置文件示例 (1)13使用WebLogic集群的例子 (1)13不使用WebLogic集群的例子 (1)13配置虚拟主机的例子 (1)14分发A PACHE-W EB L OGIC S ERVER插件 (1)1411 配置MICROSOFT-IIS 插件 (1)15概述 (1)15连接池以及保持活动状态 (1)15安装库 (1)16更新IIS设置使请求转给W EB L OGIC (1)16创建IIS P ROXY.INI文件 (1)17文件扩展名方式的请求代理 (1)20路径方式的请求代理 (1)21.ini 文件示例 (1)21使用SSL (1)22将SERVLETS请求转交给W EB L OGIC服务器处理 (1)23安装测试 (1)2312 配置NETSCAPE 插件 (1)25- 4 -WebLogic 管理指南概述 (1)25连接池和保持激活 (1)25插件的配置 (1)26步骤1：复制库 (1)26步骤2：设置obj.conf文件 (1)26步骤3：更改MIME.types文件 (1)29步骤4：分发与测试NSAPI插件 (1)30参数 (1)30使用SSL协议 (1)32有关W EB L OGIC服务器集群失败转移的注意事项 (1)330BJ.CONF文件示例（不使用W EB L OGIC集群的情况） (1)34OBJ.CONF 文件（使用W EB L OGIC 集群的情况） (1)3613 安全管理 (1)39安全配置概述 (1)39改变系统口令 (1)40指定一个安全域 (1)41配置缓存域 (1)42配置LDAP安全域 (1)45配置Windows NT安全域 (1)49配置UNIX安全域 (1)50配置RDBMS安全域 (1)52安装一个定制安全域 (1)53测试代用安全域与定制安全域 (1)54迁移安全域 (1)54定义用户 (1)55定义用户组 (1)56定义虚拟机的用户组 (1)57定义ACL (1)57配置SSL协议 (1)58获得私钥与数字证书 (1)59保存私钥与数字签名 (1)61定义可靠的证书管理机构 (1)62定义SSL协议的配置字段 (1)63配置双向验证 (1)65C ONFIGURING RMI OVER IIOP OVER SSL（TBD） (1)65口令的保护 (1)66安装审计提供者 (1)67安装连接过滤器 (1)68设置J AVA安全管理器 (1)68配置安全上下文传播 (1)70- 5 -。

WebLogic Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1系统启动帐号 (5)2.1.2帐号锁定策略 (5)2.2口令 (6)2.2.1密码复杂度 (6)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)4.1.2限制应用服务器Socket数量 (8)4.1.3禁用Send Server Header (9)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (11)第6章评审与修订 (12)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。

1.3 适用版本8.x 9.x 10.x版本的WebLogic Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

金税三期工程Weblogic安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)第2章帐户管理及认证授权 (4)2.1帐户安全 (4)2.1.1启动帐户 (4)2.1.2帐户锁定 (5)2.1.3帐户超时登出 (6)2.2口令要求 (6)2.2.1密码复杂度 (6)2.3认证授权 (7)2.3.1主机名认证 (7)第3章日志审计 (8)3.1登录审核 (8)3.2审核日志 (9)第4章服务安全 (9)4.1禁用S ENDER-S ERVER-H EADER S (9)4.2更改W EB L OGIC服务器默认端口 (10)4.3配置加密协议 (11)4.4限制SOCKET的数量 (12)4.5配置错误页面处理 (12)4.6运行模式 (13)4.7删除SAMPLE 程序 (14)第5章补丁管理 (15)5.1补丁管理 (15)第1章概述1.1 目的本基线依据金税三期工程中间件安全配置规范要求，旨在指导中间件管理人员或安全检查人员进行中间件的安全配置，提高中间件的安全防护能力。

1.2 适用范围本基线适用于金税三期工程中所使用的Weblogic 11g。

本基线的使用者包括服务器系统管理员、应用管理员。

第2章帐户管理及认证授权2.1 帐户安全2.1.1启动帐户2.1.2帐户锁定2.1.3帐户超时登出2.2 口令要求2.2.1密码复杂度2.3 认证授权2.3.1主机名认证第3章日志审计3.1 登录审核3.2 审核日志第4章服务安全4.1 禁用Sender-Server-HeaderS4.2 更改WebLogic服务器默认端口4.3 配置加密协议4.4 限制socket的数量4.5 配置错误页面处理4.6 运行模式4.7 删除sample 程序第5章补丁管理5.1 补丁管理。

WebLogic 简介及安装与配置指南- ---------------------------------------------------------------------------------一、BEA Weblogic简介：BEA WebLogic PlatformTM 7.0是BEA公司一套基于J2EE功能强大的电子商务套件，提供了许多功能强大的中间件以方便编程人员编写的JSP、SERVLET等电子商务应用，可以为企业提供一个完整的商务应用解决方案。

BEA WebLogic PlatformTM 7.0通过一个统一的、简便的和可扩展的构建体系，让企业能够提高生产力和降低成本。

BEA WebLogic Platform 7.0包含BEA产品中所特有的应用基础结构技术，其中包括BEA WebLogic ServerTM、BEA WebLogic PortalTM和BEA WebLogic IntegrationTM。

这些技术与BEA WebLogic WorkshopTM结合起来，为应用开发、部署和管理提供了单一的、统一的、易用的基础结构平台。

BEA WebLogic Platform 7.0 提供：? 统一性融开发、门户和集成框架入一体的集成服务器为全面满足企业的应用需求，提供了单一的解决方案。

这个平台减少了产品学习、集成、支持和维护的工作量，从而可以降低企业成本，满足业务需求，并充分发挥已有基础结构资产的效益? 简便性通过简化应用开发、部署和管理，提高了生产效率。

其集成的开发框架让开发人员（不仅仅是J2EE专家）快速开发和部署企业级Web Service应用。

简便的部署和管理将降低维护的要求，从而降低应用维护成本，并让企业专注于业务目标的实现，而不是技术的管理。

? 可扩展性开放的可扩展性使BEA WebLogic Platform 7.0成为最好的选择，并让企业充分发挥已有和将来投资的效益。

WebLogic的安全配臵WebLogic是一套基于JAVA功能强大的电子商务套件，提供了许多功能强大的中间件以方便编程人员编写的JSP，servlet等应用，在公司SG186一体化平台中Weblogic有着广泛的应用。

针对WebLogic服务器所面临的安全挑战日益严峻，本文结合最新的网络技术，详细阐述了在WebLogic中运用J2EE安全技术加强保护服务器资源的方法与实践。

相信会对各单位的网络安全工作有重要的参考价值。

WebLogic服务器支持使用J2EE安全技术保护URL，Enterprise JavaBeans(EJBs)和有关组件。

而且WebLogic服务器在URL与EJB组件的配臵符方面扩展了更多的连接模式安全策略。

连接定义使用安全许可Security-permission标签为配um提供额外的安全策略。

例如以下程序段:secunty-permissiondescription Optiona lexplanation goes here descriptionsecurity-permission-specgrant{permission .SocketPermission，resolve;};secunty-permission-specsecurity-permission除了在rar.xml文件中支持安全许可标签，WebLogic服务器还支持weblogic.xml及weblogic-ejbjar.xml文件，这样一来将连接模式扩展至另两种应用类型，提供了所有组件类型可共用的安全策略，并为未来J2EE有关定义的修订做了准备。

对运行于 Java Virtual Machine(JVM)的资源，可在WebLogic 服务器中运用Java安全管理器提供更多的保护。

在运行于Java2(SDKI.2及以上版本)时，WebLogic服务器可运用Java2安全管理器防止程序运行(经Java2安全策略认定的)可疑代码。

WebLogic Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1系统启动帐号 (5)2.1.2帐号锁定策略 (5)2.2口令 (6)2.2.1密码复杂度 (6)第3章日志配置操作 (7)3.1日志配置 (7)3.1.1审核登录 (7)第4章IP协议安全配置 (8)4.1IP协议 (8)4.1.1支持加密协议 (8)4.1.2限制应用服务器Socket数量 (8)4.1.3禁用Send Server Header (9)第5章设备其他配置操作 (10)5.1安全管理 (10)5.1.1定时登出 (10)5.1.2更改默认端口* (10)5.1.3错误页面处理 (11)5.1.4目录列表访问限制 (11)第6章评审与修订 (12)第1章概述1.1目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebLogic Web服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebLogic Web服务器的安全配置。

1.2适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的WebLogic Web服务器系统。

1.3适用版本8.x 9.x 10.x版本的WebLogic Web服务器。

1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。