浅谈Web服务器的安全架构

张双喜

摘要：随着Internet技术的不断进步,信息资源瞬间可以通过在全球共享,WWW 是 Internet 的多媒体信息查询工具，是 Internet 上近年才发展起来的服务，也是发展最快和目前用的最广泛的服务。因此建立一个安全的Web服务器的是十分必要的。要创建一个安全可靠的Web服务器，必须要实现Windows 操作系统和IIS的双重安全。

关键词：Web服务器 操作系统 IIS 安全

一、WWW的概述及其特点

World Wide Web（也称Web、WWW或万维网）是Internet上集文本、声音、动画、视频等多种媒体信息于一身的信息服务系统，整个系统由Web服务器、浏览器（Browser）及通信协议等3部分组成。WWW采用的通信协议是超文本传输协议（HTTP，HyperText Transfer Protocol），它可以传输任意类型的数据对象，是Internet发布多媒体信息的主要协议。

WWW 采用的是客户/服务器结构，其作用是整理和储存各种WWW资源，并响应客户端软件的请求，把客户所需的资源传送到 Windows 95（或Windows98）、Windows NT 等平台上。

二、Web服务器的功能

（一）、信息的发布及浏览

信息发布是最基本的应用，行政机关、企事业单位甚至个人，都可以借助Web服务发布或浏览各种各样的信息，例如时事新闻、法律法规、科普知识、技术文档、产品图文等。这些能使用户及时地了解到各种各样的信息。

（二）、其他网络服务的平台

在信息发布的基础上可以扩展出电子商务、资料查询、网络图书馆，办公自动化、web电子邮件等，只是这些应用的交互性更强，还要受到网络数据库的支持。

三、构造一个安全的Windows 2000 操作系统

在创建一个安全可靠的Web服务器，必须要实现Windows 2000操作系统和IIS的双重安全，因此IIS的用户可以对Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全就是确保Windows 2000操作系统的安全。实际上，Web服务器安全的根本就是用来保护操作系统的安全。

（一）、使用NTFS文件系统

在Windows 2000系统中最好使用NTFS文件系统，否则NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。而在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

（二）、如何关闭默认共享

在Windows 2000中，有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享，然后对访问需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭 “默认共享”文件，以却保系统的安全。

（三）、共享权限的修改

在系统默认情况下，每建立一个新的共享，Everyone用户就享有“完全控制”的共享权限，因此，在建立新的共享后应该立即修改Everyone的损坏的权限，不能让Web服务器访问到不必要的权限，给服务器带来不必要的攻击和危险。

（四）、为系统管理员帐号改名

对于一般用户，我们可以在“本地安全策略”中的“帐户锁定策略”中限制猜测口令的次数，但对系统管理员账号(Administrator)却无法限制，这就可能给非法用户带来攻击，给管理员账号口令带来一定的机会，所以我们需要将管理员账号更名。具体设置方法如下:

右击“我的电脑”选择 “管理”，启动“计算机管理”，在“本地用户和组”中，右击“管理员账号(Administrator)”,选择“重命名”如图1-1，将管理员帐号修改为一个很普通的用户名即可。

（五）、禁用TCP/IP 上的NetBIOS

（六）、TCP/IP上对进站连接进行控制

1、利用TCP/IP筛选

2、如何利用IP安全策略

IP安全策略过滤器即IP安全机制,是抵御内部、专用网络及外部安全攻击的关键防线。IPSec 使用加密的安全服务来也提供数据完整性、数据身份验证、数据机密性和 TCP/IP 通讯重放等多种级别的保护。

案例分析：在网络上传输数据的时候，通过创建IP安全策略，利用点到点的安全模型，能够安全有效地把源计算机的数据传输到目标计算机。那么，我们如何来创建IP安全策略呢？

方法如下：运行Gpedit.msc，打开“组策略”对话窗口，如图1-4。依次展开“计算机配置” “Windows 设置” “安全设置” “IP 安全策略，在其右侧窗口中就是系统内置的三条安全策略：安全服务器(要求安全设置)、客户端(只响应)、服务器(请求安全设置)如图1-3。利用IP安全策略只允许访问80端口，就可以保障Web服务的绝对安全。

在其右侧窗口中右击，在弹出的快捷菜单中选择“创建IP安全策略”，打开“IP安全策略向导”对话框，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，不选“激活默认响应规则”复选项，单击“下一步”，点击“完成”就完成IP安全策略的创建工作。

四、IIS 与Web的关系

IIS（Internet Information Server）作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。

1、IIS的安全配置

2、IIS与Web的关系

在Web服务器中IIS是最终用户提供的Web发布的，在Web服务管理中IIS是核心组件，这些组件处理了配置和管理Web应用程序，而在Web中IIS也能配置和管理网上的一引起信息、传输文件和用户通讯等服务信息。

五、总结

我们在通过 Web 浏览器访问信息资源的过程中，无需再关心一些技术性的细节，而且界面非常好看，因而 Web 在Internet 上一推出就受到了热烈的欢迎，并迅速得到了技术性的发展。但事物的发展是相对的，随着现代信息技术的不断发展，同时也经常被发现有新的安全漏洞，因此对其安全的研究我们还需要不断的深入了解,能够做到及时发现问题并将其解决。