1-4.cfm.htm

最全的ASP教程

<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>第一部分 安装Active Server Page 的准备工作</title>
<meta name="GENERATOR" content="Microsoft FrontPage 3.0">
</head>

<body>
<font FACE="宋体" SIZE="5"><b>

<p ALIGN="JUSTIFY">安全配置</b></font><font FACE="宋体" SIZE="3"></p>

<p ALIGN="JUSTIFY">这一部分我们讨论和运行与INTERNET相连的网络服务器相关的一些安全事项。 
虽然有好几项我们已经谈过了，但是，新的问题总是不停地备发现。 
要象成为一个好的网络管理员就必须学习现存于INTERNET上的无数的危险。</font><font
FACE="宋体"><b></p>

<p>　</p>

<p>网络安全</b></font><font FACE="宋体" SIZE="3"></p>

<p ALIGN="JUSTIFY">对于一个基于INTERNET的网络服务器来说， 
防止那些非授权的闯入是最重要而又是最困难的，他们经常会干一些损害网络计算机的事情。 
他们中的某些人只是为了好玩或挑战自己的能力， 
而另一些人则有一些更阴险的目的。</p>

<p ALIGN="JUSTIFY">虽然，没有一个系统能提供100％的安全保护，但是你可以采取措施把这种危险减少到最小的地步。以下介绍几条预防措施。</p>

<p><b>　</p>

<p ALIGN="JUSTIFY">注意</b></p>

<p ALIGN="JUSTIFY">下文介绍了有关防止安全侵入的很多重要信息， 
但是这不能算作一个全面的安全策略，新的安全问题经常会在使用的过程中发现。 
我们应该在使用的过程中随时发现问题， 并及时向微软的站点(www.microsoft.com)或CERT网络站点(www.cert.org)进行反馈。</p>

<p ALIGN="JUSTIFY"></font><font FACE="宋体"><b>　</p>

<p ALIGN="JUSTIFY">数据加密</b></font><font FACE="宋体" SIZE="3"></p>

<p ALIGN="JUSTIFY">当数据在网络服务器和浏览器之间进行传输时很容易被中途截取，为了保护这些重要的数据， 
最常用也最有效的方法就是进行数据加密。</p>

<p ALIGN="JUSTIFY">Secure Socket Layer(SSL)在为了服务器和客户端之间提供了一种高效的集成数据加密方法。这种技术使用了公用关键字和对称关键字密文， 
同时还使用了数字标识和认证技术。 
这就使得服务器端和客户端能以一种加密的方式进行通讯，同时确保参与通讯者确实是他所宣称的身份。</p>

<p ALIGN="JUSTIFY">SSL只能保护某种类型的INTERNET通讯。 这种保护只有在HTTPS传输过程中才有效。 
HTTPS是一种加密的HTTP协议，它用于客户网页向服务器传输数据和从服务器传输数据时使用。另外两个没有经过加密的协议是FTP和GOPHER。 
由于没有进行加密，这些使用这些协议的通讯很容易被别人非法闯入。</p>

<p ALIGN="JUSTIFY">SSL能提供多种不同等级的加密服务。最高等级的加密使用128位的加密方法。128位SSL加密方法的密码是2<sup>128 
</sup>种组合中的一个（这个数字连你的计算机也表示不出来）。 
专家们认为这种加密方法在理论上是解不开的。由于128位SSL提供的高等级加密保护， 
美国政府把它作为军事专用，不允许向国外出口。但是40位SSL也提供了足够的加密保护， 
这是可以向国外出口的。虽然40位SSL曾今被破解过，但是这个漏洞已经被补上了。 
现在，破解一个40位SSL的密码需要计算机运算31个小时。因此， 
只要不是特别重要的数据， 使用这种加密措施已经足够了。</font></p>

<table CELLSPACING="0" BORDER="0" CELLPADDING="7" WIDTH="568">
  <tr>
    <td VALIGN="TOP" BGCOLOR="#000000"><font FACE="宋体" SIZE="3"><b><p ALIGN="JUSTIFY">注意</b></font></td>
  </tr>
  <tr>
    <td VALIGN="TOP" BGCOLOR="#ffffff"><font FACE="宋体" SIZE="3"><b><p ALIGN="JUSTIFY"></b>近来美国政府已经允许在某些领域输出128位SSL，由于这些规则正改变， 
    我建议你最好去查以下最近的联邦政府关于加密技术的出口条例。</font></td>
  </tr>
</table>

<p><font FACE="宋体" SIZE="3"><b>　</p>

<p ALIGN="JUSTIFY"></b>　</p>

<p ALIGN="JUSTIFY">有一个关于使用SSL的问题就是要使系统与之配套。 
由于使用SSL过程中的数据加密和INTERNET上的同步数据的传输，需要花费计算机系统的很多时间。 
你用的加密关键字越大，你的处理器所化的时间就会越长。 
当你的服务器要使用SSL加密时你一定要确保你的带宽和处理器的速度能满足要求。</p>

<p ALIGN="JUSTIFY"></font><font FACE="宋体"><b>　</p>

<p ALIGN="JUSTIFY">关于SYN攻击</b></font><font FACE="宋体" SIZE="3"></p>

<p ALIGN="JUSTIFY">有很多的方法可以攻击基于INTERNET的服务器。 
其中的一种容易检查到的就是SYN攻击。 SYN攻击使用INTERNET握手时的SYN（同步字节）。通常在TCP/IP连接的初始化过程中， 
首先要发出SYN，或同步的请求。这种请求会得到一个发送给客户端的反应信号SYN_ACK。如果用一个错误的返回地址发送同步字节，服务器端的反应信息就不会到达客户端，而且这个连接就会保持半开状态。</p>

<p ALIGN="JUSTIFY">SYN攻击使服务器充满无效的半开的TCP/IP连接， 
妨碍了服务器的正常服务。 一个这样的请求就会造成一个半开的TCP连接， 
当服务器的连接数目达到了服务器所允许的最大数目时， 
其他的正常用户请求就不能得到响应。这种拒绝连接会使正常的用户从服务器上得到一个出错信息。</p>

<p ALIGN="JUSTIFY">如果没有附加的防火墙或代理服务器是无法防止SYN攻击的 
，这些攻击造成的损害只有提供系统监视和随时测试来消除。</p>

<p ALIGN="JUSTIFY">监视基于INTERNET的服务器是系统管理员所承担的一项重要的工作。 
检查系统的负载，反应速度，和容量，还有跟踪访问系统的客户， 
这些工作都能从正确配置的WINDOWS NT系统获得。 监视TCP连接将对检测SYN攻击有帮助。</p>

<p ALIGN="JUSTIFY">NETSTAT命令可以用来看现存的TCP连接。使用NETSTAT， 
打开一个COMMAND PROMPT然后键入：</p>

<p ALIGN="JUSTIFY">NETSTAT -n -p TCP x</p>

<p ALIGN="JUSTIFY">这里x 
表示你希望系统更新统计数据的时间间隔（以秒为单位）， 例如， 
如果你需要连续地更新系统的TCP连接的统计数目，就应该如下键入：</p>

<p ALIGN="JUSTIFY">NETSTAT -n -p TCP 1 </p>

<p ALIGN="JUSTIFY">这个命令将初始化NETSTAT命令，而且每隔1秒更新显示的内容。如果只需要看一次TCP统计，可以忽略时间间隔参数。</p>

<p ALIGN="JUSTIFY">NETSTAT -n -p TCP </p>

<p ALIGN="JUSTIFY">使用NETSTAT可以通过检测非正常的大量的SYN_RECEIVED状态来帮助你判别是否存在SYN攻击。也可以参考微软的站点去获得补丁软件来解决这个问题。</p>

<p ALIGN="JUSTIFY"></font><font FACE="宋体"><b>　</p>

<p ALIGN="JUSTIFY">在TCP/IP上的NETBIOS</b></font><font FACE="宋体" SIZE="3"></p>

<p ALIGN="JUSTIFY">WINDOWS NT还为提供了对TCP/IP网络的其他的远程管理支持。 
当管理员设置好了LMHOST文件和和必要的管理员密码以后， 
就可以连接到一个服务器， 映射网络驱动器， 
使用管理员工具（用户管理，服务器管理，等等），而且还可以启动和停止某项服务。 
这项支持在基于INTERNET的系统上显然是应该具备的。但是，就象精明的管理员一样， 
精明的黑客知道如何配置自己的系统来获得服务器的权限。 
取消这种远程管理在WINDOWS NT 4.0上是很容易的。这也涉及到了在协议层的块数据的认证。</p>

<p ALIGN="JUSTIFY">WINDOWS NT通过把NetBIOS信息压入TCP/IP数据报中来支持远程管理和与WAN的连接。 
这样就可以使用户使用远程网络的资源就好象是在使用当地的网络资源。为了减少相关的安全隐患， 
限制WINDOWS NT的接收基于NeBIOS的数据的容量是很有必要的。 
你可以要么用限制作为为NETBIOS信息保留的TCP和UDP端口数，要么删除NetBIOS和TCP/IP的连接。</p>

<p ALIGN="JUSTIFY">TCP和UDP协议都要通过端口和其他的系统进行通讯。这些端口定义了被初始化的通讯的类型， 
某一个特定的应用程序在这个端口上侦听，当有客户端程序发出请求时，他就作出反应。例如，HTTP协议使用TCP端口号80，而FTP协议使用TCP端口好21。 
攻击者通常使用一种叫做端口侦听技术， 用来确定INTERNET系统上安装了那种类型的协议。这种端口侦听可以发现系统的WWW服务，FTP服务，等等。 
在TCP/IP基础上的NETBIOS使用TCP和UDP的端口号139，138和137。 
我们应该封锁那些不必要的TCP和UDP端口来减少端口侦听的危险，尤其是那些被NETBIOS使用的端口。 
封锁这项端口可以大大地减少被非法远程侵入的危险。</p>

<p ALIGN="JUSTIFY">封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 
点击Advanced 按钮激活Advanced IP地址对话框， 然后点击Enable Secury 
对话框，然后点击Configure按钮激活TCP/IP安全对话框， 
那里列出了那些TCP和UDP端口被允许了（见图1）。</p>

<p ALIGN="JUSTIFY">另一种消除远程管理所带来的危险的非法就是断开TCP/IP和NETBIOS接口之间的连接。这项操作应该在网络控制面板的Bindings 
Page 框中来配置完成。 在Bindings page </p>

<p ALIGN="JUSTIFY">中列出了WINDOWS NT网络组件之间的连接（见图1.2）。 
我们可以这样来取消NETBIOS和TCP/IP接口的连接， 点击NETBIOS前面的加号图标，然后选择WINS 
Client(TCP/IP)选项，然后点击Disable按钮。 
当这个连接被取消时，对话框会反馈应该可视化的表示。 然后点击OK按钮完成这项配置。</p>

<p><b>　</p>

<p ALIGN="JUSTIFY">图1.1 允许IP安全保护</p>

<p ALIGN="JUSTIFY"><img SRC="../images/Image1.gif" tppabs="http://210.74.168.175/guide/asp/images/Image1.gif" WIDTH="447" HEIGHT="326"></p>

<p ALIGN="JUSTIFY">　</p>

<p>　</p>

<p ALIGN="JUSTIFY"><img SRC="../images/Image2.gif" tppabs="http://210.74.168.175/guide/asp/images/Image2.gif" WIDTH="393" HEIGHT="440"> </p>

<p ALIGN="JUSTIFY">&nbsp;&nbsp;&nbsp; 图1.2 取消网络协议的连接</p>

<p ALIGN="JUSTIFY">取消CMD和BAT映射</p>

<p ALIGN="JUSTIFY">大部分的计算机都支持批处理文件和脚本， 
他们用于那些自动反复执行的那些任务。 
这些文件是有服务器执行的， 他们也考虑造成破坏。 因为IIS 
已经作了映射， 使服务器能执行以.BAT 和.CMD为后缀的文件。</p>

<p ALIGN="JUSTIFY">你可以取消这些文件的映射，使NT的命令解释器不能执行这些类型的文件。 
你可以点击START按钮，然后选择RUN，输入REGEDIT，并回车。文件映射的关键字在这条设置里：</p>

<p ALIGN="JUSTIFY">HKEY_LOCAL_MACHINE/SYSTEM/CurrentSet/Services/W3SVC/Parameters/Scripts 
Map</p>

<p ALIGN="JUSTIFY">在这里删除以 .BAT 和.CMD开头的关键字，然后重新启动IIS。 
如果没有以 .BAT 和.CMD开头的关键字， 那么就不需要修改。</p>

<p ALIGN="JUSTIFY">　</p>

<p>　</p>

<p ALIGN="JUSTIFY">注意</p>

<p ALIGN="JUSTIFY">注册表编辑器是应该很有用的工具。 
但是不正确地修改了注册表会造成严重的问题， 
甚至使系统完全崩溃。当你修改注册表时应该特别小心。<font
FACE="宋体"></p>

<p ALIGN="JUSTIFY">不要安装FTP和GOPHER服务</font></p>

<p ALIGN="JUSTIFY">安装FTP和GOPHER 会增加被恶意攻击的机会。 
这些服务会在不同方面对攻击者有帮助， 例如， 
使攻击得到有关的系统配置的重要信息， 
或者使攻击者有用野蛮的方法破解用户的ID 和PASSWORD的机会。 例如， 
WINDOWS NT的FTP服务在登陆是被认为是有关WINDOWS NT的服务项目。这就使黑客很容易就发现了你的机器的操作系统的类型和版本。图1.3表示了WINDOWS 
NT 操作系统是如何对任何一个连接者显示系统的信息。</p>

<p>　</p>

<p ALIGN="JUSTIFY">图1.3 WINDOWS NT FTP的反应<font FACE="宋体"></p>

<p><img SRC="../images/Image3.gif" tppabs="http://210.74.168.175/guide/asp/images/Image3.gif" WIDTH="409" HEIGHT="249"></p>

<p>　</p>

<p ALIGN="JUSTIFY">把不必要和危险的程序改名</font></p>

<p ALIGN="JUSTIFY">有几个程序在在WINDOWS NT的安装过程中会被自动地安装。这些应用程序可以帮助那些潜在的攻击者来破坏系统的资源。象PCP.EXE（远程拷贝）和FTP.EXE（FTP 
客户端程序） 应该改名，防止被别人执行。 例如， 把PCP.EXE改成PCP.APP来防止被远程攻击者执行。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体" SIZE="5">　</p>

<p ALIGN="JUSTIFY">计算机的安全配置</font></p>

<p ALIGN="JUSTIFY">好的服务器系统配置就意味着自己有了一个安全的公文包。 
WINDOWS NT 
就提供了一些集成的工具来帮助保护这些重要的信息和检测可疑的活动。</p>

<p ALIGN="JUSTIFY"><font FACE="宋体">　</p>

<p ALIGN="JUSTIFY">]</p>

<p ALIGN="JUSTIFY">文件系统和磁盘分区</font></p>

<p ALIGN="JUSTIFY">WINDOWS NT 支持两种不同的文件系统： FAT和NTFS。 FAT兼容性比较好， 
它可以被DOS和WINDOWS 95访问， 然而NTFS则具有很好的安全性。 NTFS是new 
technology file system 的缩写， 它在好几个方面都具有由于FAT文件系统的功能。 
</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> 由于NTFS 
跟踪了使用的目录和文件的更新，所以它是可恢复的。 
当正在进行数据更新时，如果硬盘或电源出现故障，NTFS也能进行恢复。</p>

<p ALIGN="JUSTIFY"><font FACE="Wingdings">n</font> NTFS 支持热安装。 
它可以在操作系统往坏的物理扇区上存储数据时，进行及时的恢复。 
也就是说， NTFS能使操作系统及时地补救向坏扇区上写的数据，并把它存储到同样大小的另一个地方。</p>