校园网WEB服务器的安全防护体系构建
0前言
校园网WEB服务器一般是提供给校内外访问，用于信息发布、文化交流和资源共享的服务器。

随着高等教育信息化建设的推进和校园网应用功能的逐步完善，WEB服务的重要性也愈发突显，如何保证校园网WEB服务器的安全已是目前网络管理工作的重点。

由于在Internet上的任何接入点都可对校园网WEB 服务器进行访问，因此其容易成为网络攻击的目标和重点，WEB服务器经常会遭受各种网络攻击，诸如木马病毒入侵、漏洞扫描、DOS攻击、DDOS攻击、网页篡改等，所以必须进行全面的安全配置和管理，才能保证其承载的服务能稳定安全运行。

本文结合作者在高校网络管理的经验，对校园网WEB服务器安全体系构建进行探讨。

1目前WEB服务器所面临的安全威胁
1.1拒绝服务(DOS)
DOS攻击是指单一的DOS攻击，它是通过一台客户端主机向服务器提出握手请求，这种攻击会使服务器的硬件性能下降，如CPU负荷加大、可用内存减少和带宽阻塞。

随着网络技术的不断发展，DOS的攻击难度加大，所产生的攻击效果有限。

1.2分布式拒绝服务(DDOS)
分布式拒绝服务(DDOS)攻击是DOS的升级版，攻击的目标和DOS一样，但它的规模更大，攻击性更强。

在DDOS攻击中，攻击者不是通过一个主机攻
击服务器，而是在黑客控制下使用多个主机攻击服务器，有时这种发出攻击的主机甚至多达十几万个以上。

服务器系统遭受到DDOS攻击后，容易造成访问站点的网络瘫痪，严重干扰正常的WEB服务。

1.3SQL注入式攻击
SQL注入式攻击是通过正常的WEB方式访问的，它和一般的网页访问没有区别，一般的防火墙无法测出SQL注入攻击，它利用数据库本身的漏洞或者网页编写源代码的漏洞进行攻击，获取网站数据库的信息和数据库管理员的权限，进而再取得服务器系统管理员的权限，使服务器成为其操控的对象[1]。

1.4嵌入式网站攻击
嵌入式攻击就是将一段病毒代码以Iframe的形式嵌入到正常的网页中，当浏览者访问该网页时，网页会自动跳转到病毒代码所指向的病毒网页，一旦链接病毒网站，客户端的主机将遭到病毒网站所附带的病毒入侵致使系统瘫痪。

近年来此类攻击在校园网络屡见不鲜，严重影响校内网络资源的正常使用。

2如何应对WEB服务器的安全问题
2.1服务器自身安全
WEB服务器的安全是一个综合性的问题，首先需要解决的是服务器自身安全，通过对windows Server 2003进行合理的安全设置可大幅降低服务器所面临的风险[2]。

2.1.1禁用不必要的服务
Windows Server 2003默认会开启一些不必要的服务，我们应当禁用这些服务以保证服务器的安全。

一般我们需要禁用以下服务：NetMeeting、RemoteRegistry、
RoutingandRemoteAccess、Telnet等。

2.1.2及时安装Windows系统漏洞补丁和杀毒软件
为了提高系统安全性，系统安装后，我们应当立即安装系统漏洞补丁，并且开启自动更新服务，让系统随时保持安全的状态。

另外系统安装之后，需要立即安装一套正版杀毒软件，用于查杀病毒和防御病毒入侵，杀毒软件也需要保持病毒库的更新。

2.1.3屏蔽不需要的危险端口
Windows Server 2003安装后，默认会开启一些不经常使用却危险的端口，启用TCP/IP筛选，添加所需的端口，如80，21等，关闭其他所有未使用的端口。

如果需要远程管理服务器，为安全起见，需要把默认的远程管理端口3389在注册表中修改成其他的端口。

2.1.4系统用户设置
1．禁用Guest账号。

在计算机管理的用户里面把Guest账号禁用，为了保险起见，最好给Guest加一个复杂的密码；2、限制不必要的用户。

去掉所有的DuplicateUser用户、测试用户、共享用户等。

用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

这些用户很多时候都是黑客们入侵系统的突破口；3、把系统Administrator账号改名。

Windows2003的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。

尽量把它伪装成普通用户；4、创建一个陷阱用户。

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，并且加上一个超过10位的超级复杂密码。

这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图；5、开启用户策略。

使用用户策略，分别设置复位用户
锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

2.2IIS安全设置
目前在WindowsServer2003中一般采用IIS6.0作为WEB发布组件。

所以对IIS的配置也非常重要。

对IIS的安全配置如下：
2.2.1为IIS中的文件分类设置权限。

一般而言，对一个文件夹不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。

另外目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览一遍，找到漏洞后进行攻击。

2.2.2保护日志安全。

IIS的日志默认保存在一个众所周知的位置（%W inDir%\System32\LogFiles），这对WEB日志的安全很不利，所以我们需要修改其存放路径，将其放在隐蔽的地方。

还有，日志是为管理员了解系统安全状况而设计的，其他用户没有必要访问，应将日志保存在NTFS分区上，设置为只有管理员才能访问。

2.2.3删除不必要的应用程序映射建议
在IIS管理器中删除必须之外的任何没有用到的映射，删除如cer、asa等不必要的映射。

2.2.4虚拟主机设立独立用户
高校的二级部门网站站点数量很多，但是由于网站没有统一制作，有的甚至直接从网上找公用的模板改版，因此各种漏洞很多。

可以通过为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

以此制定具有个性的安全设置和网页目录访问权限[3]。

在IIS管理器中为各个站点新建各自的应用程序池，然后将各个站点的应用程序分配到各自的应用程序池中，这样各个站点的应用程序就会被隔离到各自的应用程序池中独立运行，可以有效防止病毒的跨目录运行，提高了WEB服务器的可靠性和安全性。

2.3服务器外围安全
面对目前WEB服务器遇到的网络安全威胁，只对服务器系统提供保护是远远不够的，应从整个校园局域网络架构的安全角度去对WEB服务器系统进行全面的安全保护。

2.3.1防火墙
防火墙是隔离校园内网络与校外网络的一道防御闸门。

一般用于校园局域网与外部广域网之间，通过在防火墙的安全设置有效地限制外部网络用户以各种非法手段来访问校内WEB系统资源，来达到保护服务器的安全[4]。

根据防火墙的安全规则，防火墙对任何外部网络访问校园内部网络的行为进行管理，一般将有安全隐患的服务端口进行屏蔽，有限的开放需要使用的服务器端口。

2.3.2访问控制列表
目前二层或三层的智能交换机都带有访问控制列表（ACL）功能，由于校内的客户机系统可以不经过防火墙直接路由访问WEB服务器就会使有些好奇心学生会在网络上找一些破解服务器密码系统的软件尝试去获取服务器的管理权限，控制服务器已达到某种程度的满足感。

一般我们在WEB服务器接一台带有ACL功能智能交换机，在交换机内设置ACL访问控制列表。

根据ACL列表规则从第一条开始匹配，只有达到满足ACL认定的开放的端口才被获取访问，不能匹配数据包将视为被拒绝而被丢弃的，这样做一方面减少访问服务器的无
效数据包堵塞，有效了利用网络带宽资源，另一方面也大大的提高服务器的安全。

以上的安全设置能过防止大多数的网络攻击和非正常访问，但对于因代码漏洞通过正常访问所造成的网络威胁则无能为力除了基本的网络安全设备，还应根据WEB服务器的特殊性，部署WEB应用防火墙和网页防篡改。

2.3.3网页防窜改
网页防篡改系统可通过事件、系统内核消息等触发机制对WEB服务器上的网站进行安全防护，通过设置个性化的防篡改策略做针对性的安全防护。

如先设置全局策略，再将各个网站的可写目录或数据库文件一一添加进监控排除列表中，这样可快速部署防篡改应用，但需对服务器上的网页类型、可写目录、数据库文件等信息前期有了解。

也可对每一个网站进行独立的定义，可根据网站类型进行详细的个性化定制，能最大限度的保护网站安全，一般首先对一个网站所有的目录进行防护，然后在排除列表中添加上传目录等可写路径、数据库文件、计数器等文件。

部署完防篡改系统后，可对整个服务器进行一次内容同步，则可对一些挂马等针对网页的病毒起到有效的保护[5]。

2.3.4WEB应用防火墙
WEB应用防火墙是WEB安全专家团针对“网站型”服务器量身定制的产业化产品。

主要从网站系统可用性和信息可靠性的角度出发，满足用户对于WEB 应用防护及加速、网站业务分析等功能的核心需求。

提供事前预警、事中防护、事后分析的全周期安全防护解决方案。

3结束语
随着网络技术的普及、应用及WEB技术的不断完善，WEB服务已经成为互联网上重要的服务形式之一。

保护WEB服务器和驻留在其上的应用程序是一项艰巨的任务，但这项任务并非不可完成。

通过构建全方位的安全防护体系，提高WEB服务器安全等级，可在一定程度上阻止来自校内外的网络威胁。