8,327
社区成员
发帖
与我相关
我的任务
分享大家来讨论一下,来者有分
作为一台基于ASP+NT+SQL SERVER的企业WEB服务器,大家说说它的安全性与实施方案:
大家可从 操作系统
IIS
数据库
ASP
四方面来讨论
要求是一个系统方案!!!
大家可从 操作系统
IIS
数据库
ASP
四方面来讨论
要求是一个系统方案!!!
...全文
请发表友善的回复…
发表回复
vivisogood 2003-10-23
- 打赏
- 举报
危险和服务并存的!
用微软的东西首先关心的是他的补丁。要即时打补丁!
程序上的漏洞要靠自己把握了。
其实要安全性能高自己要有一定的经验和常识。有好的习惯。还要经常关心一下历史漏洞和新的漏洞!
用微软的东西首先关心的是他的补丁。要即时打补丁!
程序上的漏洞要靠自己把握了。
其实要安全性能高自己要有一定的经验和常识。有好的习惯。还要经常关心一下历史漏洞和新的漏洞!
minghui000 2003-10-22
- 打赏
- 举报
up
qdubit 2003-10-22
- 打赏
- 举报
1:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除(罪恶之源呀,忘了http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我们虽然已经把Inetpub从系统盘挪出来了,但是还是小心为上),如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
2:关闭系统端口
方法如下:
网上邻居--属性--本地连接--属性--属性--INTERNET协议--属性--高级--
选项--TCP/IP筛选--属性--在这里开放你想开放的端口--确定
一般只开80
3:系统打sp4补丁,以及最新补丁,iis补丁等
4:装软或者硬件防火墙
软件防火墙如费尔,诺顿(有些人评论访问速度不快),isa(消耗内存大,如果没有512m内存,建议不要装)
5:利用漏洞扫描软件,在客户端对服务器进行扫描
扫描软件如superscan ,x-scan, 20cn , 流光,sss等
6:进行模拟攻击(在客户端对服务器进行模拟攻击)
7:经常察看logfile,判断是否有可疑的浏览。
第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP, ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。什么?找不到在哪里删?在IIS管理器中右击主机->属性->WWW服务 编辑->主目录 配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手(武侠小说中常说全身漏洞反而无懈可击,难道说的就是这个境界?)不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。
2:关闭系统端口
方法如下:
网上邻居--属性--本地连接--属性--属性--INTERNET协议--属性--高级--
选项--TCP/IP筛选--属性--在这里开放你想开放的端口--确定
一般只开80
3:系统打sp4补丁,以及最新补丁,iis补丁等
4:装软或者硬件防火墙
软件防火墙如费尔,诺顿(有些人评论访问速度不快),isa(消耗内存大,如果没有512m内存,建议不要装)
5:利用漏洞扫描软件,在客户端对服务器进行扫描
扫描软件如superscan ,x-scan, 20cn , 流光,sss等
6:进行模拟攻击(在客户端对服务器进行模拟攻击)
7:经常察看logfile,判断是否有可疑的浏览。
nattyfish 2003-10-22
- 打赏
- 举报
安全性能较差!!!
因为成本低。。
因为成本低。。
yishao 2003-10-22
- 打赏
- 举报
http://expert.csdn.net/Expert/topic/2179/2179279.xml?temp=.724682
skyboy0720 2003-10-22
- 打赏
- 举报
你也说对了,成本低,对中小型企业来说,目前这种平台下的WEB服务器还是很多的
谁不想拥有一太安全稳定完善的服务器呢,(好的公司,都自己开发出属于自己的一些安全性防范方面的软件)我不是要求看看安全性多高的问题,而是
如果是这样(况且我也说了,现在有这样的中小型企业),提出一些安全方案
谁不想拥有一太安全稳定完善的服务器呢,(好的公司,都自己开发出属于自己的一些安全性防范方面的软件)我不是要求看看安全性多高的问题,而是
如果是这样(况且我也说了,现在有这样的中小型企业),提出一些安全方案
hover_online 2003-10-22
- 打赏
- 举报
安全性比较差,这么多病毒都是针对ms的不只是偶然,由于ms给你了太多的方便,所以安全性也就 自然查些。
不过他的优点就是操作简单。维护成本比较低。我觉得!
不过他的优点就是操作简单。维护成本比较低。我觉得!
