Подготовка и укрепление веб-сервера
Установка компонента
Сервер Microsoft IIS интегрирован с операционной системой Windows 2000. Программа установки одновременно устанавливает Windows 2000 и IIS. Инсталляционная программа упрощает процесс установки, однако не является универсальной. Чтобы выполнить инсталляцию согласно требованиям к защищенности системы, необходимо вручную контролировать этот процесс.
Простота – залог успеха
Защищенный веб-сайт нужно настроить на минимальную конфигурацию. Принцип безопасности, лежащий в основе этого правила, заключается в том, что службы, не являющиеся жизненно необходимыми, представляют собой точки будущих атак хакеров. Поэтому при инсталляции системы следует указать выборочную установку базового набора компонентов, необходимого для функционирования.
Выбор компонентов служб
На рисунке показано окно Windows Components Wizard (Мастер компонентов Windows), предназначенное для выбора компонентов. Если система уже установлена, и требуется добавить или удалить компоненты, щелкните на значке Add/Remove Software Wizard (Мастер установки и удаления программ) в папке Control Panel (Панель управления) Windows 2000.
Ниже приведен полный перечень компонентов и их назначение.
- Accessories and Utilities (Стандартные и служебные программы). Содержат стандартные игры Windows, приложения и утилиты: калькулятор, номеронабиратель, программа рисования, проигрыватель компакт-дисков и т.д. Эти компоненты не являются необходимыми для веб-сервера.
- Certificate Services (Службы сертификатов). Сервер сертификатов используется при создании сертификатов для приложений и служб, обеспечивающих безопасность посредством шифрования с открытым ключом, например, в протоколе защищенных сокетов SSL. Вам могут понадобиться и SSL, и сертифицированные права, но не следует устанавливать этот компонент на веб-сервер. Сервер сертификатов представляет отдельную защищенную систему, так как он подтверждает доверие к другим серверам. Службы сертификатов будут подробно рассматриваться в лекции 8.
- Indexing Information Services (Служба индексации). Индексация представляет собой метод каталогизации хранимых данных и используется для поиска на веб-сайте. Индексация должна выполняться только на диске Windows 2000 NTFS, чтобы соблюдалась безопасность разрешений NTFS. Сервер базы данных использует службы индексации для улучшения производительности, а на веб-сервере они, как правило, не нужны.
- Internet Information Services (Информационные службы интернета). Предназначены для управления веб-сайтом, публикациями или подключением к другим информационным службам в интернете, таким как Web, FTP, новости, электронная почта и т.д. Выберите этот компонент при установке веб-сервера IIS. Для повышения уровня безопасности установите отдельные службы на другой сервер
- Management and Monitoring Tools (Средства управления и наблюдения). Предназначены для слежения за сетью и улучшения ее производительности. Протокол Simple Network Management Protocol (SNMP), используемый для передачи информации с сервера Microsoft в консоль управления SNMP Tivoli (средство управления большими и сложными сетями), не является безопасным. Не используйте SNMP на веб-сервере, если не осуществляется сложное управление, оправдывающее риск нарушения безопасности.
- Message Queuing Services (Службы очереди сообщений). Выполняет работу с сообщениями, используется приложением, асинхронно соединенным с компонентами клиента и сервера или с другими приложениями. При создании собственного веб-приложения на базе IIS этот компонент может понадобиться. Однако его установка вызовет угрозу успешного выполнения атаки, основанной на сообщениях. Если нет необходимости, то не устанавливайте этот компонент.
- Networking Services (Сетевые службы). Содержит набор сетевых служб и протоколов, таких как система имен доменов DNS, протокол динамической конфигурации узла DHCP и прокси-сервер служб интернета. Все эти компоненты нужны для функционирования сети, но их следует устанавливать на другом сервере.
- Other Network File and Print Services (Другие службы доступа к файлам и принтерам сети). Позволяют открывать общий доступ к файлам и принтерам сети для компьютеров, на которых установлена операционная система, отличная от Windows. Эти службы на веб-сервере не нужны, так как веб-протоколы HTML и HTTP совместимы с другими операционными системами.
- Remote Installation Services (Службы удаленной установки). Обеспечивают удаленную установку Windows 2000 Professional на компьютерах-клиентах с возможностью удаленной загрузки. Используются для управления большой и географически протяженной сетью. В этом случае у вас будет широкий выбор других серверов, на которые можно установить данные службы. Не инсталлируйте этот компонент на веб-сервер.
- Remote Storage (Удаленное хранилище). Позволяет серверу Windows 2000 осуществлять копирование файлов на диск или ленточный накопитель для хранения редко используемых файлов. Используется на файловых серверах, хранящих файлы пользователей, занимающих в совокупности большое пространство; он позволяет освободить место на жестких дисках, переместив файлы на отдельный накопитель. Веб-сервер используется для совершенно других целей, вы будете постоянно работать с его содержимым, поэтому данный компонент не понадобится.
- Script Debugger (Отладчик сценариев). Диагностирует неполадки, связанные со сценариями сервера. Используйте его в системе, предназначенной для разработки, но не устанавливайте на веб-сервер.
-
Terminal Services (Службы терминала). Обеспечивает среду терминала, позволяющую серверу Windows 2000 поддерживать многопользовательскую работу клиентов с приложениями Windows. В распределенной сетевой среде службы терминала используются для удаленного управления. Работа этой службы представляет собой опасность, так как она открывает дополнительный порт. О том, как использовать данную службу, соблюдая меры безопасности, говорится в
"Особенности процесса разработки"
. При установке сервера ее следует отключить.
Совет. Не выбирайте компонент Terminal Services Licensing (Лицензирование службы терминала): лицензии предназначены для использования Windows 2000 в качестве удаленного сервера приложений. Службы терминала нужны для удаленного управления, а для его осуществления на веб-сервере данный компонент не требуется.
- Windows Media Services (Службы Windows Media). Осуществляют потоковую передачу мультимедийного содержимого через сеть. Данные доставляются как в "прямом эфире", так и в записанном виде на один или несколько компьютеров одновременно. При использовании этого компонента имейте в виду, что в нем присутствуют слабые места, для устранения которых потребуется настройка безопасности Microsoft (см. "Безопасность FTP, NNTP и других служб IIS" ).
Компоненты IIS
Существует лишь одна служба, действительно необходимая для работы веб-сервера. Это Internet Information Services (IIS) (Информационные службы интернета). IIS состоит из набора компонентов. Если при установке нажать на кнопку Details (Состав) в окне мастера Internet Information Services, появится новое диалоговое окно, показанное ниже, с перечнем всех служб IIS.
В состав IIS входят следующие службы.
- Common Files (Основные файлы). Основные общие файлы, используемые компонентами IIS.
- Documentation (Документация). Документация и справка по IIS.
- File Transfer Protocol (FTP) Server (Сервер протокола передачи файлов). Обеспечивает передачу файлов по протоколу FTP на веб-сервере.
- FrontPage 2000 Server Extensions (Серверные расширения FrontPage 2000). Осуществляют динамическое управление и обновление веб-содержимого с помощью Microsoft FrontPage.
- Internet Information Services Snap-in (Надстройка Internet Information Services). Компонент веб-управления для консоли управления Microsoft Windows 2000 (MMC).
- Internet Services Manager (HTML) (Диспетчер служб интернета). Интерфейс администрирования на базе веб-браузера для управления веб-сервером из удаленного расположения.
- NNTP Service (Служба NNTP). Сервер новостей интернета.
- SMTP Service (Служба SMTP). Протокол передачи сообщений электронной почты, обеспечивающий соединения электронной почты в сетевой среде.
- Visual InterDev RAD Remote Deployment Support (Поддержка удаленного развертывания средства быстрой разработки приложений Visual InterDev RAD). Используется для удаленной разработки приложений.
- World Wide Web Server (Сервер World Wide Web). Обеспечивает поддержку HTTP для доступа браузера к HTML.
При выборе компонента World Wide Web Server программа установки выберет компоненты Internet Information Services и Common Files, так как работа веб-сервера зависит от наличия данных ресурсов. Этого достаточно для работы базового веб-сервера. Обеспечение безопасности работы с другими службами IIS (например, FTP) будет обсуждаться в "Безопасность FTP, NNTP и других служб IIS" , а сейчас рассмотрим принципы работы базового сервера World Wide Web.