如何构建和配置更加安全的Web站点[1]

摘要：由 Microsoft 工程师使用 Microsoft .NET Framework、Microsoft Windows 2000 Advanced Server、Internet 信息服务 5.0 和 Microsoft SQL Server 2000 构建的 Web 站点，在 eWeek OpenHack 4 竞赛中成功顶住了 82,500 多次攻击，并一举胜出。本文介绍此解决方案的构建和配置方法，并为软件开发人员和系统管理员确保自己的解决方案的安全性提供了最佳方案。（本文包含一些指向英文站点的链接。）

简介
Web 应用程序
Internet 信息服务 (IIS) 5.0
Windows 2000 Advanced Server 操作系统
IP 安全标准 (IPSec) 策略
远程管理与监视
SQL Server 2000
密码
小结
更多信息
简介

eWeek Labs 举行了第四届年度 OpenHack 联机安全性竞赛。此次年度竞赛（这是 Microsoft® 第三次参加此项赛事）旨在通过将系统暴露在 Web 真实而险恶的环境中来测试企业的安全性。eWeek 向 Microsoft 和 Oracle 提供了 Web 应用程序示例，要求双方使用各自的技术重新开发此应用程序。随后，eWeek 又邀请美国各地的计算机用户破坏最终站点的安全性，成功者可领取一定数额的奖金。可接受的破坏包括跨站点的脚本攻击、动态 Web 页面源代码泄漏、破坏 Web 页面、向数据库发送恶意 SQL 命令以及窃取所用数据库中的信用卡数据。

Microsoft 使用 Microsoft® .NET Framework 开发其应用程序。Microsoft® .NET Framework 是一个完整的 Windows 组件，支持构建和运行下一代应用程序和 XML Web Service。此应用程序以 Microsoft® Internet 信息服务 (IIS) 5.0 为宿主，并使用 Microsoft® SQL Server™ 2000 作为其数据库。所有服务器都运行在 Microsoft® Windows® 2000 Advanced Server 操作系统上。（值得注意的是，如果竞赛时已发布带有 IIS 6.0 的 Microsoft® Windows Server 2003，则当时会使用此版本的操作系统。如果使用 Windows Server 2003，则可以省去竞赛中用于“锁定”操作系统和 Web 服务器的几个步骤。）

竞赛结果可以在 http://www.eweek.com/category2/1,3960,600431,00.asp 中找到。总而言之，Microsoft 的解决方案顶住了 82,500 多次攻击。正如它在第一届和第二届 OpenHack 竞赛中表现的一样，Microsoft 安然无恙地从 OpenHack 4 竞赛中胜出。本文将对竞赛中使用的各种技术加以介绍，以说明此解决方案的构建和配置方法，并向确保自己的解决方案安全性的开发人员和系统管理员介绍如何应用这些最佳方案。

Web 应用程序

此应用程序本身模拟 eWeek eXcellence Awards Web 站点。在此站点中，用户可以登记其公司的产品或服务以参与获奖评选。用户可以设置一个帐户，以输入产品或服务进行评选，可以提交信用卡号支付报名费，还可以获取有关奖项本身的信息。Microsoft 使用 .NET Framework 构建其解决方案，.NET Framework 是一个完整的 Windows 组件，用于构建和运行应用程序及 XML Web Service。大多数开发均围绕 Framework 的 ASP.NET、ADO.NET 和加密类库进行，这三项技术提供的功能分别用于构建基于 Web 的应用程序，访问和使用数据，以及加密、解密和确保数据完整性。

窗体身份验证

Microsoft® ASP.NET 类提供了几个用于验证用户身份的选项（即，使用一些凭据，如用户名和密码，来确认给定用户的身份）。这些选项包括集成的 Windows 身份验证、基本身份验证、摘要身份验证、Microsoft® .NET Passport 以及客户证书等。对于每个 eWeek 请求，OpenHack 解决方案选择了基于窗体的或自定义的身份验证。

当用户通过窗体身份验证登录时，系统将创建一个加密的 cookie，用于在整个站点中跟踪用户。（从技术角度而言，cookie 是一个由 Web 站点生成的纯文本字符串，可进入用户的 Web 浏览器内存，用于对浏览站点的用户进行标识。）