滁州高端响应式网站设计

响应式网页设计、开放源代码、永久使用、不限域名、不限使用次数

建站案例

网站安全的防御策略

在了解了网站维护基础知识后,下面介绍网站安全防御策略。

一、检测上传文件的安全性

服务器提供了多种服务项目,其中上传文件是其提供的最基本的服务项目。它可以让空间的使用者自由上传文件,但是在上传文件的过中,很多用户可能会上传了一些对服务器造成致命打击的文件,如最常见的ASP木马文件。所以网络管理员必须利用入侵检测技术来检测网页马是否存在,以防止随时随地都有可能发生的安全隐患,“思易ASP木马追捕”就是一个很好的检测工具,通过该工具可以检测到网站中是否存在ASP木马文件。下面介绍使用“思易ASP木马追捕”来检测上传文件是否为木马的过程,其具体的操作步骤如下。

1、下载“思易ASP木马追捕2.0”源文件,并将asplist2.0.asp文件存放在IS默认目录【H:Inetpub\wwwroot】,然后在【管理工具】窗口中双击【Internet信息服务】按钮,打开【Internet信息服务】窗口。右击,在弹出的快捷菜单中选择【浏览】选项,如下图所示。

2、在打开的窗口中可以看到添加到【H:Inetpub/wwwroot】目录下的asplist2.0.asp文件,在I正浏览器中打开该网页,在【检查文件类型】后面的文本框中输入思易ASP木马追捕可以检查的文件类型,主要包括:ASP、JPG、ZIP在内的多种文件类型,默认是检查所有类型。在【增加搜索自定义关键字】文本框中输入确定ASP木马文件所包含的特征字符,以增加木马检查的可靠性,关键字用“、”隔开,如下图所示。

3、在【所在目录】中列出了当前浏览器的目录,上面显示的是该目录包含的子目录,下面显示的是该目录的文件。此时单击目录列表中的目录可以检查相应的目录,而单击【回到上级目录】链接按钮即可返回到当前目录的上一级目录,如下图所示。

4、在设置好【检查文件类型】和【增加搜索自定义关键字】属性后,单击【确定】按钮,根据设置进行网页木马的探测,如下图所示。

5、在“思易ASP木马追捕”工具中可以查看目录下的每一份文件,正常的网页文件一般不会支持删除、新建、移动文件的操作。如果检测出来的文件支持删除、新建操作或同时支持多种组件的调用,则可以确定该文件为木马病毒,直接删除即可。

其中各个参数的含义如下。

(1)FSO:FSO组件具有远程删除、新建修改文件或文件夹的功能;

(2)删:可以在线删除文件或文件夹;

(3)建:可以在线新建文件或文件夹;

(4)移:可以在线移动文件或文件夹;

(5)流:是否调用Adodb.stream;

(6)Shell:是否调用Shell,Shell是微软对一些常用外壳操作函数的封装;

(7)WS:是否调用WSCIPT组件;

(8)XML:是否调用XMLHTTP组件;

(9)密:网页源文件是否加密。

二、设置网站访问权限

限制用户的网站访问权限往往可以有效堵住入侵者的上传。可在ⅡS服务管理器中进行用户访问权限设置,还可设置网站目录下的文件访问控制权限,赋予ⅡS网站访问用户相应的权限,才能正常浏览网站网页文档或访问数据库文件。对于扩展名为.asp、.html、.PHP等网页文档文件,设置网站访问用户对这些文件可读即可。设置网站访问权限的具体操作步骤如下。

1、在资源管理器中右击D:\inetpub中的www.***.com目录,在快捷菜单中选择【属性】菜单项,在打开的对话框中切换到【安全】选项卡,如下左图所示。

2、在【组和用户名】列表中选择任意一个用户名,然后单击【编辑】按钮,打开【iisstart.htm权限】对话框,如下右图所示。

3、单击【添加】按钮,打开【选择用户或组】对话框,在其中输入用户Everyone,如下左图所示。

4、单击【确定】按钮,返回文件夹属性对话框中可看到已将Everyone用户添加到列表中。在权限列表中选择【读取和执行】、【写入】、【读取】权限后,单击【确定】按钮,即可完成设置,如下右图8所示。

另外,在网页文件夹中还有数据库文件的权限设置需要进行特别设置。因为用户在提交表单或注册等操作时,会修改到数据库的数据,所以除给用户读取的权限外,还需要写入和修改权限,否则也会出现用户无法正常访问网站的问题。

设置网页数据库文件的权限的操作方法如下:右击文件夹中的数据库文件,在快捷菜单中选择【属性】菜单项,在打开的属性对话框中切换到【安全】选项卡。在【组或用户名称】列表中选择Eveyone用户,在权限列表中再选择【修改】、【写入】权限。

三、注意事项:

网站做好后,需要对网站进行相应的维护,主要是对网站硬件和软件的维护。

1:网站硬件的维护

硬件中最主要的就是服务器,一般要求使用专用的服务器,不要使用PC代替。因为专用的服务器中有多个CPU,并且硬盘的各方面的配置也比较优秀;如果其中一个CPU或硬盘坏了,别的CPU和硬盘还可以继续工作,不会影响网站的正常运行。

网站机房通常要注意室内的温度、湿度及通风性,这些将影响服务器的散热和性能的正常发挥。如果有条件,最好使用两台或两台以上的服务器,所有的配置最好都是一样的,因为服务器经过一段时间要进行停机检修,在检修时可以运行别的服务器工作,这样不会影响网站的正常运行。

2:网站软件的维护

软件管理也是确保一个网站能够良好运行的必要条件,通常包括服务器的操作系统配置、网站的定期更新、数据的备份及网络安全的防护等。

(1)服务器的操作系统配置

一个网站要能正常运行,硬件环境是一个先决条件。但是服务器操作系统的配置是否可行和设置的优良性如何,则是一个网站能否良好长期运行的保证。除了要定期对这些操作系统进行维护外,还要定期对操作系统进行更新,使用最先进的操作系统。一般来说,操作系统中软件安装的原则是少而精,就是在服务器中安装的软件应尽可能地少,只要够用即可,这样可防止各个软件之间相互冲突。因为有些软件还是不健全的、有漏洞的,还

需要进一步完善,所以安装得越多,潜在的问题和漏洞也就越多。

(2)网站的定期更新

网站的创建并不是一成不变的,还要对网站进行定期更新。除更新网站的信息外,还要更新或调整网站的功能和服务。对网站中的废旧文件要随时清除,以提高网站的精良性,从而提高网站的运行速度。不要以为网站上传、运行后便万事大吉,与自己无关了,其实还要多光顾自己的网站,可以作为一个旁观者来客观地看待自己的网站,评价自己的网站与别的优秀网站相比还有哪些不足,有时自己分析自己的网站往往比别人更能发现问题,然后再进一步完善自己网站中的功能和服务。还要时时关注互联网的发展趋势,随时调整自己的网站,使其顺应潮流,以便给别人提供更便捷和贴切的服务。

(3)数据的备份

所谓数据的备份,就是对自己网站中的数据进行定期备份,这样既可以防止服务器出现突发错误丢失数据,又可以防止自己的网站被别人“黑”掉。如果有了定期的网站数据备份,那么即使自己的网站被别人“黑”掉了,也不会影响网站的正常运行。

(4)网络安全的防护

所谓网络的安全防护,就是防止自己的网站被别人非法侵入和破坏。除了要对服务器进行安全设置外,首要的一点是要注意及时下载和安装软件的补丁程序。另外,还要在服务器中安装、设置防火墙。防火墙虽然是确保安全的一个有效措施,但不是唯一的,也不能确保绝对安全,为此,还应该使用其他的安全措施。另外还要时刻注意病毒的问题,要时刻对自己的服务器进行查毒、杀毒等操作,以确保系统的安全运行。

随着网络的飞速发展,网络上的不安全因素也越来越多,所以有必要保护网络的安全。在操作计算机的同时,要采用一定的安全策略和防护方法,如提高网络的安全意识,要养成不随意透露密码、尽量不用生日或电话号码等容易被破解的信息作为密码,经常更换密码,禁用不必要的服务。在操作计算机时,显示器上常常会出现一些不需要的信息,应根据实际情况禁用一些不必要的服务,安装一些对计算机能起到保护作用的程序等。



相关文章