《WINDOWS架设WEB服务器的安全防护》由会员分享,可在线阅读,更多相关《WINDOWS架设WEB服务器的安全防护(17页珍藏版)》请在装配图网上搜索。
1、单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,服务器网络安全交流,主要针对windows系统,2,、,黑客入侵路径(知己知彼),寻找网站漏洞,SQL注入,文件上传,寻找后台,社会工程,没漏洞,同服务器的网站,上传木马,扩展存储过程,写入木马,备份数据库,WEBSHELL,备份出木马,用户提权,控制服务器,打包网站,下载文件,搞破坏,留后门,3,、,防范入侵的安全措施,黑客,WEB应用程序,WEB服务,数据库服务,操作系统,每个环节都要防范,危害性增加,其它服务,4,、,WEB应用程序安全SQL注入,URL注入、输入框注入,1、程序中过虑危险字符,2、I
2、IS使用REWRITE规则过虑,3、SQL语句不采用拼接的方式,Cookies注入,1、防止Cookies被修改,可逆加密 MD5校验,WEB程序中最常见的漏洞,程序员一不小心,网站就被黑了,5,、WEB应用程序安全漏洞与防范,上传漏洞、文件管理、备份导致的漏洞防范,对上传程序要把关,权限审查要严格,文件夹权限要设好,跨站漏洞防范,构造JS脚本,过虑要严格,6,、WEB应用程序安全其它,Cookies篡改,可逆加密 MD5校验,开源应用程序小心使用,及时打补丁,ewebeditor,动网论坛,织梦(DEDE),漏洞一被发现,挂马一大遍,7,.IIS的安全配置,IIS访问用户与网站文件夹权限,每
3、个网站都是不同的GUEST用户,ASP.NET网站,应用程序池用不同用户,对用户上传文件夹执行权限设为“无”,应用程序池下配置网站数量要适当,不要向客户端发送错误信息(ASP),ASP.NET禁用调试模式,8,、,数据库安全,帐号管理,SA 帐号 只有一两个人知道,开发人员帐号不得用于程序中,对个别重要的数据库各表权限设定,禁止程序中用于连接的用户建表、备份数据库,数据库连接,一个数据库一个帐户,连接串不出现在应用程序中,网站多的话集中配置,9,、数据库安全,删除不必要扩展存储过程,防止注入漏洞被利用:xp_cmdshell sp_makewebtask,SA用户sysadmin用户组可以恢复
4、,实例端口不使用默认的端口1433,数据库备份,每天自动备份 保留半个月 异地备份每周一次,10,、,操作系统安全,自带防火墙 端口按需开启,杀毒软件 ARP防火墙,IP筛选 端口按需开启,及时打补丁,远程控制端口一定要改,危险DLL注销或彻底删除掉,禁用不必要的服务:,workstation之类,文件夹权限配置,安全策略 登陆次数 记录登陆事件,11,、了解黑客技术与工具,SQL注入扫描器 HDSI,SQL注入工具 啊D,木马上传工具,各种语言写的WEBSHELL,12,、服务器瓶颈,内存 内存消耗物理内存,缓存适当使用,个别差性能的程序影响,磁盘I/O,Avg.disk Queue Len
5、gth=磁盘数*2,应用程序减少频繁的文件读写,数据库查询优化(20/80),数据库服务与WEB服务分开,多个磁盘、RAID,提高I/O负载能力,13,、服务器瓶颈,CPU 很少出现,带宽,GZIP压缩(节约70%带宽),降低图片质量(节约30%带宽),防盗链,CDN分流(DNS轮询+squid),性能监视,任务管理器、性能监视器、SQL事件探查器,14,、服务器数据备份,IIS配置 定期加密备份到其它分区,文件备份 使用WINDOWS备份工具自动 备份,数据库备份 维护计划自动备份保留一周,系统备份 GHOST,异地备份 每隔一段时间备份一次,备份记录,15,、,保证服务的稳定性、高可用性,服务器架构探讨,1、服务器群集,2、服务器虚拟化,虚拟机群集,服务器监控 提醒与自动化处理,1、监控IIS,2、监控网络连接,3、监控磁盘,4、监控指定的服务,谢 谢!,邱家海 QQ:103201165,网络资源,WINDOWS2003安全设置:,http:/ FOR WINDOWS安装:,http:/
WINDOWS架设WEB服务器的安全防护
