1、UNIX或LIUNX環(huán)境下Web服務器的安全管理與維護

　　·Apache和Tomcat的啟動和關閉

　　#/home/apache-1.3.27/bin/apachect·start 啟動
　　#/home/apache-1.3.27/bin/apachect·stop 關閉
　　#/home/jakarta-tomcat-4.1.12/bin/startup sh 啟動
　　#/home/jakarta-tomcat-4.1.12/bin/shutdown sh 關閉

　　·Apache和Tomcat的Web服務器的安全管理

　　1） Apache和Tomcat都具有支持安全Socket層（SS·）的功能。在Tomcat中聲明安全性，WEB應用程序的安全性主要在相應的Web.xml中設置，Tomcat支持的鑒權機制為HTTP基本鑒權機制BASIC和基于表單的鑒權機制FROM（JSP網(wǎng)站）。

　　過濾是Tomcat 4的新功能，能夠用過濾器來實現(xiàn)以前使用不便的或難以實現(xiàn)的功能，這些功能包括：

　　* 資源訪問（Web頁、JSP頁、servlet）的定制身份認證
　　* 應用程序級的訪問資源的審核和記錄
　　* 應用程序范圍內對資源的加密訪問，它建立在定制的加密方案基礎上
　　* 對被訪問資源的及時轉換，包括從servlet和JSP的動態(tài)輸出

　　2）Apache的安全設置
　　Apache服務器設置安全信息--Access.conf文件中的指令控制著用戶對站點的訪問及如何進行訪問方面的信息。包括文件樹的安全、腳本目錄安全性、Options指令、AllowOverride指令、使用Order指令、使用有限容器、添加用戶鑒定功能等)。
　　3）Apache模塊（PHP網(wǎng)站）
　　當PHP做為Apache的模塊來運行時它繼承了Apache的安全設置。任何的文件請求都要經(jīng)過Apache的嚴格檢查，只有通過檢查的請求才被送往PHP。

　　2、Windows NT/2000的IIS服務器的安全管理與維護

　　·Web站點安全性設置

　　本文討論的安全設置僅依賴于Windows NT/2000和IIS內部的安全性功能，鑒于Windwos2000強大的安全性能（符合C2安全級別），尤其是強大的用戶認證能力和獨有的NTFS安全分區(qū)，IIS網(wǎng)站的安全性完全可以得到非常有力的保證�；\統(tǒng)的說，站點安全性工作將圍繞如下兩個任務進行：合法用戶身份的認證和站點文件的安全保障。前者需要借助于Windows2000的賬號系統(tǒng)和認證機制；后者則要由IIS和NTFS分區(qū)共同維護。

　　·NTFS權限設置

　　安裝操作系統(tǒng)最新的補丁程序，不論是NT還是2000，硬盤分區(qū)均為NTFS分區(qū)，NTFS權限是NTFS分區(qū)文件格式特有的安全權限。

　　【W(wǎng)indows域服務器的簡要驗證】和【集成Windows驗證】都是屬于加密驗證的發(fā)式。其中簡要驗證方法是IIS5.0中新引入的驗證方法，它通過網(wǎng)絡發(fā)送經(jīng)過混編的密碼值而不是密碼本身。該方法通過代理服務器和其他防火墻工作。這里的混編密碼值通常是利用哈西算法得到的，此方法較基本驗證安全得多，但低于集成Windows驗證方式（可以通過復雜運算加以破解）。

　　【集成Windows驗證】通過與用戶的InternetExplorerWeb瀏覽器進行密碼交換以確認用戶的身份。

　　·IP地址和域名訪問控制

　　IP地址和域名訪問控制方式源于對于特定IP地址或域名的不信任，鑒于網(wǎng)站管理員通常會認為來自某些IP地址的用戶帶有明顯的攻擊傾向（通過對日志文件的分析可以得到這一結論），或者網(wǎng)站管理員希望僅有來自特定IP地址或域名的用戶才能夠訪問網(wǎng)站。這些限制能力都倚賴于IP地址和域名訪問控制功能。

　　·使用權限向導

　　權限向導是IIS5.0新引入的權限管理工具。鑒于對站點安全性的配置復雜而無序，較難理出一條簡明而準確的主線，IIS5.0引入了權限向導工具，它提供了一個連續(xù)、簡單、準確的權限配置流程，可以使管理員迅速對站點進行一般性的權限設定。尤其是對于涉及大量權限繼承關系的站點（虛擬）目錄配置工作，運用權限向導往往能達到意想不到的效果。權限向導主要對安全設置和目錄權限進行快速指定，并能夠以摘要的形式提供安全分析。

　　·目錄和文件權限

　　為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵和溢出，我們還必須非常小心地設置目錄和文件的訪問權限，NT的訪問權限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全敞開的（FullContro·），你需要根據(jù)應用的需要進行權限重設。

　　·設置WWW目錄訪問權

　　在InternetServiceManager中創(chuàng)建Web發(fā)布目錄（文件夾）時，可以為定義的主目錄或虛擬目錄及其中所有的文件夾設置訪問權限。這些權限是有WWW服務提供的那些，是NTFS文件系統(tǒng)提供的權限之外的部分。這些權限是：
　　* 讀：讀權限允許Web客戶讀或下載存儲在主目錄或虛擬目錄中的文件。如果客戶為目錄中沒有讀權限的文件發(fā)送一個讀請求，則Web服務器返回一個錯誤。通常，應該給予包含要發(fā)布信息（例如HTML文件）的目錄讀權限。應該為包含公用網(wǎng)關接口(CGI)應用程序和InternetServer應用程序編程接口(ISAPI)DLL的目錄取消讀權限，以防止客戶下載應用程序文件。
　　* 執(zhí)行：執(zhí)行權限允許Web客戶運行存儲在主目錄或虛擬目錄中的程序和腳本。如果客戶發(fā)送請求，運行不具有執(zhí)行權限的文件夾中的程序或腳本，則服務器返回一個錯誤。為了安全，不要給予內容文件夾執(zhí)行權限。

　　·解除NetBios與TCP/IP協(xié)議的綁定

　　NetBois在局域網(wǎng)內是不可缺少的功能，在網(wǎng)站服務器上卻成了黑客掃描工具的首選目標。方法：WINNT：控制面版→網(wǎng)絡→綁定→NetBios接口→禁用；WIN2000：控制面版→網(wǎng)絡和撥號連接→本地網(wǎng)絡→屬性→TCP/IP→屬性→高級→WINS→禁用TCP/IP上的NETBIOS。

　　·刪除所有的網(wǎng)絡共享資源

　　NT與2000在默認情況下有不少網(wǎng)絡共享資源，在局域網(wǎng)內對網(wǎng)絡管理和網(wǎng)絡通訊有用，在網(wǎng)站服務器上同樣是一個特大的安全隱患。

　　·加強日志審核

　　安全日志：本地安全策略->審核策略中打開相應的審核。
　　日志任何包括事件查看器中的應用、系統(tǒng)、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，從中可以看出某些攻擊跡象，因此每天查看日志是保證系統(tǒng)安全的必不可少的環(huán)節(jié)。安全日志缺省是不記錄，帳號審核可以從域用戶管理器→規(guī)則→審核中選擇指標；NTFS中對文件的審核從資源管理器中選取。

　　·只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議

　　網(wǎng)站需要的通訊協(xié)議只有TCP/IP，而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議，IPX/SPX是面臨淘汰的協(xié)議，放在網(wǎng)站上沒有任何用處，反而會被某些黑客工具利用。

　　·加強數(shù)據(jù)備份

　　這一點非常重要，站點的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞后果不堪設想，數(shù)據(jù)備份需要仔細計劃，制定出一個策略并作了測試以后才實施，而且隨著網(wǎng)站的更新，備份計劃也需要不斷地調整。