到目前為止,我們已介紹了幾種不同的攻擊類型,那么我們能對(duì)這些可惡的攻擊采取什么措施呢?有一個(gè)好消息可以告訴您,您可以采取很多種方法來(lái)保護(hù)自己的服務(wù),而且,這些保護(hù)大都十分簡(jiǎn)單。讓我們首先來(lái)看一看只需控制 web 服務(wù)器和后端服務(wù)器的配置方法就可以實(shí)現(xiàn)的保護(hù)類型。 應(yīng)采取許多重要的保護(hù)措施確保您的 web 服務(wù)器不會(huì)受到攻擊的破壞,包括一些眾所周知的措施,如確保具有最新的安全性更新。下面列出了自我保護(hù)措施中最重要的步驟。其中的許多步驟并不特別針對(duì)托管 web 服務(wù),而是適用于所有的 web 服務(wù)器托管內(nèi)容。
安裝安全性更新
首先,確保您具有最新的更新,以避免受到紅色代碼蠕蟲病毒的攻擊。可以在 installing the patch that stops the code red worm(英文)中找到有關(guān)安裝更新的說(shuō)明和下載修補(bǔ)程序的鏈接。 對(duì)紅色代碼蠕蟲病毒的修復(fù)以及其他修復(fù)最終會(huì)包含在 microsoft® windows® 2000 的下一個(gè)服務(wù)包中,并已在 microsoft® windows® xp 中得到解決。 當(dāng)然,更大的問(wèn)題是如何避免其他潛在的弱點(diǎn),并保護(hù)自己免受將來(lái)可能出現(xiàn)的問(wèn)題的侵害。有關(guān) microsoft 產(chǎn)品安全問(wèn)題的信息,可以訂閱“microsoft 安全性通知列表”。對(duì)于出現(xiàn)的任何新問(wèn)題,都將以電子郵件的形式通知訂閱者。有關(guān)如何訂閱的說(shuō)明,請(qǐng)查看 product security notification(英文)網(wǎng)頁(yè)。
限制 web 服務(wù)器的訪問(wèn)者
如果您對(duì)攻擊的問(wèn)題很關(guān)注,尤其是如果您的 xml web 服務(wù)上包含私有信息,那么您應(yīng)限定僅合法的用戶可以訪問(wèn)您的站點(diǎn)。這可以用多種方法來(lái)實(shí)現(xiàn),但下面講述的幾種方法可以防止黑客訪問(wèn)您的 xml web 服務(wù)。
通過(guò)使用 http 身份驗(yàn)證來(lái)對(duì)用戶進(jìn)行驗(yàn)證,然后限定他們可以訪問(wèn)哪些資源。身份驗(yàn)證的配置方法:用鼠標(biāo)右鍵單擊 internet 服務(wù)管理器中的 web 站點(diǎn)、虛擬目錄或單個(gè)文件;從彈出菜單中選擇“屬性”;進(jìn)入“目錄安全性”選項(xiàng)卡,單擊“匿名訪問(wèn)和身份驗(yàn)證控制”下面的“編輯”按鈕。
限定可以訪問(wèn)您的 web 服務(wù)器的 ip 地址。如果有一些可以使用您站點(diǎn)的合法用戶,那么可以只允許這些用戶的特定 ip 地址訪問(wèn)您的 web 站點(diǎn)。您還可以限定某些 ip 地址范圍具有訪問(wèn)權(quán)限,或拒絕某個(gè) ip 地址或某個(gè) ip 地址范圍的訪問(wèn)權(quán)限。甚至可以根據(jù)域名進(jìn)行限定,但在與您計(jì)算機(jī)連接的 ip 地址上,可能需要花費(fèi)很長(zhǎng)的時(shí)間來(lái)進(jìn)行域名查找。修改 ip 地址限制的方法:轉(zhuǎn)至步驟 1 中提到的“目錄安全性”選項(xiàng)卡,單擊“ip 地址及域名限制”下面的“編輯”按鈕。圖 1 顯示了“ip 地址及域名限制”對(duì)話框,其中將訪問(wèn)權(quán)限限制為三個(gè)特定的 ip 地址。
計(jì)算機(jī)上運(yùn)行的軟件越多,就越有可能受到攻擊,尤其是在您作為某種具有較高權(quán)限的用戶運(yùn)行服務(wù)的時(shí)候更是如此。如果您的計(jì)算機(jī)專門運(yùn)行 web 服務(wù),且 web 服務(wù)獨(dú)立于其他服務(wù),那么應(yīng)在您的計(jì)算機(jī)上禁用其他某些服務(wù),包括 ftp 服務(wù)、smtp 服務(wù)以及諸如終端服務(wù)客戶端等的 windows 服務(wù)。 也應(yīng)限制可通過(guò) internet information server 運(yùn)行或訪問(wèn)的軟件數(shù)量。確保僅配置了您需要的虛擬站點(diǎn)和目錄。首先,應(yīng)該刪除管理 web 站點(diǎn)。其次,還應(yīng)該刪除 iissamples 虛擬目錄。同樣,如果您的計(jì)算機(jī)專門運(yùn)行 web 服務(wù),應(yīng)刪除其他任何虛擬目錄。 即便對(duì)于已經(jīng)安裝某些軟件的虛擬目錄,也必須弄清楚哪種軟件是訪問(wèn)您的 web 站點(diǎn)時(shí)可以使用的。在 internet 服務(wù)管理器中,用鼠標(biāo)右鍵單擊某個(gè)站點(diǎn)或虛擬目錄,從所出現(xiàn)的菜單中選擇“屬性”,選擇“虛擬目錄”選項(xiàng)卡,然后單擊“配置”按鈕,將出現(xiàn)“應(yīng)用程序映射”選項(xiàng)卡,其中列出了與不同的 isapi 擴(kuò)展或 cgi 應(yīng)用程序相關(guān)聯(lián)的所有擴(kuò)展。如果您沒(méi)有使用這些擴(kuò)展,請(qǐng)將它們從列表中刪除。.idq 文件的索引服務(wù)器擴(kuò)展自身存在錯(cuò)誤,紅色代碼蠕蟲病毒就利用了這個(gè)錯(cuò)誤。如果您是在虛擬站點(diǎn)級(jí)進(jìn)行此項(xiàng)更改,那么您不需要為所創(chuàng)建的每個(gè)虛擬目錄都進(jìn)行此項(xiàng)工作。
使用 microsoft internet information server 安全性核對(duì)表
microsoft 為 internet information server 4.0 創(chuàng)建了一個(gè)安全性核對(duì)表,其中除了我在本文中提到的所有安全事項(xiàng)以外,還提到了其他更多的安全事項(xiàng)。使用此核對(duì)表來(lái)確保您至少已經(jīng)考慮了所有的安全性選項(xiàng)。雖然您運(yùn)行的可能不是 internet information server 4.0(5.0 版是隨 windows 2000 一起發(fā)布的版本),但本文中的大多數(shù)步驟仍然適用,而且,對(duì)于將來(lái) internet information server 版本,也仍然適用。可以從 microsoft internet information server 4.0 security checklist(英文)中找到此核對(duì)表。
總結(jié)
根據(jù)您計(jì)算機(jī)和網(wǎng)絡(luò)配置的不同,會(huì)有多種保護(hù)措施,您應(yīng)采取相應(yīng)的措施保護(hù)您的 web 服務(wù)器免受黑客攻擊。在下一篇專欄文章中,我們將研究開發(fā)人員和設(shè)計(jì)人員在創(chuàng)建其 xml web service 時(shí)需注意的問(wèn)題,并繼續(xù)探討保護(hù)您的 xml web service 免受黑客攻擊的方法。
at your service matt powell 是 msdn architectural samples team 的成員,他幫助開發(fā)了最新的 soap toolkit 1.0。matt 的其他成就包括與他人合著了由微軟出版社出版的《running microsoft internet information server》一書以及為各種雜志撰寫了大量的文章。他有一個(gè)幸福美滿的家庭,是他每天眷戀的地方。
