配置WEB安全
我们提供的服务有:网站制作、网站建设、微信公众号开发、网站优化、网站认证、隆尧ssl等。为上1000家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的隆尧网站制作公司
WEB安全是系统提供的最常见的服务之一,WEB安全服务器主要存在的漏洞包括:
物理路径泄露
CGI源代码泄露
目录遍历
执行任意命令
缓冲区溢出
拒绝服务
跨站乳酸执行
Windows平台上使用的WEB服务器软件是IIS,无论哪种操作系统平台,只要对外提供WEB服务,就会面临着来自外部的攻击可能,所以需要对WEB服务器进行有效的安全防护。
针对WEB服务器采取的一些有效措施包括:
a. 打补丁
针对IIS存在的系统漏洞,应该定期下载安全补丁,及时发现和堵上漏洞。
b. 只开放WEB服务端口
如果不需要其它的服务,在安装服务的时候选择只安装WEB服务,并使用80端口,禁用其他的不必要的服务,例如FTP和SMTP服务
c. WEB服务器应该放在一个专门的区域中,利用防火墙保护WEB服务器。
这个专门的区域使WEB服务器与外网相对隔%C
貌似这种做法是普通的家用机器防黑设置,企业防黑的话还是有待提高
个人一些小建议:
1、貌似MACAFEE专精于监控,国内做免杀大部分都走卡巴,而MACAFEE很容易被忽略,这个就比较好了,能刷掉80%以上入门级黑客
同时,MACFEE作为杀毒软件而不是专业防火墙,在防黑系统特别是监控上做得还是有很大差距,个人建议使用专业的防火墙搭配黑客扫描工具进行监控,天网还好,看得懂鸟语用国外的最好,毕竟在杀毒领域国内落后不是一年两年(从杀毒中的瑞X,江X,金X就能看出,呵呵)
2、貌似这样对一个中级黑客来说,还是很容易通过拒绝服务攻击瘫痪你的网站,尤其是机器配置不高的情况下,一个拒绝服务就挂了,只好关机……
个人建议有一定经济基础后尽量考虑硬件防火墙
3、貌似对注入提权还是没有很好的防范,这个最好的防御办法大家都在讨论,不敢乱说,只能说自己见过的某国内公司做了双数据库的办法还是很有效,在最后给出的口令非常容易用MD5解析,但是是假的,输入后进入假数据库并触发对方报警系统………… 后来这事还是很麻烦,如果自己没反追踪铁定进局子了,呵呵
4、对高级黑客,主要做好反抓包,反社会工程学渗透(只要管理员没明显性格缺陷的话,呵呵)
其他打补丁上更新什么的入门级就不多说了
祝安全系统一帆风顺!
系统设置
1、屏蔽不必要的端口。没有特殊的需要,web服务器只需要开个21和80以及3389就足够了。
2、及时更新补丁。而且要打全,否则很容易中木马。
3、关闭危险组件和服务项。
IIS相关设置
1、尽量取消不必要的程序扩展,仅保留asp,php,cgi,pl,aspx应用程序扩展就可以了。扩展越多意味着风险系数越大,能关闭就尽量关闭。
2、数据库要推荐使用mdb后缀,可以在IIS中设置mdb的扩展映射,把映射利用一个毫不相关的dll文件如来禁止被下载。如C:WINNTsystem32inetsrvssinc.dll。
3、设置好IIS的日志存放目录,调整日志的记录信息。设置成发送文本错误信息。修改403错误页面,将其转向到其他页,这样可以防止一些扫描器的探测。
代码安全
1、少用不明网站的第三方代码,特别是一些不知名的个人或者小团队的公开代码。像DISCUZ这么强大的代码都一直被爆出漏洞,更别说其他的代码了,原因很简单,就是因为这些代码是开放的,可以直接在源代码里面找漏洞。
2、代码放注入。只要有数据库就会有注入,抵御与绕过抵御的方法有很多。总之这个是要靠程序员日积月累的代码功底和安全意识的。
3、防止上传漏洞。除了代码的注入,文件的上传也是个大安全漏洞。所以,可以减少上传数量,提高严重强度,以及验证的时候要固定后缀和类型。