Web站点规划设计性能优化及安全性

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第8章,Web站点规划设计、性能优化及安全性,（学时数：,1,学时）,福州网站建设 wenku1,1,学习要点：,1.了解Web站点分类,2.熟悉Web站点建设的流程,3.了解Web站点规划与设计的一般性原则,4.掌握Web站点性能优化和提高其安全性的技术措施,2,Web站点规划设计、性能优化及安全性,Web站点建设过程中还必须考虑Web站点的访问性能和安全性问题。,本章主要介绍Web站点建设的总体规划过程，并在Web站点性能和安全性方面给出一些方法与原则，使读者对构建Web站点的整个过程有一个清晰和明确的了解。,3,第8章,Web站点规划设计、性能优化及安全性,8.1 Web站点的分类及运行目的,8.2 Web站点的目录结构和链接结构,8.3 Web站点的主题、名称和Logo标志,8.4 Web站点规划的内容,8.5 设计Web站点的一般性原则,8.6 建设Web站点的一般步骤,8.7 Web站点性能优化,8.8 Web站点的安全性,4,8.1 Web站点的分类及运行目的,8.1.1 Web站点分类,8.1.2 Web站点的运行目的,5,8.7 Web站点性能优化,8.7.1 优化Web服务器硬、软件配置,8.7.2 改善Web应用程序的性能,6,8.8 Web站点的安全性,8.8.1 在安装IIS6.0的服务器上应考虑的安全问题,8.8.2 在安装SQL SERVER的服务器上应考虑的安全问题,8.8.3 开发Web站点程序应考虑的安全性问题,7,8.1 Web站点的分类及运行目的,8.1.1 Web站点分类,1.,按,Web,站点的商业性质划分,Web,站点可以分为商业性,Web,站点和非商业性,Web,站点。商业性,Web,站点是以商品交易或提供服务等为目的的,Web,站点。例如，易趣网,(http:/,),就是一个商业性,Web,站点。,2.,按,Web,站点服务对象的区域划分,Web,站点可以划分为区域性,Web,站点和非区域性,Web,站点。区域性,Web,站点就是,Web,站点主题围绕特定地区服务的,Web,站点。,例如，重庆信息港,(http:/,/),就是一个以重庆地区为特定服务对象的区域性,Web,站点,。,8,3. 按Web站点的所有权划分,政府性,Web,站点,例如重庆市政府公众信息网,(,),。,学校,Web,站点,例如重庆大学网,(,),。,企事业,Web,站点,例如重庆长安网,(,),。,组织性,Web,站点,例如中国网,(,),。,个人,Web,站点等,。,9,4. 按组成网页的形式划分,文字型Web站点。主要是由文字构成的,例如新浪网()。,图片型Web站点。以图片为主,如“可口可乐中国” ()。,5. 按Web站点使用范围划分,大众型,Web,站点。面向所有互联网上的用户，例如,google,、搜狐、,QQ,等。,企业型,Web,站点。面向企业用户，企业的业务处理在互联网上都通过该站点来实现。,局部型,Web,站点。位于企业内部网,Intranet,上的,Web,站点。,10,8.1.2 Web站点的运行目的,1.,信息服务,例如学校、政府、企业形象宣传、企业商品信息的发布等都是免费的，而很多网站大都提供有偿信息服务。,2,教育和娱乐,例如网上学校、远程教学、网上培训等等。另外大量游戏、音乐、视频网站等用于公众娱乐。,3,办公和信息管理,站点建设的目的主要是为了提供办公自动化或者进行企业的信息化管理等。,4,电子商务,11,电子商务模式主要有:,B2B（Business to Business）,指的是商家(泛指企业)对商家的电子商务，即企业与企业之间通过互联网进行产品、服务及信息的交换。,B2C(Business to Customer),即商家对消费者,也就是通常说的商业零售，直接面向消费者销售产品和服务。B2C最具有代表性的B2C电子商务模式就是网上零售网站，例如中文网上书店当当网、美国的亚马逊网上商店等。,C2C（Customer to Customer）,即个体用户对个体用户，或者说是个体用户之间的电子商务，即个体用户与个体用户之间通过互联网进行产品、服务及信息的交换。例如eBay、易趣、淘宝、拍拍网等。,BforC（Business For Customer）,是指中小企业和个人消费者的任何零星采购都将享受到“团购”价格，使消费者喜欢的团购不再受时间、地点、型号的限制，真正实现“随时随地的团购”。,12,8.2 Web站点的目录结构和链接结构,（1）不要将网站内容全部放在一个目录中，按菜单栏目内容建立子目录。,（2）目录的层次不要太深，尽量用英文命名目录和文件名,8.2.1. Web站点的目录结构,13,Web站点的链接结构是指页面之间相互链接的拓扑结构，它建立在目录结构基础之上,而且可以跨越目录。,Web站点的链接结构有三种基本方式：,（1）树状链接结构。,（2）星状链接结构。,（3）混合结构。,8.2.2. Web站点的链接结构,14,8.3 Web站点的主题、名称和Logo标志,建设一个网站首先要确定网站所属类别下的主题。主题是Web站点的灵魂，一个好的Web站点首先需要好主题。,一旦确定站点主题,就应该围绕主题给Web站点起一个名字即Web站点名称。Web站点名称对Web站点的形象和宣传推广有很大影响。Web站点的名称选择一般来说应合法、合情、合理，而且不能用色情的、迷信的、反动的、危害社会安全的名词。名称能体现Web站点的内涵，给浏览者更多的新意和空间想象力。例如黑客基地、久听音乐和图书时空等。,站点标志作用类似于商标，它是Web站点特色和内涵的集中体现。最常用和最简单的方式是将自己Web站点的名称作为标志。采用不同的字体、字母的变形或组合可以很容易制作好自己的标志，如搜索引擎Google的标志，就很有动感特色。,15,8.4 Web站点规划的内容,Web站点规划是指在Web站点建设前对市场进行分析、确定Web站点的目的和功能，并根据需要对Web站点建设中的技术、内容、费用、测试、维护等方面做出规划。在建立Web站点前应明确建设Web站点的目的、确定Web站点的功能、确定Web站点规模、投入费用，并进行必要的市场分析等。只有详细地规划，才能避免在Web站点建设中出现问题，使Web站点建设能顺利进行。,16,8.4 Web站点规划的内容,1. 建设Web站点前的市场分析,2. 建设Web站点的目的及功能定位,3. Web站点技术解决方案,4. Web站点内容规划,5. 网页设计,6. Web站点测试,7. Web站点发布与推广,8. Web站点维护,9. Web站点建设日程表,10.费用明细,17,1. 以客户为中心进行Web站点设计,2.总体设计方案主题鲜明,3. 网页形式与内容统一,4. Web站点的结构,5.访问速度,6. 充分利用多媒体技术,7.Web站点信息的动态发布,8. 提供和用户相互沟通的渠道,8.5 设计Web站点的一般性原则,18,8.6 建设Web站点的一般步骤,1.Web站点准备阶段,进行可行性分析，规划出Web站点的大致结构。考虑采用哪一种操作系统、Web服务器、邮件服务器、数据库服务器。进行数据库的初步规划，考虑开发维持Web站点的费用问题。,2.域名注册,域名注册实际上就是申请Web站点的一个名称，以方便人们来访问Web站点。域名具有唯一性，已被企业誉为“企业的网上商标”。域名中.com表示工、商、金融企业；.edu表示教育机构；.gov表示政府部门；.net表示网络服务部门；.ac表示科研机构。国内域名中.cn表示中国，其他如.hk表示香港；.us表示美国等等。,19,国际域名是否已经被注册可通过 (国际互联网络信息中心interNIC)或者站点进行检查；国内域名是否已经被注册可通过(中国互联网络信息中心CNNIC)站点进行检查。注册国际域名由国际域名管理机构interNIC负责受理，手续非常简便，只需上网到相关Web站点，填写注册表后提交，30天内支付注册费后即可开通。国内域名注册的权威机构是CNNIC。,3.Web站点的需求分析和总体设计,需求分析是网站设计的重要环节。在需求分析的基础上进行总体设计和数据库设计。在此过程中确定站点建设所需要的软件和硬件配置、连接因特网的方式、运行和维护费用等。,20,4.确定Web站点的组织与风格,在上述工作基础上，确定Web站点的主页版面，色彩搭配等，勾画出整个Web站点系统的所有全貌，包括每个页面的版式布局、链接关系、注意事项等。Web站点的结构层次不能太深，应遵从“三次单击”原则，即Web站点的任何信息都应该在最多三次单击后找到。应该使得网页内容可以在Internet Explorer和Netscape两种主流浏览器中都能被正常显示。,Web站点的组织与风格是至关重要的。一个成功的网页应包含Web站点名称、Web站点徽标、网页标题、网页内容、指向主页的链接、指向其他网页的链接、版权陈述、Web站点的Email地址和其他联系方法等基本要素。一个网页的长度一般应控制在2页到3页的篇幅内。,在进行网页的版面设计时应注意页面的简洁性和高效性，让人们易于找到所关心的信息，不要让精美的动画和花哨的图片喧宾夺主。Web站点应确定一个主色调和一个统一的字体风格、图素风格等。页面布局采用框架结构还是采用表格方式应根据实际情况确定。抓住能传达主要信息的字眼作为超链接；通常采用层叠样式单（CSS）来保持页面的字体、字体颜色、背景、边框、文本属性等风格的一致。,21,5.Web站点开发和运行环境的确定,根据站点运行的实际情况确定Web站点的运行环境。在Windows下对于一般性Web站点比较理想的运行环境是Windows Server 2003 操作系统 + IIS 6.0 Web服务器 + Microsoft SQl Server 2000/2005数据库服务器。JAVA EE和.NET开发平台各领风骚，一般认为用Java平台开发的站点其安全性和运行效率要优于.NET平台开发的站点。但Java平台提倡开源，工具的多样性和复杂性造成对开发者的要求很高，增加了开发难度和系统的维护成本，而.NET则易于学习和使用，站点易于实现，系统维护成本低。,22,6.Web站点的开发,Web站点的开发涉及到项目负责人、设计人员、程序员、网页制作人员和美工等。其中项目负责人负责站点内容的总体设计、进度和人员安排等；设计人员负责站点页面布局和整个站点程序的设计、数据库设计等工作；程序员主要负责服务器端程序开发等；网页制作人员负责开发网页工作等；美工人员则负责制作动画和图片，并嵌入到网页中去。,通过FrontPage、DreamWeaver、Microsoft Interdev 6.0/VS2005等等工具来建设Web站点可大大提高工作效率。建设Web站点过程中掌握Vbscript或Javascript脚本语言的使用是必须的，只有灵活使用这些脚本语言，才可以开发出活泼、动态的交互式动态HTML页面。,23,7.Web站点的测试,主要测试内容有：功能测试和性能测试、安全性测试、稳定性测试、浏览器兼容性测试、链接测试等。可通过一些专业工具检查链接错误，找出网页制作中存在的各种问题。,8.将Web站点接入Internet，并做好网站推广,Web站点开发成功后，需要放到Internet网上作为一个网络结点被网上用户访问。根据情况，选择虚拟主机方式、服务器租用或托管方式、铺设专线方式来接通Internet，供人们访问。,对于商业Web站点，正式开通后, 如何宣传自己的Web站点就成为Web站点能否发挥其作用的关键所在。站点推广活动有长期和短期的；有无偿的和有偿的；有费用高的和费用低的，当然效果也有所不同。比较简单的是通过群发邮件、在各大论坛注册后讨论、让搜索引擎帮忙等方式来推广，在这方面使用一些适当的技巧,可以得到百倍于投入的收益。,24,9.Web站点的运行安全和维护管理,涉及到Web站点的安全性方面的问题比较多，主要包括：身份窃取、数据窃取、假冒、非授权存取、错误路由、否认、拒绝服务等等。在站点服务器上要保证操作系统的漏洞及时得到升级，精心配置Web服务器、邮件服务器、数据库服务器的各项参数设置。,Web站点的维护和管理包括服务器的维护、站点程序的维护、内容的更新和信息的发布等。主要工作包括要对存在的问题进行修改、对Web站点内容进行更新或修改、及时清除一些垃圾页面或图片、对数据库进行备份等。,25,8.7 Web站点性能优化,8.7.1 优化Web服务器硬、软件配置,使用快速的磁盘和好的网络存取机制，能明显改进Web站点访问速度。可以运用特定网卡（如Akamba公司的Velobahn）来改进服务器的速度，或是采用相关技术优化网络接口卡的性能。这类网卡可减轻Web服务器CPU的负荷，使其从繁琐的网络协议处理中解脱出来，而集中于页面处理和服务提供。可以为Web服务器增加反向缓冲代理，使服务器能够顺利实现已创建页面的传输，同时在创建动态页面过程中减轻服务器负荷。可以通过对数据库服务器和Web服务器的配置在缓冲、压缩、带宽限制、进程限制等方面提高Web站点的性能。,26,1. 帮页面减肥,2. 尽量使用静态HTML页面,3切忌将整个页面内容塞到一个Table中,4. 将ASP/ASP.NET、JSP、PHP等文件的访问改为js文件引用,5.使用iframe嵌套另一页面。,6. 站点计数器的放置位置,7数据库的连接和关闭,8.尽量使用存储过程,9.优化查询语句,8.7.2 改善Web应用程序的性能,27,10. ASP.NET中编程注意事项,（1）选择适合的数据查看机制。,（2）采用Server.Transfer重定向页面。,（3）在部署Web站点时，不要启用调试模式。,（4）将 SqlDataReader 类用于快速只进数据游标。,（5）字符串操作性能优化。,（6）应考虑编译运行Web 应用程序。,（7）不要依赖代码中的异常。,（8）只在必要时保存服务器控件视图状态。,（9）避免到服务器的不必要的往返过程。,（10）使用Page.IsPostBack避免执行不必要的处理。,（11）当不使用会话状态时禁用它。,（12）仔细选择会话状态提供程序。,（13）不使用不必要的 Web服务器控件。,（14）优化 Web服务器配置文件。,（15）缓存数据和页面输出。,11. ASP.NET应用程序性能测试,28,8.8 Web站点的安全性,（1）采用NTFS分区；尽可能安装操作系统的最新服务包和修补程序；增强口令的安全性；在网络配置中禁用WINS、NETBIOS、LMHOST(用于IP地址与Windows计算机名称的映射)； 停掉或卸载不必要的进程或服务。,（2）将磁盘上的默认Web站点位置从c:inetpub更改到其他位置。,（3）使用IIS锁定工具（IIS Lockdown Tool）删除应用程序中未使用的所有其他动态内容类型，以缩小攻击者可用来攻击的区域；,（4）确保应用程序使用低权限的ASP.NET账户运行ASP.NET代码；,8.8.1 在安装IIS6.0的服务器上应考虑的安全问题,29,（5）将ASP.NET账户添加到IIS锁定工具创建的本地“Web应用程序组”，以防进程运行任何未得到授权的命令行可执行程序；,（6）停掉默认的Web网站，新建一个网站作为Web应用程序站点，用虚拟目录来指定Web访问路径；,（7）配置URLScan2.5，使其只允许应用程序中使用的扩展集，并阻止较长的请求（URLScan2.5是由IIS锁定工具安装的，是一个ISAPI过滤器，可根据查询长度和字符集等规则监视和过滤发送到IIS Web服务器的所有输入请求）；,（8）设置Web内容目录的访问权限，授予ASP.NET进程对内容文件的读访问权限，授予匿名用户对所提供内容的适当只读访问权限；,30,（9）限制对IIS和URLScan的日志目录的访问，只有系统账户和系统管理员组才具有访问权限。,（10）安装防病毒软件和防木马软件等，启用计算机的防火墙功能。仅留必要的端口号。,（11）创建注册表项：nolmhash、NoDefault Exempt、Disable IPSource Routing、Syn Attack Protect来提高系统安全性。,(12)通过对Web访问的日志进行审计，可以发现一些对安全方面有帮助的信息。,31,（1）SQL Server安装在NTFS分区上；,（2）为数据库访问建立替代帐号，并为替代帐号设置数据库访问角色，不要用sa帐号。,（3）安装数据库系统的最新服务包（对SQL server 2000应安装Service Pack 4）。,（4）将数据库系统设置成禁用其他SQL SERVER通过RPC远程连接；,（5）选择低权限本地账户，启动SQL Server服务；,（6）停止 Distributed Transaction Coordinator (MSDTC) 服务，并将其设置为手动启动。,（7）禁止数据库服务器运行 COM+ 应用程序；,8.8.2 在安装SQL SERVER服务器上应考虑的安全问题,32,（8）限制所支持的身份验证协议的级别（在控制面板|管理工具|本地安全设置|安全设置|本地策略|安全选项: LAN Manager身份验证级别中进行设置）；,（9）禁用应用程序不需要的 SQL Server 代理和 Microsoft 搜索服务；,（10） 设置Server Network的网络属性,由“直接客户端广播”改为“隐藏 SQL Server”；,（11）如应用程序不使用“命名管道”协议，则删除之；,（12）限制数据库用户只具有用得到的数据库操作权限。,（13）xp_cmdshell是扩展存储过程，可以执行操作系统级命令，该存储过程的功能通过SQL SERVER安装目录中的文件C:Program FilesMicrosoft SQL ServerMSSQLBinnxplog70.dll获得，如果系统没有用到xp_cmdshell扩展存储过程，请将该文件换名或删除掉。,8.8.2 在安装SQL SERVER服务器上应考虑的安全问题,33,（1）对Web应用系统应建立基于角色的用户权限管理机制；,（2）使用参数化存储过程。,（3）输入有效性验证。,（4）尽量少用session和Application变量，切忌不要通过session用来在页面间传递大数据量。,（5）信息加密存储。,8.8.3 开发Web站点程序应考虑的安全性问题,34,（6）窗体身份验证。,窗体身份验证即是当用户请求一个安全页面时，系统要对其进行判断，如果该用户已经登录系统并尚未超时，系统将返回此页面给请求用户；反之如该用户尚未登录，系统就要将此用户重定向到登录页面。 以上所述功能的实现只需对Web.config文件进行如下配置即可。,在登录页面中添加如下代码：,if (与数据库的用户名密码字段比较判断用户是否合法), System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text, false); ,else Response.Write(身份不合法!);,35,8.8.3 开发Web站点程序应考虑的安全性问题,对进行身份验证的登录页本身，应该采取两步方式验证用户存在且密码正确，且不可为图简便而使用一条SQL语句进行验证（如果攻击者攻破Web站点，并将SQL语句的where子句末尾加上一段永远为真的判断语句，则无论何时他都可以通过身份验证，这种攻击称为注入式攻击）。,存在安全隐患的身份验证语句是:,select * from users where name = namestr and password = passwdstr。,比较安全的用户身份验证应该是:判断用户是否存在用,“select name,password from users where name = namestr”。,如用户存在，将返回一条包括用户名和密码的记录，然后判断由数据库返回的密码和用户输入的密码值：,if password = passwdstr /通过验证后的程序代码 ,else /未通过验证后的程序代码 ,为加强用户名、密码等这些敏感信息在公网上的安全传输，应通过安全套接字层加密后再返回给Web服务器（例如使用MD5,SHA1对敏感信息进行加密）。,36,8.8.3 开发Web站点程序应考虑的安全性问题,（7）通过在用户登录窗口中设置输入验证码的方法，可以防止非法用户以程序自动处理方式推测用户登录账户和密码，从而提高系统的安全性。,(8)在用户登录输入密码的时候，为防止木马程序非法录制按键操作，利用自定义软键盘让用户只能通过点击鼠标输入密码.是目前很多银行网站采用的一种安全登录方式。,以上所介绍是提高Web站点安全性的一般性方法，需要Web开发者根据应用系统的安全程度很好地规划和设计。,37,练习思考题:,设计和开发一个,Web,站点需要注意哪些问题？,建设一个,Web,站点的一般步骤是什么？,进行网站开发时，应该从哪些方面来提高网站性能和安全？,38,