校园网WEB服务器的安全防护体系构建.

校园网WEB服务器的安全防护体系构建

0前言

校园网WEB服务器一般是提供给校内外访问，用于信息发布、文化交流和资源共享的服务器。随着高等教育信息化建设的推进和校园网应用功能的逐步完善，WEB服务的重要性也愈发突显，如何保证校园网WEB服务器的安全已是目前网络管理工作的重点。由于在Internet上的任何接入点都可对校园网WEB 服务器进行访问，因此其容易成为网络攻击的目标和重点，WEB服务器经常会遭受各种网络攻击，诸如木马病毒入侵、漏洞扫描、DOS攻击、DDOS攻击、网页篡改等，所以必须进行全面的安全配置和管理，才能保证其承载的服务能稳定安全运行。本文结合作者在高校网络管理的经验，对校园网WEB服务器安全体系构建进行探讨。

1目前WEB服务器所面临的安全威胁

1.1拒绝服务(DOS)

DOS攻击是指单一的DOS攻击，它是通过一台客户端主机向服务器提出握手请求，这种攻击会使服务器的硬件性能下降，如CPU负荷加大、可用内存减少和带宽阻塞。随着网络技术的不断发展，DOS的攻击难度加大，所产生的攻击效果有限。

1.2分布式拒绝服务(DDOS)

分布式拒绝服务(DDOS)攻击是DOS的升级版，攻击的目标和DOS一样，但它的规模更大，攻击性更强。在DDOS攻击中，攻击者不是通过一个主机攻

击服务器，而是在黑客控制下使用多个主机攻击服务器，有时这种发出攻击的主机甚至多达十几万个以上。服务器系统遭受到DDOS攻击后，容易造成访问站点的网络瘫痪，严重干扰正常的WEB服务。

1.3SQL注入式攻击

SQL注入式攻击是通过正常的WEB方式访问的，它和一般的网页访问没有区别，一般的防火墙无法测出SQL注入攻击，它利用数据库本身的漏洞或者网页编写源代码的漏洞进行攻击，获取网站数据库的信息和数据库管理员的权限，进而再取得服务器系统管理员的权限，使服务器成为其操控的对象[1]。

1.4嵌入式网站攻击

嵌入式攻击就是将一段病毒代码以Iframe的形式嵌入到正常的网页中，当浏览者访问该网页时，网页会自动跳转到病毒代码所指向的病毒网页，一旦链接病毒网站，客户端的主机将遭到病毒网站所附带的病毒入侵致使系统瘫痪。近年来此类攻击在校园网络屡见不鲜，严重影响校内网络资源的正常使用。

2如何应对WEB服务器的安全问题

2.1服务器自身安全

WEB服务器的安全是一个综合性的问题，首先需要解决的是服务器自身安全，通过对windows Server 2003进行合理的安全设置可大幅降低服务器所面临的风险[2]。

2.1.1禁用不必要的服务

Windows Server 2003默认会开启一些不必要的服务，我们应当禁用这些服务以保证服务器的安全。一般我们需要禁用以下服务：NetMeeting、RemoteRegistry、

RoutingandRemoteAccess、Telnet等。

2.1.2及时安装Windows系统漏洞补丁和杀毒软件

为了提高系统安全性，系统安装后，我们应当立即安装系统漏洞补丁，并且开启自动更新服务，让系统随时保持安全的状态。另外系统安装之后，需要立即安装一套正版杀毒软件，用于查杀病毒和防御病毒入侵，杀毒软件也需要保持病毒库的更新。

2.1.3屏蔽不需要的危险端口

Windows Server 2003安装后，默认会开启一些不经常使用却危险的端口，启用TCP/IP筛选，添加所需的端口，如80，21等，关闭其他所有未使用的端口。如果需要远程管理服务器，为安全起见，需要把默认的远程管理端口3389在注册表中修改成其他的端口。

2.1.4系统用户设置

1．禁用Guest账号。在计算机管理的用户里面把Guest账号禁用，为了保险起见，最好给Guest加一个复杂的密码；2、限制不必要的用户。去掉所有的DuplicateUser用户、测试用户、共享用户等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口；3、把系统Administrator账号改名。Windows2003的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户；4、创建一个陷阱用户。什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图；5、开启用户策略。使用用户策略，分别设置复位用户

锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

2.2IIS安全设置

目前在WindowsServer2003中一般采用IIS6.0作为WEB发布组件。所以对IIS的配置也非常重要。对IIS的安全配置如下：

2.2.1为IIS中的文件分类设置权限。

一般而言，对一个文件夹不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览一遍，找到漏洞后进行攻击。

2.2.2保护日志安全。

IIS的日志默认保存在一个众所周知的位置（%W inDir%\System32\LogFiles），这对WEB日志的安全很不利，所以我们需要修改其存放路径，将其放在隐蔽的地方。还有，日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。

2.2.3删除不必要的应用程序映射建议

在IIS管理器中删除必须之外的任何没有用到的映射，删除如cer、asa等不必要的映射。

2.2.4虚拟主机设立独立用户

高校的二级部门网站站点数量很多，但是由于网站没有统一制作，有的甚至直接从网上找公用的模板改版，因此各种漏洞很多。可以通过为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。以此制定具有个性的安全设置和网页目录访问权限[3]。