Web站点安全靠自己

现在基本上每家单位都部署有各自的Web站点，但在部署Web站点过程中，最担心的莫过于自己的站点频繁遭遇攻击。这给单位的站点安全运行带来了无法忽视的威胁。所以保护Web站点安全只能靠用户自己；只有熟悉恶意用户的攻击方法，才能更好地进行安全防护。

切断恶意程序上传通道

现在单位站点有些使用的是IIS平台，甚至还在采用免费源程序，存在相当多的安全威胁。如有的源程序启用了ASP文件上传功能，这项功能实际上就是一个安全漏洞，恶意用户能通过该漏洞，偷偷安装放置ASP木马文件到Web站点服务器中，同时借助木马程序偷偷获得对应站点的WebShell权限。

为切断恶意ASP文件上传通道，首先要停用站点服务器中的无关系统组件。考虑到ASP木马文件通过ASP上传漏洞入侵Web站点时，会使用 WScript.Shell、FileSystemObject、Shell.Application、WScript.Network等组件文件，如果平时用不到这些组件文件时，不妨使用“RegSrv32 /u”命令来删除掉。例如，在MSDOS窗口中，执行“RegSrv32 WScript.Network /u”命令即可将WScript.Network组件文件删除掉了。对于必用的组件，可以尝试编辑系统注册表，为某个组件修改名称，或设置用户权限来控制Internet来宾账户对目标组件文件的访问。

接着定期升级漏洞补丁程序。当特定类型的系统平台存在安全漏洞，部署在该系统平台中的Web站点就易受到攻击，只有定期升级漏洞补丁程序才能保护站点安全。

图1 默认网站属性对话框

最后要为站点访问严格授权。正常情况下，恶意用户都是先想办法窃得Web站点的主目录访问权限，来自由上传非法文件；应对其主目录严格进行授权访问：首先在站点服务器系统中，依次单击“开始”、“设置”、“控制面板”命令，双击控制面板窗口中的管理工具图标，进入管理工具列表界面，选中“Internet服务管理器”图标并双击，展开IIS控制台窗口。打开特定Web站点的属性对话框，选择“目录安全性”选项卡，在如图1所示的选项设置页面中，选择“匿名访问和身份验证控制”位置处的“编辑”，从验证设置页面中添加导入安全的用户账号，并逐一删除不熟悉的账号。接下来点选“主目录”选项卡，在对应选项设置页面中按下“应用程序设置”位置处的“配置”按钮，进入应用程序映射列表界面，逐一选中与ASPX相关的功能选项，如无法找到相关功能选项时，表示当前Web站点所在IIS系统还无法支持.NET功能，这时必须及时升级IIS系统到最新版本。之后从系统资源管理器窗口中找到Web站点所用根目录，打开该目录的右键菜单，点选“属性”命令，点选目录属性框中的“安全”选项卡，在如图2所示的选项设置页面中，逐一删除所有陌生的用户账号，导入添加信任的用户账号，并定义好访问权限,“确认”后退出设置对话框。

谨防来自网站编辑威胁

对于一些规模不大的单位来说，只能借助网上的特定模板或网站编辑器来设计简单、快捷的站点。如果用户采用的站点编辑器恰好存在安全漏洞时，那么由其开发、设计出来的Web站点，自然也就容易被他人攻击。

图2 Windows属性对话框

例如，某单位使用了“Ewebedtior”站点编辑器，开发了自己的站点，要是没有对站点数据库名称进行调整时，恶意用户能很方便地将网站的数据库内容直接下载下来，从中能够窃取到站点的管理员账号和密码。

为防止来自网站编辑的安全威胁，大家可以多措并举，来对用非法用户的安全攻击。例如，及时将站点编辑器程序升级到最新状态，确保其明显的安全漏洞能得到及时修补；将站点数据库的登录名称和密码设置得更为复杂；为站点数据库的名称添加“#32$&fgds”之类的前缀或后缀，这样当恶意用户尝试下载网站数据库时，将会弹出目录显示拒绝的错误提示，造成下载操作无法继续。当然，为了保证网站正常调用数据库，站点技术人员需要调整数据库连接文件“conn.asp”中的内容。

此外，在IIS服务器中直接将数据库的扩展名调整为其他类型，也能防止来自网站编辑的威胁。例如，将站点数据库的名称“aaa.mdb”调整为“aaa.inf”，同时在数据库连接文件“conn.asp”中进行同样的调整操作，这样恶意用户就不能轻易找到下载目标，即使找到目标准备下载时，浏览器也会弹出不能发现对应页面的错误提示。如果不想调整站点数据库的名称或扩展名时，也能尝试将该文件存储到Web站点主目录之外的路径，来避免恶意用户轻易发现到下载目标。例如，可以在主站点的根目录之外，手动生成“H:xyx”文件夹，将网站数据库文件迁移到该目录下，同时对“conn.asp”文件中的相关路径信息进行调整。这样，由于站点数据库文件位于主目录之外，恶意用户也无法通过浏览器进行下载访问。

强制使用站点证书服务

强制使用站点证书服务，可避免无关用户对站点的入侵和攻击。要做到这一点，先要为特定站点生成SSL验证证书。逐一点选Web站点所在服务器主机系统的“开始”、“设置”、“控制面板”命令，打开系统控制面板窗口，通过“管理工具”、“Internet 信息服务(IIS)管理器”等图标进入IIS控制台窗口。将鼠标定位在“本地计算机”、“网站”分支上，打开特定站点的右键菜单，执行“属性”命令，切换到目标站点属性对话框。选择“目录安全性”选项卡，在“安全通信”设置项处按下“服务器证书”按钮，弹出身份验证证书安装向导对话框，依照提示勾选“新建证书”选项，定义好新安装身份验证证书名称，设置好密钥位长和Web站点详细域名信息，指定好特定文本文件来保存证书请求信息，默认状态下系统会选用Windows安装文件夹中的“certreq.txt”文件来自动保存证书请求信息，最后单击“完成”。

图3 证书服务选项

接着安装证书服务组件。用鼠标双击系统控制面板窗口，点击其中的“添加或删除程序”图标，选择“添加/删除Windows组件”选项卡，勾选“证书服务” 选项（如图3所示），按下“是”按钮，选用“独立根CA”选项，输入好CA名称信息，设置证书生效时间，证书缺省的有效时间为5年，最后选择好证书数据库的保存路径，并设置好日志信息的存储位置。

下面申请高级网站证书。进入系统资源管理器窗口，找到system32文件夹，将其中的Certsrv子文件夹复制到Web站点主目录下。开启IE浏览器程序运行状态，在其地址栏中输入“http://Web网站地址/certsrv/default.asp”， 打开Microsoft证书服务页面，依次单击“申请一个证书”、“高级证书申请”、“使用base64编码的CMC或PKCS #10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请”选项，输入“certreq.txt”文件中的内容，单击“提交”，顺利申请获得高级网站证书。之后还要颁发证书，使申请得到的证书立即生效。在控制面板窗口中双击“证书颁发机构”图标，从“挂起的申请”列表中打开特定高级网站证书的右键菜单，逐一点选“所有任务”、“颁发”命令；勾选“颁发的证书”选项，从“颁发的证书”列表中右击特定高级网站证书，单击“详细信息”选项卡，按下对应选项设置页面中的“复制到文件”按钮，弹出证书导出向导对话框，输入好导出证书文件名称，退出高级网站证书颁发对话框。

最后导入已颁发好的网站证书到Web站点主目录。打开IIS控制台窗口，依次选择“本地计算机”、“网站”分支选项，用鼠标右键单击特定Web站点名称，选择右键菜单中的“属性”，在“目录安全性”选项设置页面中点击“服务器证书”按钮，勾选“分配现有证书”选项，将已颁发成功的高级网站证书导入进来，再定义好特定站点使用的SSL端口，最后点击“完成”按钮即可。

强化用户访问输入过滤

当Web站点没有对用户访问进行严格的输入过滤操作时，非法用户就能轻易将一些恶意代码在客户端浏览器上运行，从而盗取站点的隐私数据，甚至能利用合法用户的身份来执行一些攻击性操作，例如造成访问站点的人感染网络病毒。

为避免上述安全风险，首先要增强IE浏览器安全防范等级。在设置安全访问等级时，先开启IE浏览器程序运行状态，依次单击浏览窗口中的“工具”、“Internet选项”命令，弹出Internet选项设置对话框，选择“安全”选项卡，展开选项设置页面，将其中的安全级别设置为高，并且在“自定义”位置处按需进行合适的设置，将一些平时用不到的脚本全部禁用掉。其次加强对用户输入内容的过滤。在确保Web网站工作正常的前提下，可以对填写在网站表单中的“#”、“

借助工具加大防护力度

大家很多时候只能借助专业工具来加大对站点的安全防护力度。最常使用的安全工具就是防火墙，善于借助它的力量，能轻松应对各种最新安全攻击。

一般来说，对于规模不大的单位来说，经常会将防火墙工具和Web站点服务器部署在一起，当访问者浏览特定站点内容时，防火墙工具就能对用户的访问行为、浏览的数据内容进行动态监控，同时过滤可疑数据、拦截非法攻击操作。有些防火墙工具通过在站点服务器端，直接嵌入安全扫描模块，依照用户预先配置的安全要求，来智能扫描、分析站点服务器的发送数据和接受数据，自动屏蔽和过滤对站点有安全威胁的行为和数据，确保Web站点不会接受到攻击数据。

强制站点进行身份验证

为了避免重要Web站点的数据，被恶意用户中途拦截，大家可以启用站点的身份验证功能，对网站数据进行加密传输。打开Web站点的目录安全选项设置页面，单击“安全通信”处的“编辑”按钮，将“要求安全通道(SSL)”、“要求 128位加密”等选项依次选中，在“身份验证和访问控制”位置处按“编辑”按钮，将“启用匿名访问”、“集成 Windows身份验证”这些选项的选中状态全部取消，再将“基本身份验证”选中即可。

完成上述配置任务后，就能强制站点进行身份验证了。日后，用户再对Web站点进行访问时，只要在IE浏览框中输入“https://Web站点地址”，就能看到页面内容了。此时，该站点中的数据包在传输时，任何黑客都将不能偷窥到，这样Web站点的数据传输就安全了。