WINDOWS架設WEB服務器的安全防護課件

單擊此處編輯母版標題樣式,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,服務器網絡安全交流,主要針對windows系統,2,、,黑客入侵路徑（知己知彼）,尋找網站漏洞,SQL注入,文件上傳,尋找后臺,社會工程,沒漏洞,同服務器的網站,上傳木馬,擴展存儲過程,寫入木馬,備份數據庫,WEBSHELL,備份出木馬,用戶提權,控制服務器,打包網站,下載文件,搞破壞,留后門,3,、,防范入侵的安全措施,黑客,WEB應用程序,WEB服務,數據庫服務,操作系統,每個環(huán)節(jié)都要防范,危害性增加,其它服務,4,、,WEB應用程序安全SQL注入,URL注入、輸入框注入,1、程序中過慮危險字符,2、IIS使用REWRITE規(guī)則過慮,3、SQL語句不采用拼接的方式,Cookies注入,1、防止Cookies被修改,可逆加密 MD5校驗,WEB程序中最常見的漏洞，程序員一不小心，網站就被黑了,5,、WEB應用程序安全漏洞與防范,上傳漏洞、文件管理、備份導致的漏洞防范,對上傳程序要把關,權限審查要嚴格,文件夾權限要設好,跨站漏洞防范,構造JS腳本,過慮要嚴格,6,、WEB應用程序安全其它,Cookies篡改,可逆加密 MD5校驗,開源應用程序小心使用，及時打補丁,ewebeditor,動網論壇,織夢（DEDE）,漏洞一被發(fā)現，掛馬一大遍,7,.IIS的安全配置,IIS訪問用戶與網站文件夾權限,每個網站都是不同的GUEST用戶,ASP.NET網站，應用程序池用不同用戶,對用戶上傳文件夾執(zhí)行權限設為“無”,應用程序池下配置網站數量要適當,不要向客戶端發(fā)送錯誤信息（ASP）,ASP.NET禁用調試模式,8,、,數據庫安全,帳號管理,SA 帳號 只有一兩個人知道,開發(fā)人員帳號不得用于程序中,對個別重要的數據庫各表權限設定,禁止程序中用于連接的用戶建表、備份數據庫,數據庫連接,一個數據庫一個帳戶,連接串不出現在應用程序中，網站多的話集中配置,9,、數據庫安全,刪除不必要擴展存儲過程,防止注入漏洞被利用:xp_cmdshell sp_makewebtask,SA用戶sysadmin用戶組可以恢復,實例端口不使用默認的端口1433,數據庫備份,每天自動備份 保留半個月 異地備份每周一次,10,、,操作系統安全,自帶防火墻 端口按需開啟,殺毒軟件 ARP防火墻,IP篩選 端口按需開啟,及時打補丁,遠程控制端口一定要改,危險DLL注銷或徹底刪除掉,禁用不必要的服務：,workstation之類,文件夾權限配置,安全策略 登陸次數 記錄登陸事件,11,、了解黑客技術與工具,SQL注入掃描器 HDSI,SQL注入工具 啊D,木馬上傳工具,各種語言寫的WEBSHELL,12,、服務器瓶頸,內存 內存消耗物理內存,緩存適當使用,個別差性能的程序影響,磁盤I/O,Avg.disk Queue Length=磁盤數*2,應用程序減少頻繁的文件讀寫,數據庫查詢優(yōu)化（20/80）,數據庫服務與WEB服務分開,多個磁盤、RAID，提高I/O負載能力,13,、服務器瓶頸,CPU 很少出現,帶寬,GZIP壓縮（節(jié)約70%帶寬）,降低圖片質量（節(jié)約30%帶寬）,防盜鏈,CDN分流（DNS輪詢+squid）,性能監(jiān)視,任務管理器、性能監(jiān)視器、SQL事件探查器,14,、服務器數據備份,IIS配置 定期加密備份到其它分區(qū),文件備份 使用WINDOWS備份工具自動 備份,數據庫備份 維護計劃自動備份保留一周,系統備份 GHOST,異地備份 每隔一段時間備份一次,備份記錄,15,、,保證服務的穩(wěn)定性、高可用性,服務器架構探討,1、服務器群集,2、服務器虛擬化，虛擬機群集,服務器監(jiān)控 提醒與自動化處理,1、監(jiān)控IIS,2、監(jiān)控網絡連接,3、監(jiān)控磁盤,4、監(jiān)控指定的服務,謝 謝！,邱家海 QQ：103201965,網絡資源,WINDOWS2019安全設置：,anqn/os/windows2019/2019-12-11/a0976051.shtml,刪除危險存儲過程：,jiahuafu163.163/static/32061113201971381630422/,IIS應用程序池權限配置：,tieba./f?kz=159096378,自動備份IIS：,asp.org/server/2019924/server1235.html,IIS安全配置：,asp.org/server/201941/server344.html,IIS用戶權限配置：asp.org/server/2019331/server332.html,SQUID FOR WINDOWS安裝：,.csdn/lixianlin/archive/2019/03/16/1531777.aspx,ASP.NET網站IIS權限配置：,hi./jiahai/item/fc57b1fbb2c7c9284e4aeaed.html,IIS啟用GZIP：,hi./jiahai/item/40fc362a55bd3b305243c1f2.html,修改IIS端口，SQUID與IIS同一機器時要改：,hi./jiahai/item/3c66d2c820ca58117f3e6f9b.html,REWRITE防URL注入：hi./jiahai/item/29a61ad8fcce7a3832fa1cce.html,。