WINDOWS架设WEB服务器的安全防护课件

,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,服务器网络安全交流,主要针对windows系统,服务器网络安全交流主要针对windows系统,1,2,、,黑客入侵路径（知己知彼）,寻找网站漏洞,SQL注入,文件上传,寻找后台,社会工程,没漏洞,同服务器的网站,上传木马,扩展存储过程,写入木马,备份数据库,WEBSHELL,备份出木马,用户提权,控制服务器,打包网站,下载文件,搞破坏,留后门,2、黑客入侵路径（知己知彼）寻找网站漏洞SQL注入文件上传寻,2,3,、,防范入侵的安全措施,黑客,WEB应用程序,WEB服务,数据库服务,操作系统,每个环节都要防范,危害性增加,其它服务,3、防范入侵的安全措施黑客WEB应用程序WEB服务数据库服务,3,4,、,WEB应用程序安全SQL注入,URL注入、输入框注入,1、程序中过虑危险字符,2、IIS使用REWRITE规则过虑,3、SQL语句不采用拼接的方式,Cookies注入,1、防止Cookies被修改,可逆加密 MD5校验,WEB程序中最常见的漏洞，程序员一不小心，网站就被黑了,4、WEB应用程序安全SQL注入URL注入、输入框注入W,4,5,、WEB应用程序安全漏洞与防范,上传漏洞、文件管理、备份导致的漏洞防范,对上传程序要把关,权限审查要严格,文件夹权限要设好,跨站漏洞防范,构造JS脚本,过虑要严格,5、WEB应用程序安全漏洞与防范上传漏洞、文件管理、备份导,5,6,、WEB应用程序安全其它,Cookies篡改,可逆加密 MD5校验,开源应用程序小心使用，及时打补丁,ewebeditor,动网论坛,织梦（DEDE）,漏洞一被发现，挂马一大遍,6、WEB应用程序安全其它Cookies篡改,6,7,.IIS的安全配置,IIS访问用户与网站文件夹权限,每个网站都是不同的GUEST用户,ASP.NET网站，应用程序池用不同用户,对用户上传文件夹执行权限设为“无”,应用程序池下配置网站数量要适当,不要向客户端发送错误信息（ASP）,ASP.NET禁用调试模式,7.IIS的安全配置IIS访问用户与网站文件夹权限,7,8,、,数据库安全,帐号管理,SA 帐号 只有一两个人知道,开发人员帐号不得用于程序中,对个别重要的数据库各表权限设定,禁止程序中用于连接的用户建表、备份数据库,数据库连接,一个数据库一个帐户,连接串不出现在应用程序中，网站多的话集中配置,8、数据库安全帐号管理,8,9,、数据库安全,删除不必要扩展存储过程,防止注入漏洞被利用:xp_cmdshell sp_makewebtask,SA用户sysadmin用户组可以恢复,实例端口不使用默认的端口1433,数据库备份,每天自动备份 保留半个月 异地备份每周一次,9、数据库安全删除不必要扩展存储过程,9,10,、,操作系统安全,自带防火墙 端口按需开启,杀毒软件 ARP防火墙,IP筛选 端口按需开启,及时打补丁,远程控制端口一定要改,危险DLL注销或彻底删除掉,禁用不必要的服务：,workstation之类,文件夹权限配置,安全策略 登陆次数 记录登陆事件,10、操作系统安全自带防火墙 端口按需开启,10,11,、了解黑客技术与工具,SQL注入扫描器 HDSI,SQL注入工具 啊D,木马上传工具,各种语言写的WEBSHELL,11、了解黑客技术与工具SQL注入扫描器 HDSI,11,12,、服务器瓶颈,内存 内存消耗物理内存,缓存适当使用,个别差性能的程序影响,磁盘I/O,Avg.disk Queue Length物理内存,12,13,、服务器瓶颈,CPU 很少出现,带宽,GZIP压缩（节约70%带宽）,降低图片质量（节约30%带宽）,防盗链,CDN分流（DNS轮询+squid）,性能监视,任务管理器、性能监视器、SQL事件探查器,13、服务器瓶颈CPU 很少出现,13,14,、服务器数据备份,IIS配置 定期加密备份到其它分区,文件备份 使用WINDOWS备份工具自动 备份,数据库备份 维护计划自动备份保留一周,系统备份 GHOST,异地备份 每隔一段时间备份一次,备份记录,14、服务器数据备份IIS配置 定期加密备份到其,14,15,、,保证服务的稳定性、高可用性,服务器架构探讨,1、服务器群集,2、服务器虚拟化，虚拟机群集,服务器监控 提醒与自动化处理,1、监控IIS,2、监控网络连接,3、监控磁盘,4、监控指定的服务,15、保证服务的稳定性、高可用性服务器架构探讨,15,谢 谢！,邱家海 QQ：103201965,谢 谢！邱家海 QQ：103201965,16,网络资源,WINDOWS2019安全设置：,anqn/os/windows2019/2019-12-11/a0976051.shtml,删除危险存储过程：,jiahuafu163.163/static/32061113201971381630422/,IIS应用程序池权限配置：,tieba./f?kz=159096378,自动备份IIS：,asp.org/server/2019924/server1235.html,IIS安全配置：,asp.org/server/201941/server344.html,IIS用户权限配置：asp.org/server/2019331/server332.html,SQUID FOR WINDOWS安装：,.csdn/lixianlin/archive/2019/03/16/1531777.aspx,ASP.NET网站IIS权限配置：,hi./jiahai/item/fc57b1fbb2c7c9284e4aeaed.html,IIS启用GZIP：,hi./jiahai/item/40fc362a55bd3b305243c1f2.html,修改IIS端口，SQUID与IIS同一机器时要改：,hi./jiahai/item/3c66d2c820ca58117f3e6f9b.html,REWRITE防URL注入：hi./jiahai/item/29a61ad8fcce7a3832fa1cce.html,网络资源WINDOWS2019安全设置：anqn/os/wi,17,