您的当前位置：首页计算机网络课程设计

计算机网络课程设计

来源：爱go旅游网

课程设计任务书

2009—2010学年第二学期

专业：网络工程学号：姓名：

课程设计名称：计算机网络课程设计设计题目：黄科大WEB服务器安全配置建议报告——远程服务配置完成期限：自 2010 年 5月 31 日至 2010 年 6 月 14 日共 2 周

设计依据、要求及主要内容：

一、课题意义通过将所学的知识进行综合，对windows server 2003进行分析，从windows“远程访问”、windows防火墙、telnet、MS SQL漏洞等方面分析，提出一个比

较适合“黄科大”WEB服务器在网络安全配置方面的建议书。二、课题实现方法

本课题以Windows server 2003为平台，通过对Windows远程访问、Windows防火墙的的设置，以及对远程登录telnet的配置，并对MS SQL漏洞进行解决，从而得到适合黄河科技学院的安全设置的WEB

服务器。

三、设计内容

1．安装Windows server 2003系统并对系统进行简单的管理与配置

2．在Windows server 2003下对WEB服务器进行简单的搭建 3．对Windows远程访问进行分析与构建 4．Windows 防火墙的配置和启用 5. telnet 服务的基本介绍与基本配置

6. 关于MS SQL漏洞方面问题的解决四、设计要求

1、配置Windows server 2003下，适合黄科大的WEB服务器 2、对Windows远程访问进行设置，提高服务器的安全性能； 3、开启Windows 防火墙，进一步完善安全系统； 4、关于telnet方面的配置； 5、解决MS SQL的漏洞问题。五、参考文献

[1] 谢希仁.计算机网络（第五版）.电子工业出版社，2009. [2] 袁德明，乔月圆.计算机网络安全.电子工业出版社，2007. [3] Michael Cross，Jeremy Faircloth等（著），贾军保（译）.网络安全保护.科学出版社，2009.

[4] 张仕斌，陈麟，方睿.网络安全基础教程.人民邮电出版社，2009. [5] 石淑华，池瑞楠.计算机网络安全技术（第2版）.人民邮电出版社，2008. [6] 中国电脑教育报

指导教师（签字）：教研室主任（签字）：批准日期：年月日

摘要

在Windows server 2003平台上安装IIS，并且对WEB服务器进行简单的搭建与配置，使之可以实现服务器的功能，进行运行。在此基础上，对该WEB服务器进行关于Windows远程访问、防火墙、telnet以及MS SQL等方面的配置。

本课题的服务器安全配置是针对与黄河科技学院进行的，围绕黄科大的特点进行有针对性的安全设置，从而提高该服务器的安全性能关键词：IIS；web服务器；安全配置

1 课题意义 ........................................................................................................1 2 课题所需安装与配置内容 ..............................................................................1 3 课题实现方法 ................................................................................................1

3.1 WINDOWS SERVER 2003的安装与配置 ...............................................................1 3.2 对WEB服务器进行简单的搭建 .......................................................................1 3.3 WINDOWS远程访问分析 .................................................................................2 3.3.1 安装远程管理(HTML)组件.......................................................................2 3.3.2 主要的远程处理威胁 .............................................................................2 3.3.3 网络侦听 .............................................................................................3 3.3.4 参数操作 .............................................................................................3 3.3.5 序列化 ................................................................................................4 3.4 防火墙的配置 .............................................................................................4 3.5 TELNET的安全配置 ......................................................................................5 3.5.1 严密设置加强帐户安全 ..........................................................................5 3.5.2 安全登录服务器 ...................................................................................6 3.6 MS SQL漏洞的解决 ......................................................................................7

总结 ................................................................................................................. 10 参考文献.......................................................................................................... 11

课程设计书

1、课题意义

本课题以Windows server 2003系统为平台，通过在此平台上搭建适合黄河科技学院的WEB服务器，并且对服务器进行一系列的设置与调制，例如Windows远程访问，防火墙，telnet以及MS SQL漏洞等方面，从而使服务器的安全性能得到保障。

通过此课题，也使的网络安全的重要性在我们中间得到进一步的重视。

2、课题所需安装与配置内容

Windows server 2003系统的安装与配置；WEB服务器的简单构建；Windows远程组件的配置；防火墙设置；telnet；MS SQL漏洞的解决；WEB服务器的总体构建。错误！未找到引用源。

3、课题实现方法

3.1、WINDOWS SERVER 2003的安装与配置

装入Windows server 2003的光盘或通过其他方式，按照提示进行对系统的安装，经过一段时间后，会自动完成对系统的安装。然后开始启用并配置文件服务。Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”，启动该工具之后，可以看到当前服务器上启用的所有服务，并可对这些服务进行管理。

点击该界面上的“添加或删除角色”链接，将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤，在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”，开始启用和配置文件服务的过程。按照提示进行对文件服务的管理就可以了。

3.2、对WEB服务器进行简单的搭建

1. 网站基本配置。在“默认网站”的右键菜单中选择“属性”进入“默认网站属性”窗口，在“网站”选项卡上的“描述”里可以为网站取一个标示名称，如果本机分配了多个 IP 地址，则要在IP 地址框中选择一个赋予此Web站点的IP地址;然后进入“主目录”选项卡中指定网站Web内容的来源并在“文档”中设置好IIS默认启动的文档。单击“应用”按钮后就可以使用http://127.0.0.1来验证网站了。

第1页共11页

课程设计书

2. 网站性能配置。进入“性能”选项卡，在这里可以对网站访问的带宽和连接数进行限定，以更好地控制站点的通信量，如果是多站点服务器，通过对一个站点的带宽和连接数可以放宽对其他站点访问量的和为其他站点释放更多的系统资源。(提示:在实际的限定操作中我们要根据网络通信量和使用变化情况进行调整。)

3. 网站的安全性配置。为了保证Web网站和服务器的运行安全，可以在“目录安全性”选项卡上为网站进行“身份验证和访问控制”、“IP地址和域名”的设置，不过如果没有别的要求一般采用默认设置就可以了。 3.3、WINDOWS远程访问分析 3.3.1、安装远程管理(HTML)组件

要想使用远程维护功能，必须安装远程管理(HTML)组件。点击“开始→设置→控制面板”选项，接着运行“添加或删除程序”，在弹出的窗口中切换到“添加/删除Windows组件”页。

在“Windows组件向导”对话框中依次进入“应用程序服务器→Internet信息服务(IIS)→万维网服务”选项，选中“远程管理(HTML)”组件，最后点击“确定”按钮，就开始对此组件进行安装配置。 3.3.2、主要的远程处理威胁

1.未授权访问

提供敏感或者受限信息的远程组件应该对其调用方进行身份验证和授权，以防止未授权的访问。脆弱的身份验证和授权会被人加以利用，以获得对敏感信息和操作进行未授权访问的权限。

2.缺陷

会导致远程处理解决方案容易受到未授权的访问威胁的缺陷包括：

没有应用程序级身份验证，因为使用了自定义 Windows 服务宿主；没有 IPSec 策略对哪些计算机可与寄宿远程组件的中间层应用程序服务器通信进行；没有基于角色的授权；没有文件授权对远程处理终结点的访问；信任从客户端传递而来的 IPrincipal 对象。

3.对策

第2页共11页

课程设计书

可以实现的防止未授权访问的对策包括：

确保前端 Web 应用程序对客户端进行身份验证和授权，使用 IPSec 策略与中间层应用程序服务器的通信。这些措施确保只有 Web 服务器可直接访问中间层应用程序服务器；使用 ASP.NET 寄宿远程组件，并使用 Windows 身份验证对远程组件的访；使用 ASP.NET FileAuthorizationModule。这要求创建一个物理文件（.rem 或者 .soap）并对其进行特定的配置以匹配远程处理终结点；使用基于角色的授权对远程组件、远程组件类和方法的访问。这可以使用 URL 授权控制对远程处理终结点（.rem 或者 .soap）的访问或者在类级或者方法级通过使用主体–权限要求实现；不要信任从客户端传递而来的 IPrincipal 对象，除非客户端是可信的。通常在使用 IPSec 客户端计算机范围时才会出现这种情况。 3.3.3、网络侦听

通过网络侦听，一个攻击者能够在通过网络向远程组件发送消息和接收来自远程组件的消息时查看请求和响应消息。例如，攻击者可使用网络监视软件检索敏感数据。其中可能包括敏感的应用程序级数据或者凭据信息。

1.缺陷

网络侦听可能导致安全性损害的缺陷包括：

在未加密通信信道上使用基本身份验证；未使用传输级加密；未使用应用程序级加密 2.对策

可以实现的防止成功的网络侦听攻击的对策包括：

使用传输级加密（如 SSL 或者 IPSec）。SSL 只能在使用 ASP.NET 宿主和 HttpChannel 时采用。IPSec 可用于自定义宿主和 TcpChannel；加密应用程序级请求以提供私密性，例如，可以创建一个自定义加密接收器以对整个消息负载的一部分进行加密。 3.3.4参数操作

所谓参数操作是指对客户端和远程组件之间发送的数据进行未授权的修改。例如，攻击者可通过在消息传输途中进行侦听，操作发往远程组件的请求消息。

1.缺陷

可能导致参数操作的缺陷包括：

第3页共11页

课程设计书

消息没有进行数字签名以提供防篡改功能；消息没有进行加密以提供私密性和防篡改 2.对策

防止成功的参数操作可以实现的对策包括：

对消息进行数字签名。数字签名可用于在接收端验证消息是否没有在传递途中被篡改；加密消息负载以提供私密性和防篡改。 3.3.5序列化

所谓序列化是指这样一个过程：将对象的内部状态转换为一个展开的字节流。远程处理基础结构使用 .NET Framework 的序列化服务在客户端和服务器之间传递对象。恶意代码有可能向服务器插入一个已序列化数据流，以强制它执行不期望的操作。例如，恶意的客户端代码可初始化一个对象，当它在服务器上反序列化时，会导致服务器使用服务器资源或者执行恶意代码。

1.缺陷

可能导致序列化攻击成功实施的主要缺陷，来自这样的事实：服务器信任已序列化的数据流，而且未能验证从流中返回的数据。

2.对策

防止成功序列化攻击的对策是当它在服务器上反序列化时验证每一项数据。验证每个字段的类型、长度、格式和范围。 3.4、防火墙的配置

Windows 2003 Internet连接防火墙能够管理服务端口，例如HTTP的80端口、FTP的21端口等，只要系统提供了这些服务，Internet连接防火墙就能够监控并管理这些端口。 1.标准服务的配置

我们以Windows 2003服务器提供的标准Web服务为例（默认端口80），操作步骤如下：在界面中单击[配置]按钮，出现“服务配置”对话框；在“服务配置”对话框中，选中“Web服务器（HTTP）”复选项，单击[确定]按钮。配置好后，网络用户将无法访问除Web服务外本服务器所提供的的其他网络服务。

2.非标准服务的配置

在“服务配置”对话框中，单击[添加]按钮，出现“服务添加”对话框，在此对话框中，

第4页共11页

课程设计书

填入服务描述、IP地址、服务所使用的端口号，并选择所使用的协议（Web服务使用TCP协议，DNS查询使用UDP协议），最后单击[确定]。配置完成后，网络用户能够通过8000端口访问相应的服务，而对没有经过授权的TCP、UDP端口的访问均被隔离。

3.防火墙安全日志配置

在“服务配置”对话框中，选择“安全日志”选项卡，出现“安全日志配置”对话框，选择要记录的项目，防火墙将记录相应的数据。日志文档默认路径为C:\\Windows\\Pfirewall.log，用记事本能够打开。所生成的安全日志使用的格式为W3C扩展日志文档格式，能够用常用的日志分析工具进行查看分析。 3.5、TELNET的安全配置 3.5.1、严密设置加强帐户安全

1、帐户改名

Administrator和guest是Server 2003默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器。对此，我们可以通过为其改名进行防范。

administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如gslw即可。

guest改名：作为服务器一般是不开启guest帐户的，但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击，改名方法和administrator一样，在上面的组策略项下找到“帐户：重命名来宾帐户”，然后在其中输入新的名称即可。

2、密码策略

密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。

对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法：执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。

第5页共11页

课程设计书

需要说明的是，“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改。

3、帐户锁定

当服务器帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?

其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：

在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受。大家可以根据自己的安全策略进行设置，比如设置为5。 3.5.2、安全登录服务器

1、远程桌面

远程桌面是比较常用的服务器管理方式，但是开启“远程桌面”就好像系统打开了一扇门，人可以进来，苍蝇蚊子也可以进来。所以要做好安全措施。

(1).用户

点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

(2).更改端口

远程桌面默认的连接端口是33，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行，打开注册表编辑器，定位到如下注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

第6页共11页

课程设计书

分别将其右侧PortNumber的值改为其它的值比如9833，需要说明的是该值是十六进制的，更改时双击PortNumber点选“十进制”，然后输入9833。

2、telnet连接

telnet是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

(1).修改端口

本地修改2003服务器的telnet端口方法是:“开始→运行”输入cmd打开命令提示符，然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口，为了避免端口冲突不用设置成已知服务的端口。)

(2).用SSH替代Telnet

SSH(Secure Shell)，它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时，用户名和密码均进行了加密，这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面，同时也可以在命令行(shell)下进行操作。

3.6、 MS SQL漏洞的解决

1，网站存在上传漏洞；虽然，上传文件需要管理员身份验证，也对上传文件进行了文件格式的认证，但管理员身份验证采用了cookies，而cookies是可以被伪造的，而且如果上传了图片后，不对该文件的内容采取任何判断的话，那么图片木马也很有可能被上传。

解决措施：1 删除上传文件功能（不太实际）；2 修改上传用户验证为session验证；3 对上传后的文件内容进行验证，如果是图片木马，则删除；可以参考以下的验证代码：

”===============判断上传文件是否含非法字符串start================ set MyFile = server.CreateObject(”Scripting.FileSystemObject”)

set MyText = MyFile.OpenTextFile(Server.mappath(filePath), 1) ‘读取文本文件 sTextAll = lcase(MyText.ReadAll) MyText.close

第7页共11页

课程设计书

set MyFile = nothing sStr=

”

set filedel = server.CreateObject(”Scripting.FileSystemObject”) filedel.deletefile Server.mappath(filePath) set filedel = nothing

Response.Write(””) Response.End end if next

”=================判断上传文件是否含非法字符串end===================

2，网站存在Cookies注入漏洞；由于程序设计中，为了考虑到减小服务器的开销，所有用户登陆后采用cookies验证，这个cookies里保存了用户的 ID 和 NAME ，而众所周知，cookies是经常被黑客伪造的，这是其一；另外，某些外部参数没有采用严格的 request.form 和 request.querystring 来获取内容，为了简便，采用了 request(“id”) 这样的方式。

我们知道，ASP 的request 是先从form、querystring里获取内容，如果这两个为空，则要从cookies里获取内容，大家往往在程序设计中考虑到了 request.form 和 request.querystring 的SQL注入，所以一般都会过滤 request.form 和 request.querystring进行sql注入；但却偏偏忘了过滤cookies方式下的注入。我们来看下下面这样的sql语句：

SQL=”select * from 表名 where id=”&request(”id”)

如果这个 id 恰巧是通过cookies来获取值的，那么想想，这是一件多么可怕的事啊！注入者可以轻松的伪造一个名为 id 的虚假 cookies ，因为这个 id 的cookies 是服务器分配给它的。这个cookies可以被伪造成类似下面这样的一段代码：这是利用HEX的方式进行SQL注入，可以绕过一般的IDS验证，只要系统存在SQL注入，上面的代码将会被

第8页共11页

课程设计书

执行，通过游标遍历数据库中的所有表和列并在列中插入js代码。

解决办法：1 严格过滤 request.form 和 request.querystring 获取的内容，坚决

不用 request(”name”) 这样的方式获取值，凡是采用 cookies 保存的内容，尽量不要用在sql语句里进行查询数据库操作；2 重要的用户资料尽量采用 session 验证，因为session是服务器端的，客户端无法伪造数据，除非他有你服务器的权限。

第9页共11页

课程设计书

总结

本次课程设计的主要任务是建立一个安全性能较高的黄科大WEB服务器，通过本次课程设计，我对Windows server 2003系统的web服务器配置有了进一步的了解，并且掌握了WEB服务器所暴露出来的一系列的漏洞问题，例如远程访问以及防火墙的配置等，对于telnet服务的安全性能设置也有了初步的掌握，而且可以针对MS SQL的漏洞作出较为理想的应对与处理。但是，值得注意的是，这仅仅是一个校园网的服务器安全配置问题，如果对于更为重要的机密性更强的公司或者机构来说，还需要有针对性的进行进一步的对安全性能进行完善，从而达到稳定实现服务器功能的目的。

通过本次课程设计也看到了在安全问题上的广阔空间，与发展前景，这也给我做出了提示，在今后的学习中可以适当的加强对安全学习。

第10页共11页

课程设计书

参考文献

[1] 谢希仁.计算机网络（第五版）[M].北京：电子工业出版社，2009. [2] 袁德明，乔月圆.计算机网络安全[M].北京：电子工业出版社，2007. [3] Michael Cross，Jeremy Faircloth等（著），贾军保（译）.网络安全保护[M].北京：科学出版社，2009.

[4] 张仕斌，陈麟，方睿.网络安全基础教程[M].北京：人民邮电出版社，2009. [5] 石淑华，池瑞楠.计算机网络安全技术（第2）[M].北京：人民邮电出版社，2008 [6] 中国电脑教育报

第11页共11页

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文