《网站的管理与维护.ppt》由会员分享,可在线阅读,更多相关《网站的管理与维护.ppt(45页珍藏版)》请在三一文库上搜索。
1、互联网安全攻防案例分析与 网络安全技术 (续篇二)网站的管理和维护,主讲:郭亮 安全服务部 中国电信集团系统集成公司,学习目标和能力要求,网站的管理与维护,网站的管理与维护,网站管理定义,管理的定义和模式,狭义地理解:,就是对网站系统的管理,广义地理解:,对网站系统的管理,对网站工作人员的管理,对网站内外环境的管理,数据管理,记录和监测网站运行情况,人员权限管理,网站内容管理,客户服务管理,网站安全管理,管理的定义和模式,网站管理内容,网站的管理与维护,管理的定义和模式,网站管理模式,网站的管理与维护,网站管理技术经历的三个阶段:,面向网站特定设备的单点管理工具,面向网站各种设备的通用网站管理
2、平台,面向网站运营的全面网站管理,管理的定义和模式,网站管理模式,网站的管理与维护,按网站功能分类,静态网站管理模式,对应于以静态页面为主的宣传型网站, 没有在线交易和交互功能。可手工更新 或使用模板技术和程序执行方式更新。,优点: 费用低廉、操作简单快捷、所需人员少。 缺点: 1)每次更新需上传全部内容; 2)网站难于升级和扩展; 3)必须要专业人员管理和维护。,管理的定义和模式,网站管理模式,按网站功能分类,动态网站管理模式,利用数据库存储信息,在Web服务器上 运用ASP、PHP等CGI程序进行数据的处 理并自动生成HTML页面。,优点: 能进行较大容量的网站管理,可实现部 分维护的自动
3、更新。管理工作较简单。 缺点: 1)网站改版和升级困难,工作量大; 2)网站访问量受设备限制较大; 3)系统响应速度下降,受数据库影响大。,网站的管理与维护,管理的定义和模式,网站管理模式,按网站功能分类,网站管理系统,利用数据库技术,将信息分类存储在数据 库中,采用模板技术,用程序自动生成网 页。,优点: 1)为网站的建设、管理、维护、统计分 析提供了统一的环境和各类模板与接口。 2)功能强大,允许任意组合和改变网页 界面和风格,定义不同模板。 缺点:网站前期投入大,维护人员多, 只适用于大型C2C/B2B/B2C等网站。,网站的管理与维护,管理的定义和模式,网站管理模式,按网站内容分类,网
4、站的管理与维护,页面生成模式,以数据库存储内容,采用模板 技术和标签库技术,将页面的 模板独立出来,把数据库中的 数据和标签库中的数据相结合 生成静态网页。结合其他Web 技术也可以生成动态网页。,特点: 灵活多样、自动化高,节省大量人工 时间。是网站更新、维护的主要技术 手段。 不足之处是网站的部署和管理比较麻 烦。,管理的定义和模式,网站管理模式,按网站内容分类,网站的管理与维护,智能结构模式,以数据库存储内容,将内容进 行结构化分类,通过智能化手 段自动实施网站的管理、调度 和重构。,可实现信息从原始存储状态到不同服 务类型的自动组织、归类。在智能化 管理模式中,应用到海量存储、智能 检
5、索、数据挖掘等新型IT技术。比如 为不同用户构建个性化网页等。,智能化管理模式,管理的定义和模式,国内网站管理软件简介,网站的管理与维护,网站客户服务管理,客户服务的内涵和意义,网站的管理与维护,市场竞争 日益激烈,技术水平 逐渐接近,营销手段 趋于雷同,怎样更好地吸引和留住客户?,更优质的客户服务,客户服务是与客户接触的全部活动过程,是企业 营销策略的重要组成部分。,网站客户服务管理,客户服务策略,网站的管理与维护,网站客户服务管理,客户服务管理要点,网站的管理与维护,建立 客户信息库,客户基本信息管理,客户反馈管理,售前服务,售中服务,重视服务过程 把握服务关键,售后服务,网站客户服务管理
6、,客户关系管理CRM,网站的管理与维护,BBS论坛管理,电子邮件管理,留言板管理,在线调查管理,在线技术支持管理,个性化服务管理,客户反馈系统,网站客户服务管理,客户资料分析和决策,网站的管理与维护,分析内容,输出,日报表 时段报表 访问量分析表 排名分析表 HOT网页排名表 IP地址分析表 用户地域分析表,决策,营销方案,网页更新,个性化服务,网站的维护,网页维护,网站的管理与维护,网页的精心维护和管理是一个网站成功以及持续发展的关键,网页维护的内容,网页测试,页面更新,网站的维护,网站故障的预防、检查和排除,网站的管理与维护,网站故障的预防,合理规划预防故障,有效的人员培训有助于预防故障,
7、对网站进行监视和有效的管理,定期进行安全检查,及时消除网络瓶颈,网站的维护,网站故障的预防、检查和排除,网站的管理与维护,网站故障的检查和排除, 逻辑故障分离法,网站的维护,网站故障的常用检测工具,网站的管理与维护,Winmsd.exe,控制面板的系统恢复,性能监视器,事件查看器,IIS6.0日志文件,网站安全维护,网站安全概述,网站的管理与维护,网站的主要安全问题:,网站安全维护,网站安全概述,网站的管理与维护,网站的典型 安全漏洞,网站安全维护,网站安全技术,网站的管理与维护,操作系统本身的安全策略,控制 面板,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,单独设置IIS
8、服务器,IIS最好独立安装在一台服务器上,并且这台服务器不要 隶属于任何域。这样的好处是断开与域中其他成员的认 证连接,降低安全风险。,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,合理设置Web根目录,Web根目录禁止设置在系统分区(一般指C盘),这样 避免Web根目录被攻击后系统文件也遭受攻击。设置 Web站点虚拟目录时,也要防止不被重新定向到系统分 区。条件允许的话,可以把Web根目录设置到另外一台 服务器上,尽量减少IIS服务器被攻击的危险。,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,隐藏重要系统文件,操作系统中的许多可执行文件,容易被攻击者用来
9、进行 破坏活动,要对这些文件进行删除、重命名或设置NTFS 权限。目的是使攻击者找不到这些文件,因而降低被攻 击的风险。这些文件包括:xcopyregeditftpdelete debug等。,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,删除或关闭多余的IIS组件,安装IIS后,有些组件可能会给攻击者以可乘之机,建议 对不用的组建一律删除,如果日后要用再安装添加即可。 这些组件包括: 1)Internet服务管理器(html);2)样本页面和脚本; 3)IIS资源工具箱;4)SMTP和NNTP; 5)Internet打印。,网站安全维护,网站安全技术,网站的管理与维护,II
10、S的安全配置,改写注册表的某些键值,比如,为降低SYN黑客软件的攻击,可将注册表中 HKLMSystemCurrentControlSetServicesTcpip Paramenters下的synAttackprotect的键值改成2。 注意:改写注册表要慎重,对不知道含义的键值错误修改 可能会导致系统或程序运行错误。,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,简化IIS5.0中的验证方法,IIS5.0中有多种身份验证方式:匿名访问、基本验证、 域服务器验证等等,大多数情况下,只保留匿名访问和 基本验证就行,其他验证方式都可以关闭,不允许使用。,网站安全维护,网站安全技
11、术,网站的管理与维护,IIS的安全配置,为IIS5中的文件分类设置权限,除了在操作系统中IIS5的文件设置必要的权限以外, 在 IIS管理器中也要分别为IIS文件设置权限。一般而言,不 要同时设置写权限和执行权限,另外禁止目录浏览功能。 建议把Web站点上不同类型的文件都建立文件夹,然后对 文件夹进行权限设置。,网站安全维护,网站安全技术,网站的管理与维护,IIS的安全配置,保护IIS的重要配置文件,IIS的Metabase保存着IIS的重要配置信息,因此要重点 保护。建议如下操作: 1)移动Metabase位置并改名; 2)安全设置确定Metabase位置的注册表关键字; 3)审核并分析所有
12、试图访问和修改Metabase的日志; 4)把HTTP和FTP文件夹从%systemroot%下移走; 5)对Metabase只设置Administrators/System/完全控制; 6)对Metabase进行安全备份;,网站安全维护,网站安全技术,网站的管理与维护,防火墙技术,防火墙技术是一种用来加强网络之间访问控制。防止外部 网络用户以非法手段进入内部网络进行恶意操作。,防火墙类型,网站安全维护,网站安全技术,网站的管理与维护,防火墙技术,包过滤型,网络地址转换-NAT,代理型,包过滤型是防火墙的初级产品。防 火墙通过对数据包进行读取和过滤 来分析是否有不安全的数据,如果 判断有就过滤
13、掉。 包过滤型防火墙简单实用,实现成 本较低,但它是基于网络层的技术 ,防范手段单一,无法识别来自应 用层的恶侵入,很容易被伪造的假 数据欺骗。,监测型,网络地址转换(NAT)的含义就 是把内部非法IP临时映射成外部 的一个合法IP,从而达到访问互 联网的目的。这样的好处是: 1)节约IP地址,原则上只需要防 火墙配置一个真实IP,而内部网 络都可以是虚拟IP。 2)防火墙内事先设置好映射规 则,外部网络只能访问防火墙的 IP,而无法知道内部网络真真实 情况,因而只能对防火墙攻击, 而无法攻击内部网络。,代理型防火墙又称为代理服务器 ,它的网络结构与NAT类似,也 是通过IP映射把内网和外网分
14、隔 开,内网的虚拟IP在代理服务器 统一映射成代理服务器的外部IP 访问互联网,外网无法得知内网 的实际情况,从而避免被攻击。 同时,代理服务器可以基于应用 层进行侦测和扫描,对于应用层 的入侵和病毒都十分有效。安全 性能要高于包过滤型,但缺点是 过滤时间长,影响系统性能。,监测型防火墙是新一代产品,也 是未来防火墙的发展方向。监测 防火墙采取主动工作方式,主动 对各层的数据进行实时扫描,能 有效地判断各层的非法入侵。同 时,监测型防火墙还在内部网络 的各节点安装了分布式探测器, 能有效防范来自网络内部的恶意 攻击。 目前,监测型防火墙的技术实现 成本较高,管理也较困难,还处 于发展阶段。,网
15、站安全维护,网站安全技术,网站的管理与维护,防病毒技术网络病毒,就网站而言,防范病毒主要是指防范网络病毒。,网络病毒的种类,感染方式,网站安全维护,网站安全技术,网站的管理与维护,防病毒技术网络病毒,防治网络病毒的有效办法安装杀毒软件。,杀毒软件应具 备四个特征,网站安全维护,网站安全技术,网站的管理与维护,防病毒技术网络病毒,杀毒软件的 安装位置,网站安全维护,网站安全技术,网站的管理与维护,防病毒技术网络病毒,杀毒软件的 部署和管理,网站栏目规划,卡巴斯基,McAfee,Norton,金山毒霸,瑞星杀毒,网站安全维护,网站安全技术,网站的管理与维护,防病毒技术网络病毒,常见杀毒软件介绍,网
16、站安全维护,网站安全技术,网站的管理与维护,网站反黑客技术,网络黑客的攻击方法,获取帐号和口令,通过网络监听获得帐号和口令。,获得帐号后,使用穷举法登录服务器, 强行破解口令。,获得用户口令文件(shadow),在本地 就可使用穷举法破解用户口令。,网站安全维护,网站安全技术,网站的管理与维护,网站反黑客技术,网络黑客的攻击方法,放置特洛伊木马,特洛伊木马可以附着在正常软件内或作为电子邮件的附 件潜入到目标电脑内,可以把本机的一切资料传送给特 洛伊木马的使用者,并且可以进行任意程度的破坏。手 段隐蔽、破坏性大。,WWW欺骗技术,利用web技术私自篡改网页、调换链接、发布虚假信息。 例如,黑棵将
17、用户浏览的网页URL改写成自己的服务器, 用户浏览时,实际上是向黑客服务器发送请求。,电子邮件攻击,一种方式是邮件炸弹,即通过伪造的IP向目标信箱发送 数以万计的垃圾邮件,直至目标邮件系统崩溃瘫痪。另 一种方式是邮件诈骗,假扮成邮件系统管理员,骗取用 户密码或相关信息,或在正常附件中加载病毒或木马。,宿主攻击,黑客先攻陷一台主机,再利用这台主机作为宿主,进而 攻击其他主机。这种黑客技术很高明,黑客突破宿主的 目的不是为了盗取宿主的资料,而是把它当成掩护,为 后续真正的黑客攻击做准备。,网站安全维护,网站安全技术,网站的管理与维护,网站反黑客技术,网络黑客的攻击方法,网络监听,利用系统漏洞攻击,
18、利用帐号攻击,偷取特权,黑客进入某一网段后,24小时不间断监听并截获本网段 上的所有信息,然后送回到黑客主机,并对截获的数据 进行分析。内部网络的黑客攻击往往采用此种方法,可 以轻易获得网段内的所有帐户及口令。,操作系统或应用软件往往存在许多未经检测出来的漏洞 (bug),某些漏洞被黑客掌握以后,就可以用来作为黑 客攻击的渠道加以利用。另外,由于管理员配置失误或 操作不慎,也可能造成一些漏洞被黑客利用并入侵。,主要是指黑客利用缺省帐户来进行攻击,比如guest帐户 ,这些帐户的权限都很小,但如果系统安全配置存在漏 洞的话,就容易被黑客利用并获取更高级别的帐户继续 入侵。,所谓偷取特权,就是利用
19、木马程序获得主机的超级用户 权限,从而盗取重要资料,甚至全面接管主机和获得网 络的控制权,并进行后续入侵活动。,网站安全维护,网站安全技术,网站的管理与维护,网站反黑客技术,防范黑客攻击的措施,1)经常需要与外界交换机密信息的主机要单独设立网段。,2)专用主机单独专用,比如邮件服务器、数据库服务器、网 管服务器等,尽量不要在专用主机上运行其他程序。,3)网络配置遵循“用户权限最小化”,关闭不使用或了解的网络 服务,关闭不必要的端口。,网站安全维护,网站安全技术,网站的管理与维护,网站反黑客技术,防范黑客攻击的措施,4)所有主机的日志文件全部定向到统一的日志服务器,集中 管理,定期检查日志文件和重要配置文件,定期备份数据。,5)及时下载、安装系统补丁,实时升级和更新杀毒软件和防 木马程序。定期更换重要帐户的口令和密码。,6)完善内部管理机制,制定切实可行的安全管理制度和办法, 制定详尽的入侵预警和应急操作流程,把损失降到最低。,网站安全维护,网站安全技术,网站的管理与维护,代理服务器技术,代理服务器(Proxy Server)的含义:,代理服务器的作用:,代理服务器和代理服务器软件:,代理用户获得网络信息,