淺談Web服務器的安全架構

張雙喜

摘要：隨著Internet技術的不斷進步,信息資源瞬間可以通過在全球共享,WWW 是 Internet 的多媒體信息查詢工具，是 Internet 上近年才發展起來的服務，也是發展最快和目前用的最廣泛的服務。因此建立一個安全的Web服務器的是十分必要的。要創建一個安全可靠的Web服務器，必須要實現Windows 操作系統和IIS的雙重安全。

關鍵詞：Web服務器 操作系統 IIS 安全

一、WWW的概述及其特點

World Wide Web（也稱Web、WWW或萬維網）是Internet上集文本、聲音、動畫、視頻等多種媒體信息于一身的信息服務系統，整個系統由Web服務器、瀏覽器（Browser）及通信協議等3部分組成。WWW采用的通信協議是超文本傳輸協議（HTTP，HyperText Transfer Protocol），它可以傳輸任意類型的數據對象，是Internet發布多媒體信息的主要協議。

WWW 采用的是客戶/服務器結構，其作用是整理和儲存各種WWW資源，并響應客戶端軟件的請求，把客戶所需的資源傳送到 Windows 95（或Windows98）、Windows NT 等平臺上。

二、Web服務器的功能

（一）、信息的發布及瀏覽

信息發布是最基本的應用，行政機關、企事業單位甚至個人，都可以借助Web服務發布或瀏覽各種各樣的信息，例如時事新聞、法律法規、科普知識、技術文檔、產品圖文等。這些能使用戶及時地了解到各種各樣的信息。

（二）、其他網絡服務的平臺

在信息發布的基礎上可以擴展出電子商務、資料查詢、網絡圖書館，辦公自動化、web電子郵件等，只是這些應用的交互性更強，還要受到網絡數據庫的支持。

三、構造一個安全的Windows 2000 操作系統

在創建一個安全可靠的Web服務器，必須要實現Windows 2000操作系統和IIS的雙重安全，因此IIS的用戶可以對Windows 2000的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統的權限控制，所以保護IIS安全就是確保Windows 2000操作系統的安全。實際上，Web服務器安全的根本就是用來保護操作系統的安全。

（一）、使用NTFS文件系統

在Windows 2000系統中最好使用NTFS文件系統，否則NTFS可以對文件和目錄進行管理，而FAT文件系統只能提供共享的安全，而且在默認情況下，每建立一個新的共享，所有的用戶就都能看到，這樣不利于系統的安全性。而在NTFS文件下，建立新共享后可以通過修改權限保證系統安全。

（二）、如何關閉默認共享

在Windows 2000中，有一個“默認共享”,這是在安裝服務器的時候,把系統安裝分區自動進行共享，然后對訪問需要超級用戶的密碼，但這是潛在的安全隱患，從服務器的安全考慮，最好關閉 “默認共享”文件，以卻保系統的安全。

（三）、共享權限的修改

在系統默認情況下，每建立一個新的共享，Everyone用戶就享有“完全控制”的共享權限，因此，在建立新的共享后應該立即修改Everyone的損壞的權限，不能讓Web服務器訪問到不必要的權限，給服務器帶來不必要的攻擊和危險。

（四）、為系統管理員帳號改名

對于一般用戶，我們可以在“本地安全策略”中的“帳戶鎖定策略”中限制猜測口令的次數，但對系統管理員賬號(Administrator)卻無法限制，這就可能給非法用戶帶來攻擊，給管理員賬號口令帶來一定的機會，所以我們需要將管理員賬號更名。具體設置方法如下:

右擊“我的電腦”選擇 “管理”，啟動“計算機管理”，在“本地用戶和組”中，右擊“管理員賬號(Administrator)”,選擇“重命名”如圖1-1，將管理員帳號修改為一個很普通的用戶名即可。

（五）、禁用TCP/IP 上的NetBIOS

（六）、TCP/IP上對進站連接進行控制

1、利用TCP/IP篩選

2、如何利用IP安全策略

IP安全策略過濾器即IP安全機制,是抵御內部、專用網絡及外部安全攻擊的關鍵防線。IPSec 使用加密的安全服務來也提供數據完整性、數據身份驗證、數據機密性和 TCP/IP 通訊重放等多種級別的保護。

案例分析：在網絡上傳輸數據的時候，通過創建IP安全策略，利用點到點的安全模型，能夠安全有效地把源計算機的數據傳輸到目標計算機。那么，我們如何來創建IP安全策略呢？

方法如下：運行Gpedit.msc，打開“組策略”對話窗口，如圖1-4。依次展開“計算機配置” “Windows 設置” “安全設置” “IP 安全策略，在其右側窗口中就是系統內置的三條安全策略：安全服務器(要求安全設置)、客戶端(只響應)、服務器(請求安全設置)如圖1-3。利用IP安全策略只允許訪問80端口，就可以保障Web服務的絕對安全。

在其右側窗口中右擊，在彈出的快捷菜單中選擇“創建IP安全策略”，打開“IP安全策略向導”對話框，單擊“下一步”，然后輸入策略名稱和策略描述。單擊“下一步”，不選“激活默認響應規則”復選項，單擊“下一步”，點擊“完成”就完成IP安全策略的創建工作。

四、IIS 與Web的關系

IIS（Internet Information Server）作為當今流行的Web服務器之一，提供了強大的Internet和Intranet服務功能，如何加強IIS的安全機制，建立一個高安全性能的Web服務器，已成為IIS設置中不可忽視的重要組成部分。

1、IIS的安全配置

2、IIS與Web的關系

在Web服務器中IIS是最終用戶提供的Web發布的，在Web服務管理中IIS是核心組件，這些組件處理了配置和管理Web應用程序，而在Web中IIS也能配置和管理網上的一引起信息、傳輸文件和用戶通訊等服務信息。

五、總結

我們在通過 Web 瀏覽器訪問信息資源的過程中，無需再關心一些技術性的細節，而且界面非常好看，因而 Web 在Internet 上一推出就受到了熱烈的歡迎，并迅速得到了技術性的發展。但事物的發展是相對的，隨著現代信息技術的不斷發展，同時也經常被發現有新的安全漏洞，因此對其安全的研究我們還需要不斷的深入了解,能夠做到及時發現問題并將其解決。