第 8 章 网络应用服务安全配置[可修改版ppt]

（7）修改注册表，减小拒绝服务攻击的风险
打开注册表：将
HKLM\System\CurrentControlSet\Se rvices\Tcpip\Parameters下的 SynAttackProtect的值修改为2，使连接 对超时的响应更快。
8.2.2 保证IIS自身的安全性
IIS安全安装，要构建一个安全的IIS服务器， 必须从安装时就充分考虑安全问题。
（1）不要将IIS安装在系统分区上。 （2）修改IIS的安装默认路径。 （3）打上Windows和IIS的最新补丁。
8.2.2 保证IIS自身的安全性
IIS的安全配置 （1）删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些 目录，包括IISHelp、IISAdmin、IISSamples、 MSADC等，这些目录都没有什么实际的作用，可 直接删除。 （2）删除危险的IIS组件 （3）为IIS中的文件分类设置权限 （4）删除不必要的应用程序映射
8.3 FTP服务器的安全架设
8.3.1 FTP的特性 根据FTP STD 9定义，FTP的目标包括： （1）促进文件（程序或数据）的共享 （2）支持间接或隐式地使用远程计算机 （3）帮助用户避开主机上不同的 （4）可靠并有效地传输数据
几种存在的安全问题以及防范措施
1.防范反弹攻击(The Bounce Attack) （1）漏洞 （2）反弹攻击 （3）防范措施 （4）遗留问题
8.1.1 网络应用服务安全问题 的特点
每一个网络应用服务都是由一个或多个程序构成， 在讨论安全性问题时，不仅要考虑到服务端程序， 也需要考虑客户端程序。服务端的安全问题主要表 现在非法的远程访问，客户端的安全问题主要表现 在本地越权使用客户程序。由于大多数服务的进程 由超级用户守护，许多重大的安全漏洞往往出现在 一些以超级用户守护的应用服务程序上。
个公用的组如：www，并只分配它只读的权利。 7.有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不
要把FTP的目录与CGI-BIN指定在一个目录之下。
8.通过限制许可访问用户IP或DNS
在NCSA中的access.conf中加上： <Directory /full/path/to/directory >; <Limit GET POST >; order mutual-failure deny from all allow from 168.160.142. abc.net.cn </Limit >; </Directory >;
9.WINDOWS下HTTPD
（1）Netscape Communications Server for NT ①Perl解释器的漏洞 ②CGI执行批处理文件的漏洞
（2）O'Reilly WebSite server for Windows NT
（3）Microsoft's IIS Web Server
第 8 章 网络应用服 务安全配置
河南化工职业学院
8.1 网络应用服务概述
网络应用是利用网络以及信息系统直接为用户提供服务以及业务的平台。 网络应用服务直接与成千上万的用户打交道：用户通过网络应用服务浏 览网站、网上购物、下载文件、看电视、发短信等，网络应用服务的安 全直接关系到广大网络用户的利益。因此网络应用服务的安全是网络与 信息安全中重要组成部分。
网络应用服务，是在网络上利用软/硬件平台满足特定信息传递和处理 需求的行为。指的是在网络上所开放的一些服务，通常能见到如WEB、 MAIL、FTP、DNS、TELNET等，当然，也有一些非通用，在某些领 域、行业中自主开发的网络应用服务。我们通常所说的服务器，既是具 有网络服务的主机。
网络应用服务安全，指的是主机上运行的网络应用服务是否能够稳定、 持续运行，不会受到非法的Biblioteka Baidu据破坏及运行影响。
这样只能是以域名为abc.net.cn或IP属于168.160.142的客 户访问该WEB服务器。对于CERN或W3C服务器可以这 样在httpd.conf中加上：
Protection LOCAL-USERS { GetMask @(*.capricorn.com， *.zoo.org， 18.157.0.5) } Protect /relative/path/to/directory/* LOCAL-USERS
8.2 IIS Web服务器的安全架设
8.2.1 构造一个安全系统 （1）使用NTFS文件系统，以便对文件和目录
进行管理 （2）关闭默认共享 （3）修改共享权限 （4）为系统管理员账号更名，避免非法用户攻
击。 （5）禁用TCP/IP 上的NetBIOS
高级
TCP/IP 设置对话 框
（6）TCP/IP上对进站连接进行控制
8.1.2 网络应用服务的分类
按照技术特征分类，点到点业务与点到多点 业务；按照电信业务分类，基础电信业务和 增值电信业务；按照是否经营分类，经营性 网络应用服务与非经营性网络应用服务；按 照所传递加工的信息分类，自主保护、指导 保护、监督保护、强制保护与专控保护五级； 按照服务涉及的范围分类，公众类网络应用 服务与非公众类网络应用服务。
网站属性
“应用程序 配置”对 话框
添加编辑应用程序扩展名映射
（5）保护日志安全
①修改IIS日志的存放路径 ②修改日志访问权限，设置只有管理员才能访
问。
网站属性对话框
日志记录属性对话框
8.2.3 提高系统安全性和稳定性
web服务器安全预防措施： 1.限制在web服务器开帐户，定期删除一些断进程的用户。 2.对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止
被盗用。 3.尽量使ftp， mail等服务器与之分开，去掉ftp等一些无关的应用。 4.在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的cgi
的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。 5.定期查看服务器中的日志logs文件，分析一切可疑事件。 6.设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一