基于小型网络的安全网站构建与实现

钟百胜

摘要：文章描述的是通过网络隔离、定期自动备份、数学证书、访问权限等手段提高网站的安全性的方案。针对目前小型企业或单位在有限的资金和人力背景下，通过必要的手段使网站安全尽量在可控的范围内。以Windows2003操作系统+ASP网站架构背景，利用成本较低和可行的手段保障网站安全。

关键词：网站；访问控制；信息安全；SSL；数字证书。

随着网络应用的迅速发展，企业和单位除了现实世界的广告宣传外，网站的宣传广播作用也是日渐增大，特别是依靠网络营销的公司。例如，现在手机商城的整个销售过程都是完全依赖公司的网站来进行的。

网站的安全工作是持久性的，总会有人想通过自己的技术能从网站得到他想知道的信息或者破坏网站从而达到自己的目的。这样，企业和单位要花费大量资金和精力放在网站安全方面，做大量的网络安全措施保障网站的安全。

1 网站物理架设

在中小企业或单位架设网站时要面临2个选择：一是为了保障网站访问速度，将对外网站服务器架设在防火墙之外。二是为了安全考虑，将网站服务器架设在内网，采用NAT技术将外网IP映射给服务器使用。在本文中介绍的案例综合考虑2个因素，将服务器安装双网卡。其中一张网卡是直接接入外网，另外一张网卡接到防火墙之内。在直接接入外网的网卡设置只限80端口，其他端口全部关闭。具体操作流程：打开Windows的网络“IP设置选项卡”—“选项”—“可选TCP/IP筛选”—“高级”—“启用TCP/IP筛选（所有选配器）”—“只允许80端口”。这样做的目的是外网的所有访问只能启用80端口，防止有些端口给非法分子使用。在内网网卡方面，使用同样的方法，额外增加了一个给管理员的远程管理端口3389，但是限定了管理员的网段。

2 IIS设置

通过IIS的合理配配置，可以大大减少非法用户入侵的机会。根据双网卡的构思，在IIS设置里可以分别设置2个站点：一个是外网站点，一个是内网站点。在外网站点里只保留“只读”的权限，在内网站点作以下相应的措施。

2.1 权限设置的思路

在系统中创建一个系统用户，专门给IIS访问时使用，且在系统中设置其他所有的磁盘分区禁止这个用户访问。而内、外网站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且加上超级管理组和SYSTEM组）。且网站目录只留下该用户和超管理员的用户，其他用户一律不具有任何权限。

2.2 Web站点权限没定

具体的设置：读——允许；写——不允许；脚本资源访问——不允许；目录浏览——关闭；日志访问——关闭；索引资源——关闭；执行——仅限于脚本。

2.3 设置子目录的权限

首先将整个站点的目录改为只读，然后根据网站程序的特别需要给予对应的权限。特别是写入、修改和执行这3个权限，能不开启尽量不要启用。要注意上传目录，比如UploadFiles这样的目录，还有图片目录，取消“执行”权限。这样设置以后，即使攻击者找到了上传漏洞，把木马上传到UploadFiles目录，他们也只能看，不能执行程序。

2.4 避免不必要的信息外露

网站调试好之后，关闭IIS中出错调试信息出现在客户端浏览器中，避免程序的错误使信息暴露数据库的类型、位置等信息，为入侵者提供方便。

2.5 做好安全访问日记地录

做好安全访问日记地录是为了便于追潮，使用W3C扩充日志文件格式，每天记录客户IP地址、用户名、服务器端状态、用户代理等。不要使用默认的目录，建议更换一个记日志的路，同时设置日志的访问权限，只允许管理员和系统用户。通过系统的计划任务和ftp方法，自动定时，将这些记录文件上传到网站管理员的机器上作备份。

2.6 防盗链设置

随着网站资源的丰富，特别是视频、图片或音频文件比较多的时候，如果给其他人直接复制URL路径直接超链接的话，会消耗自己的服务器的资源。这里推荐使用开源的“IIS入侵检测及警报系统”，设置好后，一旦别人链接站内资源的话会自动跳转到设置的错误提示页面。

3 SSL安全技术的应用

设置网站的管理目录安全，关闭一些普通用户无需访问的目录的读权限，首先启用IP地址和域外限制，将管理员常用的IP地址输入到授权访问，其他用户拒绝访问。为了提高网站的安全性，可以启用IIS的安全通信，采用数字认证的方式对后台管理目录。

3.1 本地安装证书服务器

由于网上很多数字认证不免费的，可以在局域网配置成一个CA中心服务器，可颁发个人证书和服务器证书。具体操作流程：打开“控制面板”—“添加/删除程序”—“添加/删除Window组件”，选中“证书服务”，并选择“独立根”，在出现的“CA标识信息”对话框中填写CA信息，安装完毕。局域网中就已经可以颁发证书了。在客户端浏览器地址栏里输入http：//IP地址/certsrv/就可以登录证书申请页面。

3.2 申请和安装服务器证书

在IIS设置的目录安全属性里选择“安全通信”再选择“服务器证书”，用系统自带的WEB服务器证书向导产生（见图1）。

3.3 申请证书

复制刚才向导生成的certreq.txt文件内容。然后打开认证服务器（http：//IP地址/certsrv/），利用向导申请证书（见图2）。

3.4 颁发证书

进入服务器的“控制台”界面，通过菜单命令“控制台”—“添加/删除管理单元”，点击“添加”—“证书颁发机构”，添加证书颁发机构单元。在证书管理平台中，选择待申请的证书，将其颁发即可。

3.5 获得证书

客户端登录证书服务器，将申请通过的证书下载并保存在本机（certnet.cer文件）。

3.6 SSL连接的配置

前面的工作都准备好之后，就是设置站点的SSL安全通信配置了，回到网站服务器IIS配置，设置管理后台目录的录安全性。选择要求安全通道（SSL），如图3所示。

3.7 使用SSL安全通道登录管理页面

网站管理人员可以通过以上方式申请得到自己的证书，通过IE安装证书的方式将证书安装在自己的电脑上，要登录后台管理网站时，可以输入https：//IP地址的方式登录网站的后台页面。

4 定时备份、重启

在不增加成本的前提下，可以作好安全备份的措施，一旦使用的服务器短时间无法恢复的时候，可以有一个备用服务器暂时顶替。

4.1 定时备份

除了做本地服务器备份的工作外，在其他机器进行备份，防止网站服务器彻底崩溃（例如硬盘损坏），导致恢复时间过长或无法恢复数据的严重后果。可以备一台服务器专门作冗余，架设好ftp服务器（ServerU）软件，设置好用户名和密码。然后在网站服务器端编写一段bat命令，在计划和任务添加定时上传文件的命令。

4.2 定时升级和杀毒

系统长时间不升级，容易出现漏洞，需要定时升级和杀毒，让非法入侵都无机可乘，所以有必要设置一个自动重启的机制，可让系统定时在访问者很少的时候自动完成重启的工作，对系统临时文件进行清理。

5 结语

随着网络技术的发展，黑客们的技术也迅速发展，总会有漏洞或其他问题给不法份子有机可乘，所以在作足措施的同时，要养成一些好习惯。例如，定期手工将网站文件做一次备份，定期将网站服务器的外网开放进行漏洞升级和病毒升级，定期对服务器杀毒。作好防范措施，可以在很短时间内立刻恢复，以保障网站正常访问。