让您全面了解并上手亿速云产品
常见入门级使用教程
对外 API 开发文档中心
您历史提交的工单
您的每一条意见,我们都严谨处理
您的每一条建议,我们都认真对待
Web服务器,一般是指“网站服务器”,是指驻留于互联网上某种类型计算机的程序。Web服务器可以向Web浏览器等客户端提供文档,也可以存储网站文件,供全世界浏览,更可以放置数据文件,让全世界下载。
一台Web服务器上可以建立多个网站,各个网站的拥有者只需要把做好的网页和相关文件,放置在Web服务器的网站中,其它互联网用户就可以通过Web浏览器访问该网站中的网页了。
Web服务器的安全配置以IIS为例,绝对不要使用IIS默认安装的WEB目录,而需要在E盘新建一个目录,然后在IIS管理器中右击“主机->属性->WWW服务,编辑->主目录配置->应用程序映射”,只保留asp(动态服务器页面)和asa(asp的一个全局应用文件),其余全部删除。
一、 Web服务器操作系统的安装
操作系统的安装,以Windows 2000为例,更高版本的Windows也有类似的功能。格式化硬盘的时候,必须格式化为“NTFS”格式的,绝对不要使用“FAT32”格式。C盘默认为操作系统盘;D盘可以放常用软件;E盘网站,格式化完成后立刻设置磁盘权限;D盘的安全设置为“Administrator(系统管理员)”和“System(系统)”完全控制,将其他用户删除;E盘用于放置网站,如果只有一个网站,就设置“Administrator(系统管理员)”和“System(系统)”完全控制,“Everyone(每个人/所有人)”读取。如果网站上某段代码必须完成写操作,这时再单独对那个文件所在的文件夹权限进行更改。
系统安装过程中,一定要本着“最小服务原则”,无用的服务一概不选择,以此达到系统的最小安装。在安装IIS的过程中,只安装最基本、必要的功能,那些不必要的危险服务不要安装,例如:FrontPage 2000服务器扩展、Internet服务管理器(HTML)、FTP服务、文档、索引服务等等。
二、Web服务器的网络安全配置
确保网络安全,最基本的是端口设置,在“本地连接属性”,点“Internet协议(TCP/IP)”,点“高级”,再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的服务端口,配置界面如下图。
进行如下设置后,从你的服务器将不能使用域名解析进行上网,但是外部的访问是正常的。这个设置主要是为了防止一般规模的DDoS攻击。
三、安全模板设置
运行MMC,添加独立管理单元“安全配置与分析”,导入模板basicsv.inf或者securedc.inf,然后点“立刻配置计算机”,系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息,一步到位。不过这些配置可能会导致某些软件无法运行或者运行出错。
四、管理权限和特权
文件和网络服务影响web服务器的安全,比如说,一个Web服务器引擎,通过网络服务软件进行威胁,用户可以访问在其上的网络服务正在运行的帐户的权限。为了增加安全性,分配特权最少需要一个特定的网络服务来运行。此外,分配最小的权限,给Web应用程序文件和数据库所需的任何匿名用户。
五、删除不必要的模块和应用扩展
默认的Apache(阿帕奇)安装,启用了一些预先定义的模块,若不需要使用就关闭这些模块,以防止针对性攻击。微软(Microsoft)的Web服务器和互联网信息服务,也是类似的,它默认为服务于大量的应用程序类型,如:ASP,ASP.NET等,但你的应用程序扩展名列表中,只包括网站或网络应用列表。每个应用程序的扩展,仅限于使用特定的HTTP动词。
六、监控和审计Web服务器
最后一点,也是最重要的一点就是,网络服务日志是网站访问日志,对于“数据库服务器日志”和“操作系统日志”要经常监测。因为日志文件往往会提供所有关于企图攻击的信息,因此要做到及时发现和处理。最好把所有存储的日志文件,放在一个隔离区的Web服务器日志里面。
以上六条,其实只需要几分钟就可以设置完成。做好Web服务器的安全设置,可以预防服务器被恶意破坏,避免造成浪费大量时间去恢复数据,减少无谓的损失。
服务器的配置,是为了满足企业的实际需求而进行的活动,因此只有明确了解了企业需求,才能够更好地进行相对应的活动。希望小编为各位用户们整理的以上六条关于web服务器安全配置的内容,能够对大家有所帮助。
亿速云,作为一家为众多企业用户提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、高防IP、SSL证书”等专业产品与增值服务的专业IDC服务提供商、云计算服务提供商,一直高度关注和重视用户的网络安全、服务器使用安全等问题。
为了更加精准有效地防御DDoS攻击,并降低用户的防御成本,亿速云为用户提供专业抗DDoS攻击的高防服务器、高防裸金属服务器,具有“超大防护带宽、超强清洗能力、全业务场景支持” 的特点。采用“智能硬件防火墙 + 流量牵引技术”,并为用户配置相对应的高防IP,在用户面临DDoS攻击时,可精准识别出恶意流量,并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后,高防IP会将正常流量返回给源站IP,从而达到“防御DDoS攻击,保证用户网站正常稳定运行”的目的。