作者:朱永杰,张铃丽
(许昌学院,河南许昌461000)
【摘要】将虚拟主机的思想引入高校二级部门网站的管理上,并给出了一些有效的Web服务器的安全策略。
【关键词】虚拟主机;IIS;站点
Colleges Web Server Security Policy Based on Virtual Hosts
ZHU Yong-jie,ZHANGLing-li
【Abstract】 In this paper , the idea of virtual hosts is introduced into management of the college departments website , and accordingly are given some time-tested Web server s security policy.
【Key wrds】 virtual hosts;IIS;site
〔中图分类号〕TP393 文献标识码〕A 文章编号〕1674 - 3229(2010)03 - 0021 - 03
网络作为高校对外宣传平台扮演着越来越重要 的角色。但随着网络技术的发展,一些人为了不法 利益铤而走险,使网站面临着越来越多的安全威胁。 高校网站,尤其是二级部门的网站,由于技术上和管 理上的不足致使其面临的网络安全问题更是突出, 经常会遇到网页挂马,SQL注入攻击等。本文以 IIS为例引入虚拟主机的思想,对如何建立安全的 高校二级部门网站提出了一些建议。
1虚拟主机思想
高校机构庞大,教学、科研、行政等二级部门很 多,如果所有的二级部门都购置Web服务器,配备 专门的管理人员很不现实,一般把服务器集中放置 网络中心,二级部门网站统一对外发布。
虚拟主机,也叫“网站空间”就是把一台运行在 互联网上的服务器划分成多个“虚拟”的服务器,每 一个虚拟主机都具有独立的域名和完整的Internet 服务器功能。在外界看来,各个用户都拥有自己独 立的Web服务器,彼此之间相互不影响。这种技术 刚好能满足大部分高校二级部门建立网站的实际需 求,服务器由网络中心负责管理,各个二级部门仅需 要一名管理员负责网站的日常信息更新即可。
2虚拟主机的实现
虚拟主机有基于IP和基于主机名的两种实现方法。第一种方法每个网站都对应绑定一个IP地 址,网站一多,就会占用大量的IP地址,造成IP地 址的浪费;第二种方法是给每个网站一个不同的域 名,然后在DNS服务器上面将这些域名解析到同一 个IP地址上,即同一个服务器上。然后,在服务器 上配置Web服务端,添加多个网站,为每个网站设 定一个主机名。因为HTTP协议访问请求里包含 有主机名信息,当Web服务器收到访问请求时,就 可以根据不同的主机名来访问不同的网站。
具体实现步骤如下:
① 打开“控制面板”管理工具” —“Internet 服务管理器”默认web站点”
②在“默认web站点”上按鼠标右键,选择“新 建”站点”按“下一步”
③输入站点说明,如“站点1” ,按“下一步”
④在“站点的主机头”上输入域名“renshi- chu. xcu. edu. cn”,按“下 一步”
⑤在路径里指定站点的根目录路径,按“下一步”
⑥在权限里选择适当的权限,按“下一步”即可 完成 ;
⑦添加下一个站点,重新执行上面六步。
3虚拟主机服务器的安全设置
由于虚拟主机是用服务器实现的,因此服务器自身的安全也很重要,具体的安全策略有以下几个 方面。
3.1关闭不必要的服务和协议
操作系统的默认安装会开启许多服务,对于不 同的功能的服务器有些服务是没有必要开启的,依 据最小服务的安全原则,把这些不必要服务设置关 闭。
3.2关闭不需要的端口
在控制面板H网络与拨号连接—本地连接H 性—Internet协议(TCP/IP)属性,进入高级TCP/IP设置,选择选项设置中选择TCP/IP筛选,启用 TCP/IP筛选。添加需要的端口,如21、0等,关闭 其余的所有未使用的端口。
3.3关闭默认共享的空连接
为了方便管理员进行网络管理,Windows服务 器默认开启共享功能,这些默认的共享都有“S”标 志,意为隐含的,包括所有的逻辑盘(C$,D$,E$)和系统目录Windows(admin$)。只要知道了管理员密码,网络上的任何人都可以通过共享硬盘 随意进入服务器,因此这对于服务器来说是安全隐 患。为了保证系统的安全,要关闭默认共享,可以通 过修改注册表编辑器实现。
3.4使用NTFS文件系统
NTFS文件系统允许为任何一个磁盘分区单独 设置访问权限,可以把不同的文件放在不同的磁盘 分区中,这样即使得到了一个分区的访问权限还需 要突破系统的安全设置才能访问到其他分区上的文 件,增强了服务器文件的安全性,因此在安装操作系 统时,要把磁盘格式化为NTFS。
4虚拟主机目录安全策略
高校的二级部门网站站点数量很多,但是由于 网站没有统一制作,有的甚至直接从网上找公用的 模板改版,因此各种漏洞很多。可以通过设置这些 站点的目录安全性来限制对外开放的权限。
4.1为二级部门建立各自的账户
在用户管理中为所有的二级部门建立各自的帐 户,在用户属性设置“用户不能修改密码”和“用户密 码永不过期”密码设置成具有足够复杂度的密码, 如下图1所示。
4.2站点属性设置
站点属性配置一般人都会,但为达到防止黑客 入侵的目的,还需要特别注意的以下几个方面:①主 目录权限设置为“读取”写入和目录浏览不要,其余 为“默认”②默认有很多的应用程序映射,只需保留 必要的应用程序映射,删除如cer、asa等不必要的映 射;③目录安全性中删除默认的账户,添加为各个站 点建立的账户,可以防止跨站攻击;④关闭所有可写 目录的执行权限,可以防止一些网页木马。
4.3配置站点的NTFS权限
在磁盘的盘符上单击右键^属性安全,在“组和 用户名称”中保留管理员帐户和system账户的完全 控制权限,删除everyone和user等默认帐户的访冋 权限。之后对各个站点的根目录添加各自匿名帐户 的读取权限,对数据库等动态网站需要修改的文件 添加匿名账户的写入权限(图2)。这样,即使虚拟 主机上的某个二级网站被挂马或者中病毒也不会蔓 延到磁盘上面的其他目录。
5 IIS安全策略
5.1 IIS组件和服务
IIS默认安装时,除了 WWW服务外,还安装了 一些其它的组件,如FTP和SMTP等,根据最小服 务就是最大的安全原则,只要选择安装网站程序能 正常运行所必须的服务即可。
5.2定制错误页面
在IIS属性—自定义错误信息,在http错误信 息中双击需要定制的错误页面,将弹出错误映射属 性设置框。消息类型有默认值、URL和文件三种, 可以根据情况自行定制。这样一方面可以隐藏一些 错误信息,另外一方面也可以使错误显示更加友好。 5.3应用程序隔离
在IIS管理器中为各个站点新建各自的应用程 序池,然后将各个站点的应用程序分配到各自的应用 程序池中,这样各个站点的应用程序就会被隔离到各 自的应用程序池中独立运行,可以有效防止病毒的跨 目录运行,提高了 Web服务器的可靠性和安全性。 许昌学院二级部门的Web服务器也曾出现网页挂马、黑客入侵等安全事件,后来引入了虚拟主机的一些技术,对服务器又进行了相关的安全设置,现在很少出现类似安全事件,因此,这些措施对其他高校二级部门网站的管理也有一定的借鉴意义。
[参考文献]
黄景文.SQL注入攻击的一个新的防范策略[J ].微计算 机信息,2008,(24).
陈功.教育网站安全性建设探讨[J].四川文理学院学报 (自然科学版),2007,(2).
王炯炜.高校Web服务配置的安全技巧[J ].科技信息, 2008,(29).
李新,李成友.基于Windows系统的Web服务器安全研 究与实现[J ].教育信息化,2006,(7).
张宇.内网服务器特点分析及安全策略[J].网络安全技 术与应用,2008,(4).
宁博,张保杰.网络安全技术及防火墙在校园网的应用 [J].西安邮电学院学报,2007,(12).
王远哲.细说高校WEB服务器安全[J ].电脑知识与技 术,2008,(26).
程涛.利用帐号分级管理策略提高多站点Web服务器安 全性[J ].黑龙江科技信息,2008,(17).
陈奇点评:
本方法基于IIS管理虚拟主机,通过权限配置进行安全管理是一个很基础的安全管理方式,对于日常的服务器管理有一定的参考意义。
编辑:陈奇 转载自《廊坊师范学院学报》(自然科学版)2010年6月第10卷第3期
声明:版权归原作者所有,本站用于学习研究收录使用,禁止商业转载,侵删微信:354638784