web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現在很多人關注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料，供你參考。

創新互聯是一家集網站建設,遠安企業網站建設,遠安品牌網站建設,網站定制,遠安網站建設報價,網絡營銷,網絡優化,遠安網站推廣為一體的創新建站企業，幫助傳統企業提升企業形象加強企業競爭力。可充分滿足這一群體相比中小企業更為豐富、高端、多元的互聯網需求。同時我們時刻保持專業、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們為更多的企業打造出實用型網站。

web服務器安全設置一、IIS的相關設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給客戶。

對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統信息，防止telnet到80端口所泄露的系統版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權限：

web服務器安全設置二、ASP的安全設置

設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行權限，不需要的不給權限。重新啟動服務器即可生效。

對于這樣的設置結合上面的權限設置，你會發現海陽木馬已經在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去。可以為mysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執行權限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。

web服務器安全設置五、數據庫服務器的安全設置

對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

如何保證web瀏覽器的安全，腳本安全，web服務器安全，web傳輸的安全

web瀏覽器的安全：

首先，將瀏覽器的安全防護等級調的高點，如ie將安全級別調為最高。

其次，及時更新瀏覽器，保持最新版，可以有效修復瀏覽器存在的漏洞；

腳本安全：

首先，不輕易點擊來路不明的鏈接、文件。

其次，服務器設定嚴格的腳本執行權限；

web服務器安全：

首先，做好服務器的安全策略、服務優化，如關閉不必要的服務。

其次，安裝服務器防護軟件，如服務器安全狗；

web傳輸安全：

首先，傳輸網絡必須是可靠的網絡；。

其次，傳輸內容最好進行加密后再進行傳輸。

請采納，謝謝

如何保障Web服務器安全

不但企業的門戶網站被篡改、資料被竊取，而且還成為了病毒與木馬的傳播者。有些Web管理員采取了一些措施，雖然可以保證門戶網站的主頁不被篡改，但是卻很難避免自己的網站被當作肉雞，來傳播病毒、惡意插件、木馬等等。筆者認為，這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防御。為了徹底提高Web服務器的安全，筆者認為，Web安全要主動出擊。具體的來說，需要做到如下幾點。 一、在代碼編寫時就要進行漏洞測試 現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的，是通過代碼堆積起來的。如果這個代碼只供企業內部使用，那么不會帶來多大的安全隱患。但是如果放在互聯網上使用的話，則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊，來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控件。用戶在安裝這些控件時，其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時，就要主動出擊。從編碼的設計到編寫、到測試，都需要認識到是否存在著安全的漏洞。筆者在日常過程中，在這方面對于員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關，就可以提高代碼編寫的安全性。 二、對Web服務器進行持續的監控 冰凍三尺、非一日之寒。這就好像人生病一樣，都有一個過程。病毒、木馬等等在攻擊Web服務器時，也需要一個過程。或者說，在攻擊取得成功之前，他們會有一些試探性的動作。如對于一個采取了一定安全措施的Web服務器，從攻擊開始到取得成果，至少要有半天的時間。如果Web管理員對服務器進行了全天候的監控。在發現有異常行為時，及早的采取措施，將病毒與木馬阻擋在門戶之外。這種主動出擊的方式，就可以大大的提高Web服務器的安全性。 筆者現在維護的Web服務器有好幾十個。現在專門有一個小組，來全天候的監控服務器的訪問。平均每分鐘都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為，由于服務器已經采取了對應的安全措施，都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞，或者采取了新的攻擊方式。在服務器上原先沒有采取對應的安全措施。如果沒有及時的發現這種行為，那么他們就很有可能最終實現他們的非法目的。相反，現在及早的發現了他們的攻擊手段，那么我們就可以在他們采取進一步行動之前，就在服務器上關掉這扇門，補上這個漏洞。 筆者在這里也建議，企業用戶在選擇互聯網Web服務器提供商的時候，除了考慮性能等因素之外，還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊，及時發現攻擊者的攻擊行為。在他們采取進一步攻擊措施之前，就他們消除在萌芽狀態。 三、設置蜜罐，將攻擊者引向錯誤的方向 在軍隊中，有時候會給軍人一些偽裝，讓敵人分不清真偽。其實在跟病毒、木馬打交道時，本身就是一場無硝煙的戰爭。為此對于Web服務器采取一些偽裝，也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時，管理員已經鎖定了攻擊者，從而可以及早的采取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說，就是設置兩個服務器。其中一個是真正的服務器，另外一個是蜜罐。現在需要做的是，如何將真正的服務器偽裝起來，而將蜜罐推向公眾。讓攻擊者認為蜜罐服務器才是真正的服務器。要做到這一點的話，可能需要從如下幾個方面出發。 一是有真有假，難以區分。如果要瞞過攻擊者的眼睛，那么蜜罐服務器就不能夠做的太假。筆者在做蜜罐服務器的時候，80%以上的內容都是跟真的服務器相同的。只有一些比較機密的信息沒有防治在蜜罐服務器上。而且蜜罐服務器所采取的安全措施跟真的服務器事完全相同的。這不但可以提高蜜罐服務器的真實性，而且也可以用來評估真實服務器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐服務器。攻擊者在判斷一個Web服務器是否值得攻擊時，會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高，那么即使被攻破了，也沒有多大的實用價值。攻擊者如果沒有有利可圖的話，不會花這么大的精力在這個網站服務器上面。如果要將攻擊者引向這個蜜罐服務器的話，那么就需要提高這個蜜罐服務器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些后門讓攻擊者來鉆。作為Web服務器的管理者，不僅關心自己的服務器是否安全，還要知道自己的服務器有沒有被人家盯上。或者說，有沒有被攻擊的價值。此時管理者就需要知道，自己的服務器一天被攻擊了多少次。如果攻擊的頻率比較高，管理者就高興、又憂慮。高興的是自己的服務器價值還蠻大的，被這么多人惦記著。憂慮的是自己的服務器成為了眾人攻擊的目標。就應該抽取更多的力量來關注服務器的安全。 四、專人對Web服務器的安全性進行測試 俗話說，靠人不如靠自己。在Web服務器的攻防戰上，這一個原則也適用。筆者建議，如果企業對于Web服務的安全比較高，如網站服務器上有電子商務交易平臺，此時最好設置一個專業的團隊。他們充當攻擊者的角色，對服務器進行安全性的測試。這個專業團隊主要執行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以采用一些現在比較流行的攻擊手段，對自己的Web服務器發動攻擊。當然這個時間是隨機的。預先Web管理團隊并不知道。現在要評估的是，Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說，這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最后沒有成功，Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功，是兩個不同的概念。 二是要測試服務器的漏洞是否有補上。畢竟大部分的攻擊行為，都是針對服務器現有的漏洞所產生的。現在這個專業團隊要做的就是，這些已發現的漏洞是否都已經打上了安全補丁或者采取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力，但是對于這些已經存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

什么是 Web安全？Web應用漏洞的防御實現

什么是 Web安全？

Web安全是計算機術語。隨著Web2.0、社交網絡等一系列新型的互聯網產品誕生問世，基于Web環境的互聯網應用越來越廣泛，企業信息化的過程中各種應用都架設在Web平臺上，Web業務的迅速發展也引起黑客們的窺探，接踵而至的就是Web安全威脅的凸顯。

黑客利用網站操作系統的漏洞和Web服務程序的SQL注入漏洞等得到Web服務器的控制權限，輕則篡改網頁內容，重則竊取重要內部數據，更為嚴重的則是在網頁中植入惡意代碼，使得網站訪問者受到侵害。

Web安全的現狀及原因

目前，很多業務都依賴于互聯網，無論是網上銀行、網上購物、還是網絡 游戲 等，惡意攻擊者們出于各種不良目的，對Web 服務器進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息謀取利益。正是如此，Web業務平臺最容易遭受攻擊。

而針對Web服務器的攻擊也是五花八門，常見的有掛馬、SQL注入、緩沖區溢出、嗅探、利用IIS等針對Webserver漏洞進行攻擊。

一方面，由于TCP/IP的設計是沒有考慮安全問題的，網絡上傳輸的數據是沒有任何安全防護。攻擊者們可利用系統漏洞造成系統進程緩沖區溢出，攻擊者可能獲得或者提升自己在有漏洞的系統上的用戶權限來運行任意程序，甚至安裝和運行惡意代碼，竊取機密數據。

而應用層面的軟件在開發過程中也沒有過多考慮到安全的問題，這使得程序本身存在很多漏洞，諸如緩沖區溢出、SQL注入等等流行的應用層攻擊，這些都屬于在軟件研發過程中疏忽了對安全的考慮所致。

另一方面，個人用戶由于好奇心，被攻擊者利用木馬或病毒程序進行攻擊，攻擊者將木馬或病毒程序捆綁在一些誘人的圖片、音視頻或免費軟件等文件中，然后將這些文件置于某些網站當中，再引誘用戶去單擊或下載運行，或通過電子郵件附件和QQ、MSN等即時聊天軟件，將這些捆綁了木馬或病毒的文件發送給用戶，讓用戶打開或運行這些文件。

Web安全的三個細分

Web安全主要分為:1、保護服務器及其數據的安全。2、保護服務器和用戶之間傳遞的信息的安全。3、保護Web應用客戶端及其環境安全這三個方面。

Web應用防火墻

Web應用安全問題本質上源于軟件質量問題。但Web應用相較傳統的軟件，具有其獨特性。Web應用往往是某個機構所獨有的應用，對其存在的漏洞，已知的通用漏洞簽名缺乏有效性；

需要頻繁地變更以滿足業務目標，從而使得很難維持有序的開發周期；需要全面考慮客戶端與服務端的復雜交互場景，而往往很多開發者沒有很好地理解業務流程；人們通常認為Web開發比較簡單，缺乏經驗的開發者也可以勝任。

Web應用安全，理想情況下應該在軟件開發生命周期遵循安全編碼原則，并在各階段采取相應的安全措施。

然而，多數網站的實際情況是：大量早期開發的Web應用，由于 歷史 原因，都存在不同程度的安全問題。對于這些已上線、正提供生產的Web應用，由于其定制化特點決定了沒有通用補丁可用，而整改代碼因代價過大變得較難施行或者需要較長的整改周期。

這種現狀，專業的Web安全防護工具是一種合理的選擇。WEB應用防火墻（以下簡稱WAF）正是這類專業工具，提供了一種安全運維控制手段：基于對HTTP/HTTPS流量的雙向分析，為Web應用提供實時的防護。

Web應用漏洞的防御實現

對于常見的Web應用漏洞，應該從3個方面入手進行防御：

1、對 Web應用開發者而言

大部分Web應用常見漏洞都是在Web應用開發中，由于開發者沒有對用戶輸入的參數進行檢測或者檢測不嚴格造成的。所以，Web應用開發者應該樹立很強的安全意識，開發中編寫安全代碼；

對用戶提交的URL、查詢關鍵字、HTTP頭、POST數據等進行嚴格的檢測和限制，只接受一定長度范圍內、采用適當格式及編碼的字符，阻塞、過濾或者忽略其它的任何字符。通過編寫安全的Web應用代碼，可以消除絕大部分的Web應用安全問題。

2、對Web網站管理員而言

作為負責網站日常維護管理工作Web管理員，應該及時跟蹤并安裝最新的、支撐Web網站運行的各種軟件的安全補丁，確保攻擊者無法通過軟件漏洞對網站進行攻擊。

除了軟件本身的漏洞外，Web服務器、數據庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟件配置進行仔細檢測，降低安全問題的出現可能。

此外，Web管理員還應該定期審計Web服務器日志，檢測是否存在異常訪問，及早發現潛在的安全問題。

3、使用網絡防攻擊設備

前兩種都是預防方式，相對來說很理想化。在現實中，Web應用系統的漏洞仍舊不可避免：部分Web網站已經存在大量的安全漏洞，而Web開發者和網站管理員并沒有意識到或發現這些安全漏洞。

由于Web應用是采用HTTP協議，普通的防火墻設備無法對Web類攻擊進行防御，因此需要使用入侵防御設備來實現安全防護。

網站欄目：怎么保證web服務器安全 如何實現web服務器的安全性
鏈接URL：http://www.yijiale78.com/article2/ddocpic.html

成都網站建設公司_創新互聯，為您提供商城網站、小程序開發、用戶體驗、微信公眾號、靜態網站、

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯