作者：朱永杰,张铃丽

(许昌学院，河南许昌461000)

【摘要】将虚拟主机的思想引入高校二级部门网站的管理上，并给出了一些有效的Web服务器的安全策略。

【关键词】虚拟主机;IIS;站点

Colleges Web Server Security Policy Based on Virtual Hosts

ZHU Yong-jie，ZHANGLing-li

【Abstract】 In this paper , the idea of virtual hosts is introduced into management of the college departments website , and accordingly are given some time-tested Web server s security policy.

【Key wrds】 virtual hosts;IIS;site

〔中图分类号〕TP393 文献标识码〕A 文章编号〕1674 - 3229(2010)03 - 0021 - 03

网络作为高校对外宣传平台扮演着越来越重要 的角色。但随着网络技术的发展，一些人为了不法 利益铤而走险，使网站面临着越来越多的安全威胁。 高校网站，尤其是二级部门的网站，由于技术上和管 理上的不足致使其面临的网络安全问题更是突出， 经常会遇到网页挂马，SQL注入攻击等。本文以 IIS为例引入虚拟主机的思想，对如何建立安全的 高校二级部门网站提出了一些建议。

1虚拟主机思想

高校机构庞大，教学、科研、行政等二级部门很 多,如果所有的二级部门都购置Web服务器，配备 专门的管理人员很不现实，一般把服务器集中放置 网络中心，二级部门网站统一对外发布。

虚拟主机，也叫“网站空间”就是把一台运行在 互联网上的服务器划分成多个“虚拟”的服务器，每 一个虚拟主机都具有独立的域名和完整的Internet 服务器功能。在外界看来，各个用户都拥有自己独 立的Web服务器，彼此之间相互不影响。这种技术 刚好能满足大部分高校二级部门建立网站的实际需 求,服务器由网络中心负责管理，各个二级部门仅需 要一名管理员负责网站的日常信息更新即可。

2虚拟主机的实现

虚拟主机有基于IP和基于主机名的两种实现方法。第一种方法每个网站都对应绑定一个IP地 址，网站一多，就会占用大量的IP地址，造成IP地 址的浪费;第二种方法是给每个网站一个不同的域 名,然后在DNS服务器上面将这些域名解析到同一 个IP地址上，即同一个服务器上。然后，在服务器 上配置Web服务端,添加多个网站,为每个网站设 定一个主机名。因为HTTP协议访问请求里包含 有主机名信息，当Web服务器收到访问请求时，就 可以根据不同的主机名来访问不同的网站。

具体实现步骤如下：

① 打开“控制面板”管理工具” —“Internet 服务管理器”默认web站点”

②在“默认web站点”上按鼠标右键，选择“新 建”站点”按“下一步”

③输入站点说明，如“站点1” ,按“下一步”

④在“站点的主机头”上输入域名“renshi- chu. xcu. edu. cn”,按“下 一步”

⑤在路径里指定站点的根目录路径，按“下一步”

⑥在权限里选择适当的权限，按“下一步”即可 完成 ;

⑦添加下一个站点,重新执行上面六步。

3虚拟主机服务器的安全设置

由于虚拟主机是用服务器实现的，因此服务器自身的安全也很重要,具体的安全策略有以下几个 方面。

3.1关闭不必要的服务和协议

操作系统的默认安装会开启许多服务,对于不 同的功能的服务器有些服务是没有必要开启的，依 据最小服务的安全原则，把这些不必要服务设置关 闭。

3.2关闭不需要的端口

在控制面板H网络与拨号连接—本地连接H 性—Internet协议（TCP/IP)属性，进入高级TCP/IP设置，选择选项设置中选择TCP/IP筛选，启用 TCP/IP筛选。添加需要的端口，如21、0等，关闭 其余的所有未使用的端口。

3.3关闭默认共享的空连接

为了方便管理员进行网络管理,Windows服务 器默认开启共享功能,这些默认的共享都有“S”标 志，意为隐含的，包括所有的逻辑盘（C$,D$,E$)和系统目录Windows(admin$)。只要知道了管理员密码，网络上的任何人都可以通过共享硬盘 随意进入服务器，因此这对于服务器来说是安全隐 患。为了保证系统的安全，要关闭默认共享,可以通 过修改注册表编辑器实现。

3.4使用NTFS文件系统

NTFS文件系统允许为任何一个磁盘分区单独 设置访问权限,可以把不同的文件放在不同的磁盘 分区中,这样即使得到了一个分区的访问权限还需 要突破系统的安全设置才能访问到其他分区上的文 件,增强了服务器文件的安全性，因此在安装操作系 统时，要把磁盘格式化为NTFS。

4虚拟主机目录安全策略

高校的二级部门网站站点数量很多，但是由于 网站没有统一制作,有的甚至直接从网上找公用的 模板改版，因此各种漏洞很多。可以通过设置这些 站点的目录安全性来限制对外开放的权限。

4.1为二级部门建立各自的账户

在用户管理中为所有的二级部门建立各自的帐 户，在用户属性设置“用户不能修改密码”和“用户密 码永不过期”密码设置成具有足够复杂度的密码, 如下图1所示。

4.2站点属性设置

站点属性配置一般人都会，但为达到防止黑客 入侵的目的，还需要特别注意的以下几个方面：①主 目录权限设置为“读取”写入和目录浏览不要，其余 为“默认”②默认有很多的应用程序映射，只需保留 必要的应用程序映射,删除如cer、asa等不必要的映 射；③目录安全性中删除默认的账户,添加为各个站 点建立的账户,可以防止跨站攻击；④关闭所有可写 目录的执行权限，可以防止一些网页木马。

4.3配置站点的NTFS权限

在磁盘的盘符上单击右键^属性安全，在“组和 用户名称”中保留管理员帐户和system账户的完全 控制权限，删除everyone和user等默认帐户的访冋 权限。之后对各个站点的根目录添加各自匿名帐户 的读取权限，对数据库等动态网站需要修改的文件 添加匿名账户的写入权限（图2)。这样，即使虚拟 主机上的某个二级网站被挂马或者中病毒也不会蔓 延到磁盘上面的其他目录。

5 IIS安全策略

5.1 IIS组件和服务

IIS默认安装时，除了 WWW服务外，还安装了 一些其它的组件，如FTP和SMTP等，根据最小服 务就是最大的安全原则，只要选择安装网站程序能 正常运行所必须的服务即可。

5.2定制错误页面

在IIS属性—自定义错误信息，在http错误信 息中双击需要定制的错误页面，将弹出错误映射属 性设置框。消息类型有默认值、URL和文件三种， 可以根据情况自行定制。这样一方面可以隐藏一些 错误信息,另外一方面也可以使错误显示更加友好。 5.3应用程序隔离

在IIS管理器中为各个站点新建各自的应用程 序池，然后将各个站点的应用程序分配到各自的应用 程序池中,这样各个站点的应用程序就会被隔离到各 自的应用程序池中独立运行，可以有效防止病毒的跨 目录运行,提高了 Web服务器的可靠性和安全性。 许昌学院二级部门的Web服务器也曾出现网页挂马、黑客入侵等安全事件,后来引入了虚拟主机的一些技术,对服务器又进行了相关的安全设置，现在很少出现类似安全事件，因此，这些措施对其他高校二级部门网站的管理也有一定的借鉴意义。

[参考文献]

黄景文.SQL注入攻击的一个新的防范策略[J ].微计算 机信息，2008，(24).

陈功.教育网站安全性建设探讨[J].四川文理学院学报 (自然科学版），2007，(2).

王炯炜.高校Web服务配置的安全技巧[J ].科技信息， 2008，（29).

李新，李成友.基于Windows系统的Web服务器安全研 究与实现[J ].教育信息化，2006，(7).

张宇.内网服务器特点分析及安全策略[J].网络安全技 术与应用，2008，(4).

宁博，张保杰.网络安全技术及防火墙在校园网的应用 [J].西安邮电学院学报，2007，（12).

王远哲.细说高校WEB服务器安全[J ].电脑知识与技 术，2008，(26).

程涛.利用帐号分级管理策略提高多站点Web服务器安 全性[J ].黑龙江科技信息，2008，（17).

陈奇点评：

本方法基于IIS管理虚拟主机，通过权限配置进行安全管理是一个很基础的安全管理方式，对于日常的服务器管理有一定的参考意义。

编辑：陈奇 转载自《廊坊师范学院学报》（自然科学版）2010年6月第10卷第3期

声明：版权归原作者所有，本站用于学习研究收录使用，禁止商业转载，侵删微信：354638784