浅谈校园网络WEB服务器的安全与维护

摘要： 国内许多的高校都组建了校园网络，并提供了各类的网络教学资源。随着选择接入校园网的教师和学生的增加，校园网络提供的各类服务器如WEB服务器将面临的各种攻击威胁，网络管理员需针对WEB服务器做好各种安全策略的管理。

关键词：WEB服务器；网站安全策略；网络管理

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)11-2544-02

随着国内各高校的校园网网络资源建设的不断增加，大量的校内信息将通过校内主网站和各系部的二级网站，学生和教师通过浏览校内网站获取学校的各类信息。由于WEB服务器面向所有的访客，一旦服务器遭受到病毒或校内外的黑客攻击，造成的校园网络的负面影响，因而如何做好WEB服务器的安全策略和WEB站点的安全管理将是管理人员需要思考的问题。

1 目前WEB服务器所知的安全威胁

1.1 拒绝服务(DOS)

DoS 攻击是指单一的DOS攻击。它通过一台客户端的主机向WEB服务器提出握手请求，这种攻击会使服务器的硬件性能下降，如服务器硬件配置较低和网络带宽小时，遇到DOS攻击将会使WEB服务器的CPU负荷加大、大量占用内存的空间和将带宽阻塞,它的攻击效果是非常明显的。随着网络技术的不断发展，现在已经出现了万兆级网络配置，DOS的攻击困难加大，所产生的攻击效果将会受到影响，但不能对此掉以轻心。

1.2 分布式拒绝服务(DDOS)

分布式拒绝服务（DDoS）攻击是DOS的升级版，攻击的目标和DoS 一样，但它的规模更大，也更加复杂，更加恶劣，攻击性更强。在DDoS 攻击中，攻击者不是通过一个系统攻击另一个系统，而是在黑客控制下使用多个主机系统攻击WEB服务器系统，有时这种发出攻击的系统甚至多达十几万个以上。服务器系统遭受到DDOS攻击后马上造成访问站点的网络瘫痪，严重干扰正常的服务器网络运行。

1.3 SQL注入式攻击

SQL注入式攻击是从网络服务的80端口进行访问的，它和一般的网页访问没有什么区别，一般的防火墙是无法测出SQL注入攻击，它利用数据库本身的漏洞或者网页编写源代码的漏洞进行攻击，获取网站数据库的信息和数据库管理员的权限，进而再取得WEB服务器系统管理员的权限，使服务器成为其操控的对象，严重威胁服务器的安全运行使用。

1.4 嵌入式网站攻击(Iframe)

Iframe是HTML的嵌套框架之一，原身是用于编写网页代码作为跳转链接的标签。一个浏览器窗体可以通过几个页面的组合来显示，重载页面时不需要重载整个页面，只需要重载页面中的一个框架页。但一些黑客却利用服务器系统的后门和网站代码的漏洞通过Iframe形式嵌入到网页文件代码中如。Iframe嵌入式攻击就是将一段病毒代码以Iframe的形式嵌入到正常的网页中，只要访问这种网页，网页自然跳接到病毒代码所指向的链接病毒网页，即原本想访问一个正常的网站，但一打开后却自动链接到另一个带病毒的网站，一旦链接病毒网站，客户端的主机将遭到病毒网站所附带的病毒入侵致使系统瘫痪。近年来此类攻击在校园网络屡见不鲜，严重影响校内网络资源的正常使用。

2 如何应对WEB服务器的安全问题

面对目前WEB服务器遇到的网络安全威胁，对服务器系统只提供保护是远远不够的，应从整个校园局域网络架构的安全角度去对WEB服务器系统进行安全的保护。

2.1 防火墙

防火墙是隔离校园内网络与校外网络的一道防御闸门。一般用于校园局域网与外部广域网之间，通过在防火墙的安全设置有效地限制外部网络用户以各种非法手段来访问校内WEB系统资源，来达到保护服务器的安全。根据防火墙的安全规则，防火墙对任何外部网络访问校园内部网络的的行为进行管理，一般将有安全隐患的服务端口进行屏蔽，有限的开放需要使用的服务器端口，例如www端口，并在防火墙记录外部网络访问WEB服务器的安全日志。

2.2 访问控制列表ACL

目前二层或三层的智能交换机都带有访问控制列表(ACL)功能，由于校内的客户机系统可以不经过防火墙直接路由访问WEB服务器，就会使有些好奇心学生会在网络上找一些破解服务器密码系统的软件尝试去获取服务器的管理权限，控制服务器。已达到某种程度的满足感。一般我们在WEB服务器接一台带有ACL功能智能交换机，在交换机内设置ACL访问控制列表。根据ACL列表规则，从第一条开始匹配，只有达到满足ACL认定的开放的端口才被获取访问，不能匹配数据包将视为被拒绝而被丢弃的，这样做一方面减少访问服务器的无效数据包堵塞，有效了利用网络带宽资源，另一方面也大大的提高服务器的安全。

2.3 WEB服务器的各项安全设置

2.3.1 系统安全配置

在服务器系统安全方面，现今一般我们服务器系统安装的是为Windows server 2003 Enterprise Edition版。系统格式设置为NTFS，装完系统后立刻安装正版的服务器专用杀毒软件和防火墙并升级到最新版本。将由微软公司根据最新的安全要求提供的系统漏洞补丁及时安装，安装这些漏洞补丁可将由于这些系统漏洞所引起的安全隐患扼杀在萌芽中。

管理员默认的账号administrator需更改名称，按照当前的暴力破解密码软件的能力，管理员密码复杂度一定要高,最好是字符、数字、字母、特殊符号等组合的十三位以上的字符串。其中最好包括一些如“*” 、“$” 、“ #”特殊字符。以增强服务器登录账号的安全性。将一些不必要使用的账号如“guest”停用。并定期更改密码防止破解。

为给管理员提供方便管理，系统在安装后都会默认提供各种类型的网络服务和协议以及共享访问的链接。在WEB服务器上一般我们不需要使用到某些服务和协议，而启用了这些服务就可能存在安全的隐患，如NetMeeting Remote Desktop Sharing、Telnet等。在配置WEB服务器时就将其停止运行并禁止其启动。.NETBIOS 是一个只能用于局域网的协议，在局域网内对网络管理和网络通讯，用于建议或终止与远程计算机上某个资源的逻辑连接，协议一般使用137，138，139端口。在WEB服务器上开启此服务是一个很大的隐患，因此一定要关闭。另外如需访问远程桌面3389端口的，管理员可以将其更改其端口号以提高安全性。

Windows server 2003系统默认开启共享功能，这些默认的共享都有“$”标志，其中包括所有的逻辑盘如C$、D$、E$，还有系统目录Windows（admin$）。只要知道了管理员密码，网络上的任何人都可以通过共享硬盘登入服务器，对于WEB服务器来说是安全隐患。为了保证系统的安全，要关闭默认共享，可以通过修改注册表编辑器实现。

2.3.2 IIS安全设置

WEB服务器一般使用Windows server 2003 Enterprise Edition系统自带的IIS作为网站的平台，针对WEB网站的攻击，在设置IIS平台的安全时首先不要使用默认的WEB站点。其次建立新的站点后，找到正在使用的网站,在其属性中配置所有站点的公共设置,设置好相关的连接数限制,带宽以及性能等。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl应用程序扩展。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。最后更改IIS日志的路径,不要使用默认的缺省路径。IIS如需多个网站平台，要提高其安全性，就必须在本地用户和组的组栏目中新建一个网站管理组，在用户栏目中对每一个网站新建一个账号和密码，并将这些新建的账号加入到网站管理组中。IIS平台的每个网站属性中找到目录安全性标签，编辑身份验证和访问控制栏目，在“对匿名访问使用下列Windows用户账户”时输入新建的网站账号和密码。然后找到网站源代码文件所在目录在安全标签中只允许这个网站的账号访问，删除everyone等账号。这是为了如果某一个网站的源代码出现了后门中了Iframe病毒攻击，这也只能破坏这个网站的网页，而不会影响其他网站的正常运行，给管理员有效地及时地找出问题和解决问题提供了便利。此外管理员需隔一段时间及时备份网站的网页文件。