如何用IIS建立高安全性Web服務器
IIS(Internet Information Server)作爲當今流行的Web服務器之一,提供了強大的Internet和Intranet服務功能,如何加強IIS的安全機制,建立一個高安全性能的Web服務器,已成爲IIS設置中不可忽視的重要組成部分。
本文將通過以下兩個方面來闡述加強IIS安全機制的方法。
一、 以Windows NT的安全機制爲基礎
作爲運行在 Windows NT操作系統環境下的IIS,其安全性也應建立在Windows NT安全性的基礎之上。
1.應用NTFS文件系統
NTFS可以對文件和目錄進行管理,而FAT(文件分配表)文件系統只能提供共享級的安全,建議在安裝Windows NT時使用NTFS系統。
2.共享權限的修改
在缺省情況下,每建立一個新的共享,其everyone用戶就能享有“完全控制”的共享權限,因此,在建立新共享後要立即修改everyone缺省權限。
3.爲系統管理員賬號更名
域用戶管理器雖可限制猜測口令的次數,但對系統管理員賬號卻用不上,這可能給非法用戶帶來攻擊管理員賬號口令的機會,通過域用戶管理器對管理員賬號更名不失爲一種好辦法。具體設置如下:
(1) 啓動“域用戶管理器”;
(2) 選中管理員賬號;
(3) 啓動“用戶”選單下的“重命名”對其進行修改。
4.廢止TCP/IP上的NetBIOS
管理員可以通過構造目標站NetBIOS名與其IP地址之間的映像,對Internet上的其他服務器進行管理,非法用戶也可從中找到可乘之機。如果這種遠程管理不是必須的,應立即廢止(通過網絡屬性的綁定選項,廢止NetBIOS與TCP/IP之間的綁定)。
二、 設置IIS的安全機制
1.安裝時應注意的安全問題
(1)避免安裝在主域控制器上
在安裝IIS之後,將在安裝的計算機上生成IUSR_Computername匿名賬戶,該賬戶被添加到域用戶組中,從而把應用於域用戶組的訪問權限提供給訪問Web服務器的每個匿名用戶,這不僅給IIS帶來巨大的潛在危險,而且還可能牽連整個域資源的安全,要儘可能避免把IIS安裝在域控制器上,尤其是主域控制器。
(2)避免安裝在系統分區上
把IIS安放在系統分區上,會使系統文件與IIS同樣面臨非法訪問,容易使非法用戶侵入系統分區。
2.用戶控制的安全性
(1)匿名用戶
安裝IIS後產生的匿名用戶IUSR_Computername(密碼隨機產生),其匿名訪問給Web服務器帶來潛在的安全性問題,應對其權限加以控制。如無匿名訪問需要,可取消Web的匿名服務。具體方法:
①啓動ISM(Internet Server Manager);
②啓動WWW服務屬性頁;
③取消其匿名訪問服務。
(2)一般用戶
通過使用數字與字母(包括大小寫)結合的口令,提高修改密碼的頻率,封鎖失敗的登錄嘗試以及賬戶的生存期等對一般用戶賬戶進行管理。
3.登錄認證的安全性
IIS服務器提供對用戶三種形式的身份認證。
匿名訪問:不需要與用戶之間進行交互,允許任何人匿名訪問站點,在這三種身份認證中的安全性是最低的。
基本(Basic)驗證:在此方式下用戶輸入的用戶名和口令以明文方式在網絡上傳輸,沒有任何加密,非法用戶可以通過網上監聽來攔截數據包,並從中獲取用戶名及密碼,安全性能一般。
Windows NT請求/響應方式:瀏覽器通過加密方式與IIS服務器進行交流,有效地防止了竊聽者,是安全性比較高的認證形式。這種方式的缺點是隻有IE3.0及以上版本才支持。
4.訪問權限控制
(1)文件夾和文件的訪問權限:安放在NTFS文件系統上的文件夾和文件,一方面要對其權限加以控制,對不同的用戶組和用戶進行不同的權限設置;另外,還可利用NTFS的審覈功能對某些特定用戶組成員讀文件的企圖等方面進行審覈,有效地通過監視如文件訪問、用戶對象的使用等發現非法用戶進行非法活動的前兆,及時加以預防制止。具體方法:
①啓動“域用戶管理器”;
②啓動“規則”選單下的“審覈”選項;
③設置“審覈規則”。
(2)WWW目錄的訪問權限:已經設置成Web目錄的文件夾,可以通過操作Web站點屬性頁實現對WWW目錄訪問權限的控制,而該目錄下的所有文件和子文件夾都將繼承這些安全性。WWW服務除了提供NTFS文件系統提供的權限外,還提供讀取權限,允許用戶讀取或下載WWW目錄中的文件;執行權限,允許用戶運行WWW目錄下的程序和腳本。具體設置方法:
①啓動ISM(Internet服務器管理器);
②啓動Web屬性頁並選擇“目錄”選項卡;
③選擇WWW目錄;
④選擇“編輯屬性”中的“目錄屬性”進行設置。
5.IP地址的控制
IIS可以設置允許或拒絕從特定IP發來的服務請求,有選擇地允許特定節點的用戶訪問服務,你可以通過設置來阻止除指定IP地址外的整個網絡用戶來訪問你的Web服務器。具體設置:
(1) 啓動ISM(Internet服務器管理器);
(2) 啓動Web屬性頁中“高級”選項卡;
(3) 進行指定IP地址的控制設置。
6.端口安全性的實現
對於IIS服務,無論是WWW站點、FTP站點,還是NNTP、SMTP服務等都有各自監聽和接收瀏覽器請求的TCP端口號(Post),一般常用的端口號爲:WWW是80,FTP是21,SMTP是25,你可以通過修改端口號來提高IIS服務器的安全性。如果你修改了端口設置,只有知道端口號的用戶纔可以訪問,但用戶在訪問時需要指定新端口號。
7.IP轉發的安全性
IIS服務可提供IP數據包轉發功能,此時,充當路由器角色的IIS服務器將會把從Internet接口收到的IP數據包轉發到內部網中,禁用這一功能不失爲提高安全性的好辦法。具體設置如下:
(1) 啓動“網絡屬性”並選擇“協議”選項卡;
(2) 在TCP/IP屬性中去掉“路由選擇”。
8.SSL安全機制
IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外,還有一種安全性更高的認證:通過SSL(Security Socket Layer)安全機制使用數字證書。
SSL(加密套接字協議層)位於HTTP層和TCP層之間,建立用戶與服務器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的,任何用戶都可以獲得公共密鑰來加密數據,但解密數據必須要通過相應的私人密鑰。使用SSL安全機制時,首先客戶端與服務器建立連接,服務器把它的數字證書與公共密鑰一併發送給客戶端,客戶端隨機生成會話密鑰,用從服務器得到的公共密鑰對會話密鑰進行加密,並把會話密鑰在網絡上傳遞給服務器,而會話密鑰只有在服務器端用私人密鑰才能解密,這樣,客戶端和服務器端就建立了一個惟一的安全通道。具體步驟如下:
(1) 啓動ISM並打開Web站點的屬性頁;
(2) 選擇“目錄安全性”選項卡;
(3) 單擊“密鑰管理器”按鈕;
(4) 通過密鑰管理器生成密鑰對文件和請求文件;
(5) 從身份認證權限中申請一個證書;
(6) 通過密鑰管理器在服務器上安裝證書;
(7) 激活Web站點的SSL安全性。
建立了SSL安全機制後,只有SSL允許的客戶才能與SSL允許的Web站點進行通信,並且在使用URL資源定位器時,輸入https:// ,而不是http:// 。
SSL安全機制的實現,將增大系統開銷,增加了服務器CPU的額外負擔,從而降低了系統性能,在規劃時建議僅考慮爲高敏感度的Web目錄使用。另外,SSL客戶端需要使用IE 3.0及以上版本才能使用。
如何用IIS建立高安全性Web服務器
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
吐槽一下:百度所有產品用戶體驗都是最垃圾的、最奇葩的,充滿霸道和盛氣凌人。
see4917
2020-06-29 05:26:53
我的網站之被迫營業——救命的React-three-fiber
二三王
2020-02-21 08:16:11
個人博客網站的第一次修改
二三王
2020-02-21 08:16:10
寫個博客吧(ReactHooks+MongoDB+Nest.js+Antd)前端UI構建的思考
二三 Wang
2019-10-26 09:37:42
Nest博客後臺接口和與React前端的交互
二三 Wang
2019-10-26 09:37:42
寫個網站吧! --Flask+Vue.js+MySQL+Docker(2)--前端
Asen Wang
2019-08-29 08:21:00
寫個網站吧! --Flask+Vue.js+MySQL+Docker(1)--簡介
Asen Wang
2019-08-29 08:21:00
寫個網站吧! --Flask+Vue.js+MySQL+Docker(5)--docker部署
Asen Wang
2019-08-29 08:20:59
寫個網站吧! --Flask+Vue.js+MySQL+Docker(4)--數據庫
Asen Wang
2019-08-29 08:20:59
寫個網站吧! --Flask+Vue.js+MySQL+Docker(3)--後端
Asen Wang
2019-08-29 08:20:59
如何比較兩個日期相差幾天,(更簡單的算法)
decolee
2018-09-01 17:51:32
ASP程序錯誤詳細說明例表
decolee
2018-09-01 17:51:20