web伺服器怎麼安全

『壹』 如何打造一個安全的WEB伺服器

你這個問題難倒一大片人啊，哎涉及到網路通路，涉及到網路安全，涉及到web服務，涉及到資料庫知識，涉及到怎麼到工信部備案你的網站。。。。
一、先說架設web伺服器：
系統裝win2003，2008都可以。然後在控制面板里裝IIS組件。
還要裝一個FTP服務軟體，一般用serv-U軟體。

打開IIS管理器，建立站點，給每一個客戶建立一個站點，指向一個文件夾，然後打開serv-U軟體管理器，建立用戶，把該用戶的目錄鎖定在網站對應的目錄。

把FTP賬號和密碼給客戶就行了。

注意伺服器磁碟要用NTFS，設置好許可權，不要讓internet來賓賬號訪問其它盤的文件。

二、再說安全問題：
a. 打補丁

針對IIS存在的系統漏洞，應該定期下載安全補丁，及時發現和堵上漏洞。
b. 只開放WEB服務埠
如果不需要其它的服務，在安裝服務的時候選擇只安裝WEB服務，並使用80埠，禁用其他的不必要的服務，例如FTP和SMTP服務
c. WEB伺服器應該放在一個專門的區域中，利用防火牆保護WEB伺服器。
這個專門的區域使WEB伺服器與外網相對隔%C

d、系統設置
屏蔽不必要的埠。沒有特殊的需要,web伺服器只需要開個21和80以及3389就足夠了。關閉危險組件和服務項。
e、IIS相關設置
1、盡量取消不必要的程序擴展,僅保留asp,php,cgi,pl,aspx應用程序擴展就可以了。擴展越多意味著風險系數越大,能關閉就盡量關閉。
2、資料庫要推薦使用mdb後綴,可以在IIS中設置mdb的擴展映射,把映射利用一個毫不相關的dll文件如來禁止被下載。如C:WINNTsystem32inetsrvssinc.dll。
3、設置好IIS的日誌存放目錄,調整日誌的記錄信息。設置成發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,這樣可以防止一些掃描器的探測。
f、代碼安全
1、少用不明網站的第三方代碼,特別是一些不知名的個人或者小團隊的公開代碼。像DISCUZ這么強大的代碼都一直被爆出漏洞,更別說其他的代碼了,原因很簡單,就是因為這些代碼是開放的,可以直接在源代碼裡面找漏洞。
2、代碼放注入。只要有資料庫就會有注入,抵禦與繞過抵禦的方法有很多。總之這個是要靠程序員日積月累的代碼功底和安全意識的。
3、防止上傳漏洞。除了代碼的注入,文件的上傳也是個大安全漏洞。所以,可以減少上傳數量,提高嚴重強度,以及驗證的時候要固定後綴和類型。

好了，說了這么多了，希望對你有所幫助，祝你生活愉快！

『貳』 如何確保Web伺服器的安全

為何Web伺服器是組織的門面並且提供了進入網路的簡單方法。所有的Web伺服器都與安全事件相關，一些更甚。最近安全焦點列出了微軟IIS伺服器的116個安全問題，而開放源碼的Apache有80個。 策略許多Web伺服器默認裝有標准通用網關介面（CGI），例如ColdFusion，它可以用於處理惡意請求。既然它們很容易發現並且在root許可權下運行，駭客開發易受攻擊的CGI程序來摧毀網頁，盜取信用卡信息並且為將來的入侵設置後門。通用法則是，在操作系統中移除樣本程序，刪除bin目錄下的CGI原本解釋程序，移除不安全的CGI原本，編寫更好的CGI程序，決定你的Web伺服器是否真的需要CGI支持。 檢查Web伺服器，只允許需要分發的信息駐留在伺服器上。這個問題有時會被誤解。大多數伺服器在root下運行，所以駭客可以打開80埠，更改日誌文件。他們等待進入80埠的連接。接受這個連接，分配給子程序處理請求並回去監聽。子程序把有效的用戶標識改為「nobody」用戶並處理請求。當「伺服器以root運行」時，並未向所設想的用戶告警。這個警告是關於配置成以root運行子程序的伺服器（例如，在伺服器配置文件中指定root用戶）。以root許可進入的每一個CGI原本都可以訪問你的系統。 在「chroot」環境中運行Web伺服器。運行chroot系統命令可以增強Unix環境中Web伺服器的安全特性，因為此時看不到伺服器上文件目錄的任何部分——目錄上的所有內容都不能訪問。在chroot環境中運行伺服器，你必需創建一整個微型root文件系統，包括伺服器需要訪問的所有內容，還包括特定的設備文件和共享庫。你還要調整伺服器配置文件中的全部路徑名，使之與新的root目錄相關聯。 如果你的系統被用於攻擊其他系統，小心引起訴訟。如果不能擊退每一次攻擊，至少確保你用於追溯惡意事件的審核文件記錄信息的安全。

『叄』 web伺服器該怎麼進行安全設置

系統設置
1、屏蔽不必要的埠。沒有特殊的需要,web伺服器只需要開個21和80以及3389就足夠了。
2、及時更新補丁。而且要打全,否則很容易中木馬。
3、關閉危險組件和服務項。

IIS相關設置
1、盡量取消不必要的程序擴展,僅保留asp,php,cgi,pl,aspx應用程序擴展就可以了。擴展越多意味著風險系數越大,能關閉就盡量關閉。
2、資料庫要推薦使用mdb後綴,可以在IIS中設置mdb的擴展映射,把映射利用一個毫不相關的dll文件如來禁止被下載。如C:WINNTsystem32inetsrvssinc.dll。
3、設置好IIS的日誌存放目錄,調整日誌的記錄信息。設置成發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,這樣可以防止一些掃描器的探測。

代碼安全
1、少用不明網站的第三方代碼,特別是一些不知名的個人或者小團隊的公開代碼。像DISCUZ這么強大的代碼都一直被爆出漏洞,更別說其他的代碼了,原因很簡單,就是因為這些代碼是開放的,可以直接在源代碼裡面找漏洞。
2、代碼放注入。只要有資料庫就會有注入,抵禦與繞過抵禦的方法有很多。總之這個是要靠程序員日積月累的代碼功底和安全意識的。
3、防止上傳漏洞。除了代碼的注入,文件的上傳也是個大安全漏洞。所以,可以減少上傳數量,提高嚴重強度,以及驗證的時候要固定後綴和類型。