2022年虚拟主机系统建设方案 .pdf

虚拟主机平台项目建设方案V1. 0内蒙古电信有限公司名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 2 - 目录1.编制说明 . - 3 -1.1 目的 . - 3 -1.2 引用标准和文献. - 3 -1.3 解释权 . - 3 -1.4 名词术语 . - 3 -2.网络拓扑结构. - 4 -3.硬件配置清单. - 4 -4.硬件费用清单. - 5 -4. 1 各项报价 . - 5 -4.2 实施计划 . - 5 -名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 3 - 1.编制说明1.1 目的从硬件配置、业务组织等角度说明虚拟主机业务的建设方案。1.2 引用标准和文献1.3 解释权本规范由中国电信集团编写，本规范的解释权属于中国电信集团。1.4 名词术语序号名称描述1.虚拟主机虚拟主机，是在网络服务器上划分出一定的磁盘空间供用户放置站点、应用组件等，提供必要的站点功能与数据存放、传输功能。所谓虚拟主机，也叫“ 网站空间 ” 就是把一台运行在互联网上的服务器划分成多个“ 虚拟 ” 的服务器，每一个虚拟主机都具有独立的域名和完整的Internet 服务器（支持WWW 、FTP、E-mail 等）功能。一台服务器上的不同虚拟主机是各自独立的，并由用户自行管理。但一台服务器主机只能够支持一定数量的虚拟主机，当超过这个数量时，用户将会感到性能急剧下降。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 4 - 2.网络拓扑结构internetInternet虚拟主机服务器服务器预留预留预留网络用户Cisco pix525网络拓扑结构图此方案采用双防火墙与Internet 连接， 两个防火墙做成主备方式，交换机 A 上连接虚拟主机服务器，要求交换机是三层交换机。3.硬件配置清单以下配置清单为参考配置，最终配置方案电信确认为准。服务器 ( 机架式 ) 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 5 - 设备名称数量建议配置软件配置虚拟主机服务器1 CPU ：至强四核5504Windows 2003 企业版Windows 2003 sp1 IIS Microosoft SQL Server 2005中文标准版内存：SDRAM 8GB硬盘： 146G(SAS)*4网卡：至少两个10/100/1000 自适应以太网口4.硬件费用清单4. 1 各项报价设备名称报价R710 至强四核5504(2.0G)/8G/146G(SAS)*4/RAID6/DVD/三年2U 25000 元Windows Server 2003 R2中文标准版 10U FPP 彩包12271 元Microosoft SQL Server 2005中文标准版 (15 用户 ) 30000 元杀毒软件300 元虚拟主机管理软件（前期可以不上）总计：68071元4.2 实施计划以建立一个站点 为例，说明虚拟主机配置流程。（1）一、建立Windows 用户为每个网站单独设置windows 用户帐号cert，删除帐号的User 组，将cert 加入Guest 用户组。将用户不能更改密码，密码永不过期两个选项选上。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 6 - （2）二、设置文件夹权限1、设置非站点相关目录权限Windows 安装好后，很多目录和文件默认是everyone 可以浏览、查看、运行甚至是可以修改的。这给服务器安全带来极大的隐患。这里列出在入侵中较常用的目录。C： ；D： ； C:perl C:temp C:Mysql c:php C:autorun.inf C:Documents and setting 开始菜单程序 开始菜单程序 启动C:Documents and SettingsAll UsersDocuments C:Documents and SettingsAll UsersApplication DataSymantec C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhere C:WINNTsystem32config C:winntsystem32inetsrvdata C:WINDOWSsystem32inetsrvdata C:Program Files C:Program FilesServ-U c:Program FilesKV2004 c:Program FilesRisingRA V C:Program FilesRealServer C:Program FilesMicrosoft SQL server C:Program FilesJava Web Start 以上这些目录或文件的权限应该作适当的限制。如取消Guests 用户的查看、修改名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 7 - 和执行等权限。2、设置站点相关目录权限：A、设置站点根目录权限：将刚刚建立的用户cert 给对应站点文件夹，假设为D：cert 设置相应的权限：Adiministrators 组为完全控制； cert 有读取及运行、列出文件夹目录、读取，取消其它所有权限。B、设置可更新文件权限：经过第1 步站点根目录文件夹权限的设置后，Guest 用户已经没有修改站点文件夹中任何内容的权限了。这显然对于一个有更新的站点是不够的。这时就需要对单独的需更新的文件进行权限设置。当然这个可能对虚拟主机提供商来说有些不方便。客户的站点的需更新的文件内容之类的可能都不一样。这时，可以规定某个文件夹可写、可改。如有些虚拟主机提供商就规定，站点根目录中uploads 为 web 可上传文件夹，data或者 database为数据库文件夹。这样虚拟主机服务商就可以为客户定制这两个文件夹的权限。当然也可以像有些做的比较好的虚拟主机提供商一样，给客户做一个程序，让客户自己设定。可能要做到这样，服务商又得花不小的钱财和人力哦。三、配置 IIS 本文就几个特殊之处或需要注意的地方提出以下建议。1、主目录权限设置：这里可以设置读取就行了。写入、目录浏览等都可以不要，最关键的就是目录浏览了。除非特殊情况，否则应该关闭，不然将会暴露很多重要的信息。这将为黑客入侵带来方便。其余保留默认就可以了。2、应用程序配置： 在站点属性中， 主目录这一项中还有一个配置选项，点击进入。在应用程序映射选项中可以看到，默认有许多应用程序映射。将需要的保留，不需要的全部都删除。在入侵过程中，很多程序可能限制了asp，php 等文件上传，但并不对cer，asa等文件进行限制，如果未将对应的应用程序映射删除，则可以将 asp 的后缀名改为cer 或者 asa后进行上传， 木马将可以正常被解析。这也往往被管理员忽视。另外添加一个应用程序扩展名映射，可执行文件可以任意选择，后缀名为 .mdb。这是为了防止后缀名为mdb 的用户数据库被下载。3、目录安全性设置：在站点属性中选择目录安全性，点击匿名访问和验证控制，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 8 - 选择允许匿名访问，点击编辑。如下图所示。删除默认用户，浏览选择对应于前面为 cert 网站设定的用户，并输入密码。可以选中允许IIS 控制密码。这样设定的目的是为了防止一些像站长助手、海洋等木马的跨目录跨站点浏览，可以有效阻止这类的跨目录跨站入侵。4、 可写目录执行权限设置：关闭所有可写目录的执行权限。由于程序方面的漏洞，目前非常流行上传一些网页木马，绝大部分都是用web 进行上传的。由于不可写的目录木马不能进行上传，如果关闭了可写目录的执行权限，那么上传的木马将不能正常运行。可以有效防止这类形式web 入侵。5、处理运行错误： 这里有两种方法， 一是关闭错误回显。IIS 属性 主目录 配置 应用程序调试 脚本错误消息，选择发送文本错误信息给客户。二是定制错误页面。在IIS 属性 自定义错误信息，在http 错误信息中双击需要定制的错误页面，将弹出错误映射属性设置框。消息类型有默认值、URL 和文件三种，可以根据情况自行定制。这样一方面可以隐藏一些错误信息，另外一方面也可以使错误显示更加友好。四、配置 FTPFtp 是绝大部分虚拟主机提供商必备的一项服务。用户的站内文件大部分都是使用 ftp 进行上传的。目前使用的最多的ftp 服务器非Serv-U 莫属了。这里有几点需要说明一下。1、管理员密码必须更改如果入侵爱好者们肯定对Serv-U 提权再熟悉莫过了。这些提权工具使用的就是Serv-U 默认的管理员的帐号和密码运行的。因为 Serv-U 管理员是以超级管理员的身份运行的。如果没有更改管理员密码，这些工具使用起来就再好用不过了。如果更改了密码，那这些工具要想正常运行，那就没那么简单喽。得先破解管理员密码才行。2、更改安装目录权限Serv-U 的默认安装目录都是everyone 可以浏览甚至可以修改的。安装的时候如果选择将用户信息存储在ini 文件中， 则可以在ServUDaemon.ini 得到用户的所有信名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 9 - 息。如果 Guests 有修改权限，那么黑客就可以顺利建立具有超级权限的用户。这可不是一件好事。所以在安装好Serv-U 之后， 得修改相应的文件夹权限，可以取消 Guests用户的相应权限。五、命令行相关操作处理1、 禁止 guests 用户执行 com.exe： 我们可以通过以下命令取消guests执行 com.exe的权限cacls C:WINNTsystem3Cmd.exe /e /d guests 。2、禁用 Wscript.Shell 组件：Wscript.Shell 可以调用系统内核运行DOS 基本命令。可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTWscript.Shell 及改名为其它的名字。将两项clsid 的值也改一下项目的值和项目的值，也可以将其删除。3、禁用 Shell.Application 组件Shell.Application 也可以调用系统内核运行DOS 基本命令。 可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application 及HKEY_CLASSES_ROOTShell.Application.1 改 名为其 它的 名 字。将项目的值项目的值更改或删除。同时，禁止Guest 用 户 使 用shell32.dll来 防 止 调 用 此 组 件 。 使 用 命 令 ： cacls C:WINNTsystem32shell32.dll /e /d guests 4、FileSystemObject 组件FileSystemObject 可以对文件进行常规操作可以通过修改注册表，将此组件改名，来防止此类木马的危害。对应注册表项为。可以禁止guests用户使用或直接将其删除。考虑到很多的上传都会使用到这个组件，为了方便，这里不建议名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 10 页 - - - - - - - - - 虚拟主机建设方案- 10 - 更改或删除。5、禁止 telnet 登陆在 C:WINNTsystem32目录下有个login.cmd 文件，将其用记事本打开，在文件末尾另取一行，加入exit 保存。这样用户在登陆telnet 时，便会立即自动退出。注：以上修改注册表操作均需要重新启动WEB 服务后才会生效。六、关闭文件共享系统默认是启用了文件共享功能的。我们应给予取消。在控制面板网络和拨号连接 本地连接 属性，在常规选项种，取消Microsoft 网络文件和打印共享。服务最少原则是保障安全的一项重要原则。非必要的服务应该给予关闭。系统服务可以在控制面板 管理工具 服务中进行设定。七、端口设置端口窗体底端就是门，这个比喻非常形象。如果我们服务器的所有端口都开放的话，那就意味着黑客有好多门可以进行入侵。所以我个人觉得，关闭未使用的端口是一件重要的事情。在控制面板 网络与拨号连接 本地连接 属性Internet 协议（ TCP/IP ）属性，点击高级，进入高级TCP/IP 设置，选择选项，在可选的设置中选择TCP/IP 筛选，启用TCP/IP 筛选。添加需要的端口，如21、80 等，关闭其余的所有未使用的端口。八、关注安全动态及时更新漏洞补丁更新漏洞补丁对于一个网络管理员来说是非常重要的。更新补丁，可以进一步保证系统的安全。九、关闭非必要服务类似 telnet 服务、远程注册表操作等服务应给予禁用。同时尽可能安装最少的软件。这可以避免一些由软件漏洞带来的安全问题。有些网管在服务器上安装QQ，利用服务器挂QQ，这种做法是极度错误的。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 10 页 - - - - - - - - -