亿动网
引言
在当今互联世界中,确保 Web 服务器安全至关重要。通过实施关键配置设置,您可以有效降低安全风险并保护您的系统免受恶意攻击。
关键配置设置
1. 禁用不必要的服务
- 识别您不使用的服务,例如 FTP 和 Telnet。
- 禁用这些服务以消除潜在的攻击媒介。
2. 启用防火墙
- 配置防火墙以仅允许必要流量。
- 使用默认规则或针对特定端口和协议设置自定義规则。
3. 限制对敏感文件的访问
- 使用文件权限限制对机密文件和目录的访问。
- 将敏感文件存储在安全位置,并仅授予必要用户访问权限。
4. 使用安全的协议
- 启用 HTTPS 以加密服务器和客户端之间的通信。
- 使用强密码和加密算法(例如 TLS 1.3)来确保数据的保密性和完整性。
5. 禁用目录列表
- 防止 Web 服务器列出目录内容。
- 这有助于防止攻击者收集有关服务器配置的信息,并防止敏感文件被发现。
6. 更新软件和补丁
- 及时更新操作系統、Web 服务器软件和任何第三方插件。
- 补丁程序修复已知安全漏洞,提高总体安全性。
7. 使用入侵检测和预防系统 (IDS/IPS)
- 安装 IDS/IPS 来检测并阻止恶意活动。
- 这些系统可以监视网络流量和系统活动,并主动应对攻击。
8. 实施安全标头
- 启用安全标头,例如 X-XSS-Protection 和 X-Content-Type-Options。
- 这些标头有助于保护 Web 应用程序免受跨站点脚本 (XSS) 和内容嗅探攻击的影响。
9. 启用双因素认证 (2FA)
- 对于管理面板和关键帐户,实施 2FA。
- 2FA 通过要求提供第二个身份验证因素(例如代码或一次性密码)来增加对未经授权访问的安全性。
10. 定期进行安全扫描
- 定期使用安全扫描程序扫描 Web 服务器,以查找漏洞和潜在威胁。
- 扫描结果可帮助您识别需要解决的任何问题。
实施步骤
1. 选择合适的服务器软件
选择具有良好安全记录和定期更新的知名 Web 服务器软件。
2. 优化服务器配置
按照上述关键配置设置进行操作,根据您的特定环境进行必要的调整。
3. 监控服务器活动
使用日志、入侵检测工具和其他监控解决方案监控服务器活动,以检测异常行为。
4. 定期进行安全审计
定期检查服务器安全配置并进行外部审计,以验证其有效性。
结论
通过实施关键配置设置并遵循最佳实践,您可以有效提高 Web 服务器的安全性。通过持续监控和维护,您可以确保您的系统受到保护,并防止恶意攻击。
windows下Web服务器配置方法详解
Web服务器概述
Web服务器又称为WWW服务器,它是放置一般网站的服务器。一台Web服务器上可以建立多个网站,各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中,其它用户就可以用浏览器访问网站中的网页了。
我们配置Web服务器,就是在服务器上建立网站,并设置好相关的参数,至于网站中的网页应该由网站的维护人员制作并上传到服务器中,这个工作不属于配置服务器的工作。
IIS的安装
一般在安装操作系统时不默认安装IIS,所以在第一次配置Web服务器时需要安装IIS。安装方法为:
1、打开“控制面板”,打开“添加/删除程序”,弹出“添加/删除程序”窗口。
2、单击窗口中的“添加/删除Windows组件”图标,弹出“Windows组件向导”对话框。
图1
3、选中“向导”中的“应用程序服务器”复选框。单击“详细信息”按钮,弹出“应用程序服务器”对话框。
图2
4、选择需要的组件,其中“Internet信息服务(IIS)”和“应用程序服务器控制台”是必须选中的。选中“Internet信息服务(IIS)”后,再单击“详细信息”按钮,弹出“Internet信息服务(IIS)”对话框。
图3
5、选中“Internet信息服务管理器”和“万维网服务”。并且选中“万维网服务”后,再单击“详细信息”按钮,弹出“万维网服务”对话框。
图4
6、其中的“万维网服务”必须选中。如果想要服务器支持ASP,还应该选中“Active Server Pages”。逐个单击“确定”按钮,关闭各对话框,直到返回图1的“Windows组件向导”对话框。
7、单击“下一步”按钮,系统开始IIS的安装,这期间可能要求插入Windows Server 2003安装盘,系统会自动进行安装工作。
8、安装完成后,弹出提示安装成功的对话框,单击“确定”按钮就完成了IIS的安装。
友情提示:如果想要同时装入FTP服务器,在“Internet信息服务(IIS)”对话框中应该把“文件传输协议(FTP)服务”的复选框也选中。
图5
在IIS中创建Web网站
打开“Internet 信息服务管理器”,在目录树的“网站”上单击右键,在右键菜单中选择“新建→网站”,弹出“网站创建向导”:
图6
图7
网站描述就是网站的名字,它会显示在IIS窗口的目录树中,方便管理员识别各个站点。本例中起名为“枝叶的网站”。
图8
网站IP地址:如果选择“全部未分配”,则服务器会将本机所有IP地址绑定在该网站上,这个选项适合于服务器中只有这一个网站的情况。也可以从 下拉式列表框中选择一个IP地址(下拉式列表框中列出的是本机已配置的IP地址,如果没有,应该先为本机配置IP地址,再选择。)
TCP端口:一般使用默认的端口号80,如果改为其它值,则用户在访问该站点时必须在地址中加入端口号。
主机头:如果该站点已经有域名,可以在主机头中输入域名。
图9
主目录路径是网站根目录的位置,可以用“浏览”按钮选择一个文件夹作为网站的主目录。
图10
网站访问权限是限定用户访问网站时的权限,“读取”是必需的,“运行脚本”可以让站点支持ASP,其它权限可根据需要设置。
单击“下一步”,弹出“完成向导”对话框,就完成了新网站的创建过程,在IIS中可以看到新建的网站。把做好的网页和相关文件复制到主目录中,通常就可以访问这个网站了。
图11
访问网站的方法是:如果在本机上访问,可以在浏览器的地址栏中输入“”;如果在网络中其它计算机上访问,可以在浏览器的地址栏中输入“ http:// 网站IP地址”。
说明:如果网站的TCP端口不是80,在地址中还需加上端口号。假设TCP端口设置为8080,则访问地址应写为“”或“ http:// 网站IP地址:8080”。
网站的基本配置
如果需要修改网站的参数,可以在“网站名字”上单击右键,在右键菜单中选择“属性”,可以打开“网站属性”对话框。
1、“网站”标签
图12
“网站标识”:可以设置网站名字、IP地址、端口号。单击“高级”按钮可以设置主机头名。
2、“主目录”标签
图13
在本地路径中可以设置主目录的路径名和访问权限。
3、“文档”标签
图14
默认文档是指访问一个网站时想要打开的默认网页,这个网页通常是该网站的主页。如果没有启用默认文档或网站的主页文件名不在默认文档列表中,则访问这个网站时需要在地址中指明文件名。
默认文档列表中最初只有4个文件、、和。我用 “添加”按钮加入了一个,并用“上移”按钮把它移到了顶部。这主要是因为我的网站的主页名为“”,所以应该把它加入 列表,至于是否位于列表顶部倒是无关紧要的。
经过以上配置,一个Web网站就可以使用了。把制作好的网页复制到网站的主目录中,网站主页的文件名应该包含在默认文档中。打开浏览器,在地址栏中输入“ http:// 本机IP地址”,就可以打开网站的主页。其它页面可以用网页中的超链接打开。
虚拟目录
虚拟目录可以使一个网站不必把所有内容都放置在主目录内。虚拟目录从用户的角度来看仍在主目录之内,但实际位置可以在计算机的其它位置,而且虚拟目录的名字也可以与真实目录不同。如:
图15
图中用户看到的一个位于主目录下的文件夹“pic”,它的真实位置在服务器的“D:myimage”处,而主目录位于“C:mywww” 处。假设该网站的域名是“”,则用户访问“文件1”时,访问的实际位置是服务器的 “D:myimage文件1”,所以虚拟目录的真实名字和位置对用户是不可知的。
创建虚拟目录的方法:
打开 Internet 信息服务窗口,在想要创建虚拟目录的 Web 站点上 单击右键,选择“新建”→“虚拟目录”。弹出虚拟目录创建向导:
图16
别名是映射后的名字,即客户访问时的名字;
图17
路径:服务器上的真实路径名,即虚拟目录的实际位置;
图18
访问权限:指客户对该目录的访问权限。
单击“下一步”按钮,弹出完成对话框,虚拟目录就建立成功了。把相关文件复制到虚拟目录中,用户就可以按照虚拟的树形结构访问到指定文件了。
通常虚拟目录的访问权限、默认文档等都继承自主目录,如果需要修改,可在“Internet 信息服务管理器”中的虚拟目录上单击右键,选择“属性”,就可以修改虚拟目录的参数设置了。
常见问题
1、如何在一台Web服务器上建立多个网站?
在IIS管理器的“网站”上单击右键,选择“新建Web网站”,然后用“网站创建向导”可以创建新网站,每运行一次就能创建一个网站。
多网站的关键是如何区分各个网站,区分的依据是IP地址、TCP端口号、主机头,只要这三个参数中有任何一个不同都可以。
①用IP地址区分各网站:首先为服务器配置多个IP地址,然后在网站属性的IP地址栏目中为每个网站设置一个IP地址。
②用TCP端口区分各网站:这时各网站可以使用相同的IP地址,但把TCP端口设置的不同(应该使用1024~之间的值),这样也可以区分各网站。但这种方法要求用户在访问网站时,必须在地址中加入端口号,显得不太方便,一般不用。
③用主机头区分各网站:主机头是一个符合DNS命名规则的符号串,一般就用网站的域名作为主机头。设置主机头可以在网站属性的“网站”标签中单击“高级”按钮进行设置。如图:
图19
利用这个“高级”设置,还可以为一个网站配置多个IP地址,或使用不同的TCP端口。
2、网站配置完成后,为何打不开?
最常见的情况是没有把网站主页的文件名添加到默认文档列表中,IIS6中网站的默认文档只有4个、 、和,如果你的网站主页名字不是这4个中的一个,就应该把它添加进去。如果不添加,就 应该用带文件名的地址访问这个页面。
3、为什么我的ASP页面不能执行?
在IIS6中,ASP文件必须在启用“Active Server Pages”时才能执行,如果安装IIS时,没有选中“Active Server Pages”,则服务器默认不启用“Active Server Pages”,也就不能执行ASP文件。
启用“Active Server Pages”的方法是:打开“Internet 信息服务管理器”,选中其中的“Web服务扩展”,然后启用里面的“Active Server Pages”。如图:
图20
WEB服务器安全目前主要存在哪些问题?如何增强web服务器的安全?
web服务器安全这问题,很重要,之前服务器被黑,管理员账号也被篡改,远程端口也登陆不了了。
,在网上搜索了一些服务器安全设置以及防黑的文章,对着文章,我一个一个的设置起来,费了好几天的时间才设置完,原以为会防止服务器再次被黑,没想到服务器竟然瘫痪了,网站都打不开了,无奈对服务器安全也是一窍不通,损失真的很大,数据库都损坏了,我哪个后悔啊。
娘个咪的。
最后还是让机房把系统重装了。
找了几个做网站服务器方面的朋友,咨询了关于服务器被黑的解决办法,他们建议找国内最有名的服务器安全的安全公司来给做安全维护,推荐了sinesafe,服务器被黑的问题,才得以解决。
一路的走来,才知道,服务器安全问题可不能小看了。
经历了才知道,服务器安全了给自己带来的也是长远的利益。
希望我的经历能帮到楼主,帮助别人也是在帮助我自己。
下面是一些关于安全方面的建议!建站一段时间后总能听得到什么什么网站被挂马,什么网站被黑。
好像入侵挂马似乎是件很简单的事情。
其实,入侵不简单,简单的是你的网站的必要安全措施并未做好。
一:挂马预防措施:1、建议用户通过ftp来上传、维护网页,尽量不安装asp的上传程序。
2、定期对网站进行安全的检测,具体可以利用网上一些工具,如sinesafe网站挂马检测工具!序,只要可以上传文件的asp都要进行身份认证!3、asp程序管理员的用户名和密码要有一定复杂性,不能过于简单,还要注意定期更换。
4、到正规网站下载asp程序,下载后要对其数据库名称和存放路径进行修改,数据库文件名称也要有一定复杂性。
5、要尽量保持程序是最新版本。
6、不要在网页上加注后台管理程序登陆页面的链接。
7、为防止程序有未知漏洞,可以在维护后删除后台管理程序的登陆页面,下次维护时再通过ftp上传即可。
8、要时常备份数据库等重要文件。
9、日常要多维护,并注意空间中是否有来历不明的asp文件。
记住:一分汗水,换一分安全!10、一旦发现被入侵,除非自己能识别出所有木马文件,否则要删除所有文件。
11、对asp上传程序的调用一定要进行身份认证,并只允许信任的人使用上传程序。
这其中包括各种新闻发布、商城及论坛程二:挂马恢复措施:1.修改帐号密码不管是商业或不是,初始密码多半都是admin。
因此你接到网站程序第一件事情就是“修改帐号密码”。
帐号密码就不要在使用以前你习惯的,换点特别的。
尽量将字母数字及符号一起。
此外密码最好超过15位。
尚若你使用SQL的话应该使用特别点的帐号密码,不要在使用什么什么admin之类,否则很容易被入侵。
2.创建一个能够有效的防范利用搜索引擎窃取信息的骇客。
3.修改后台文件第一步:修改后台里的验证文件的名称。
第二步:修改,防止非法下载,也可对数据库加密后在修改。
第三步:修改ACESS数据库名称,越复杂越好,可以的话将数据所在目录的换一下。
4.限制登陆后台IP此方法是最有效的,每位虚拟主机用户应该都有个功能。
你的IP不固定的话就麻烦点每次改一下咯,安全第一嘛。
5.自定义404页面及自定义传送ASP错误信息404能够让骇客批量查找你的后台一些重要文件及检查网页是否存在注入漏洞。
ASP错误嘛,可能会向不明来意者传送对方想要的信息。
6.慎重选择网站程序注意一下网站程序是否本身存在漏洞,好坏你我心里该有把秤。
7.谨慎上传漏洞据悉,上传漏洞往往是最简单也是最严重的,能够让黑客或骇客们轻松控制你的网站。
可以禁止上传或着限制上传的文件类型。
不懂的话可以找专业做网站安全的sinesafe公司。
8. cookie 保护登陆时尽量不要去访问其他站点,以防止 cookie 泄密。
切记退出时要点退出在关闭所有浏览器。
9.目录权限请管理员设置好一些重要的目录权限,防止非正常的访问。
如不要给上传目录执行脚本权限及不要给非上传目录给于写入权。
10.自我测试如今在网上黑客工具一箩筐,不防找一些来测试下你的网站是否OK。
11.例行维护a.定期备份数据。
最好每日备份一次,下载了备份文件后应该及时删除主机上的备份文件。
b.定期更改数据库的名字及管理员帐密。
c.借WEB或FTP管理,查看所有目录体积,最后修改时间以及文件数,检查是文件是否有异常,以及查看是否有异常的账号。
如何保障Web服务器安全
不但企业的门户网站被篡改、资料被窃取,而且还成为了病毒与木马的传播者。
有些Web管理员采取了一些措施,虽然可以保证门户网站的主页不被篡改,但是却很难避免自己的网站被当作肉鸡,来传播病毒、恶意插件、木马等等。
笔者认为,这很大一部分原因是管理员在Web安全防护上太被动。
他们只是被动的防御。
为了彻底提高Web服务器的安全,笔者认为,Web安全要主动出击。
具体的来说,需要做到如下几点。
一、在代码编写时就要进行漏洞测试 现在的企业网站做的越来越复杂、功能越来越强。
不过这些都不是凭空而来的,是通过代码堆积起来的。
如果这个代码只供企业内部使用,那么不会带来多大的安全隐患。
但是如果放在互联网上使用的话,则这些为实现特定功能的代码就有可能成为攻击者的目标。
笔者举一个简单的例子。
在网页中可以嵌入SQL代码。
而攻击者就可以利用这些SQL代码来发动攻击,来获取管理员的密码等等破坏性的动作。
有时候访问某些网站还需要有某些特定的控件。
用户在安装这些控件时,其实就有可能在安装一个木马(这可能访问者与被访问者都没有意识到)。
为此在为网站某个特定功能编写代码时,就要主动出击。
从编码的设计到编写、到测试,都需要认识到是否存在着安全的漏洞。
笔者在日常过程中,在这方面对于员工提出了很高的要求。
各个员工必须对自己所开发的功能负责。
至少现在已知的病毒、木马不能够在你所开发的插件中有机可乘。
通过这层层把关,就可以提高代码编写的安全性。
二、对Web服务器进行持续的监控 冰冻三尺、非一日之寒。
这就好像人生病一样,都有一个过程。
病毒、木马等等在攻击Web服务器时,也需要一个过程。
或者说,在攻击取得成功之前,他们会有一些试探性的动作。
如对于一个采取了一定安全措施的Web服务器,从攻击开始到取得成果,至少要有半天的时间。
如果Web管理员对服务器进行了全天候的监控。
在发现有异常行为时,及早的采取措施,将病毒与木马阻挡在门户之外。
这种主动出击的方式,就可以大大的提高Web服务器的安全性。
笔者现在维护的Web服务器有好几十个。
现在专门有一个小组,来全天候的监控服务器的访问。
平均每分钟都可以监测到一些试探性的攻击行为。
其中99%以上的攻击行为,由于服务器已经采取了对应的安全措施,都无功而返。
不过每天仍然会遇到一些攻击行为。
这些攻击行为可能是针对新的漏洞,或者采取了新的攻击方式。
在服务器上原先没有采取对应的安全措施。
如果没有及时的发现这种行为,那么他们就很有可能最终实现他们的非法目的。
相反,现在及早的发现了他们的攻击手段,那么我们就可以在他们采取进一步行动之前,就在服务器上关掉这扇门,补上这个漏洞。
笔者在这里也建议,企业用户在选择互联网Web服务器提供商的时候,除了考虑性能等因素之外,还要评估服务提供商能否提供全天候的监控机制。
在Web安全上主动出击,及时发现攻击者的攻击行为。
在他们采取进一步攻击措施之前,就他们消除在萌芽状态。
三、设置蜜罐,将攻击者引向错误的方向 在军队中,有时候会给军人一些伪装,让敌人分不清真伪。
其实在跟病毒、木马打交道时,本身就是一场无硝烟的战争。
为此对于Web服务器采取一些伪装,也能够将攻击者引向错误的方向。
等到供给者发现自己的目标错误时,管理员已经锁定了攻击者,从而可以及早的采取相应的措施。
笔者有时候将这种主动出击的行为叫做蜜罐效应。
简单的说,就是设置两个服务器。
其中一个是真正的服务器,另外一个是蜜罐。
现在需要做的是,如何将真正的服务器伪装起来,而将蜜罐推向公众。
让攻击者认为蜜罐服务器才是真正的服务器。
要做到这一点的话,可能需要从如下几个方面出发。
一是有真有假,难以区分。
如果要瞒过攻击者的眼睛,那么蜜罐服务器就不能够做的太假。
笔者在做蜜罐服务器的时候,80%以上的内容都是跟真的服务器相同的。
只有一些比较机密的信息没有防治在蜜罐服务器上。
而且蜜罐服务器所采取的安全措施跟真的服务器事完全相同的。
这不但可以提高蜜罐服务器的真实性,而且也可以用来评估真实服务器的安全性。
一举两得。
二是需要有意无意的将攻击者引向蜜罐服务器。
攻击者在判断一个Web服务器是否值得攻击时,会进行评估。
如评估这个网站的流量是否比较高。
如果网站的流量不高,那么即使被攻破了,也没有多大的实用价值。
攻击者如果没有有利可图的话,不会花这么大的精力在这个网站服务器上面。
如果要将攻击者引向这个蜜罐服务器的话,那么就需要提高这个蜜罐服务器的访问量。
其实要做到这一点也非常的容易。
现在有很多用来交互流量的团队。
只要花一点比较小的投资就可以做到这一点。
三是可以故意开一些后门让攻击者来钻。
作为Web服务器的管理者,不仅关心自己的服务器是否安全,还要知道自己的服务器有没有被人家盯上。
或者说,有没有被攻击的价值。
此时管理者就需要知道,自己的服务器一天被攻击了多少次。
如果攻击的频率比较高,管理者就高兴、又忧虑。
高兴的是自己的服务器价值还蛮大的,被这么多人惦记着。
忧虑的是自己的服务器成为了众人攻击的目标。
就应该抽取更多的力量来关注服务器的安全。
四、专人对Web服务器的安全性进行测试 俗话说,靠人不如靠自己。
在Web服务器的攻防战上,这一个原则也适用。
笔者建议,如果企业对于Web服务的安全比较高,如网站服务器上有电子商务交易平台,此时最好设置一个专业的团队。
他们充当攻击者的角色,对服务器进行安全性的测试。
这个专业团队主要执行如下几个任务。
一是测试Web管理团队对攻击行为的反应速度。
如可以采用一些现在比较流行的攻击手段,对自己的Web服务器发动攻击。
当然这个时间是随机的。
预先Web管理团队并不知道。
现在要评估的是,Web管理团队在多少时间之内能够发现这种攻击的行为。
这也是考验管理团队全天候跟踪的能力。
一般来说,这个时间越短越好。
应该将这个时间控制在可控的范围之内。
即使攻击最后没有成功,Web管理团队也应该及早的发现攻击的行为。
毕竟有没有发现、与最终有没有取得成功,是两个不同的概念。
二是要测试服务器的漏洞是否有补上。
毕竟大部分的攻击行为,都是针对服务器现有的漏洞所产生的。
现在这个专业团队要做的就是,这些已发现的漏洞是否都已经打上了安全补丁或者采取了对应的安全措施。
有时候我们都没有发现的漏洞是无能为力,但是对于这些已经存在的漏洞不能够放过。
否则的话,也太便宜那些攻击者了。
