《ASP3高级编程》学习资料（讲稿）第二十四章 服务器防护

Chinapub.com 第24章服务器防护 现在应该已经建立了自己的Web应用程序,可以轻松地部署它,然后坐下来休息。但是还 有些因素需要认真考虑。如果恶作剧的黑客闯入了刚刚建立的 Intranet,并把职员的私人信息发 送给公司的每个职员,将会产生什么后果?必须防止这种情况发生。 实际上, Intranet或 Internet上的代码和信息的安全问题,应该是任何一个Web开发者优先 考虑的问题。在 Internet上,即使是不大熟练的黑客使用自动黑客工具攻击一个网站也是一件 很简单的事情。不用关心自己为什么会成为黑客们攻击的目标,但做好防范,至少可以在家 里安稳地睡觉。 安全问题只有一小部分是开发者的责任,其实更应该是开发者和系统管理员共同的责任, 所以这两种人应该详细地阅读本章。开发者和系统管理员应该共同在系统上为雇员和在线顾 客提供可能达到的最高水平的安全。通过服务器各方面的操作,如操作系统、磁盘访问、 Internet协议,防火墙等等,保证你拥有一个安全和具有防护功能的计算机系统。 本章将讨论以下内容 安全的定义 安全策略。 Windows2000的安全防护问题 防火墙和代理服务器 ·IS5.0的安全问题。 · SQL Server7.0和 OBJCONNC安全问题。 ASP应用程序的安全问题。 注意, Window2000的一般管理知识和其安全概念是理解本章的基础 24.1安全的定义 在计算机安全的很多定义中,最适合的定义将其描述为防御攻击、阻止偷窃和未经授权 的泄密行为的能力水平 我们可能从来没有遇到过攻击,更多的时候是某些人试着从系统中窃取一些资料。文档 和计算机资源是黑客的猎物之一。但是更多的黑客从高速的 Internet连接闯入,并利用我们的 服务器和网络在 Internet上攻击其他的网络和系统。黑客不是想对其他公司报复就是想知道他 们是否具有这个能力。 在ASP应用程序范围内,安全是通过使用SSL或其他方法,防止口令和重要信息被泄露。 一些人有足够的理由来窃取这些信息,所以必须保护我们的网站。在网站上,像信用卡号码 那样的重要信息是应重点关注的。例如,在电子商务交易站上,可能有极其重要的信息。 24.1.1 nternet上的安全问题 Internet的安全问题,主要是黑客用各种方法截取基本的数据包数据,使用“不好”的口

下载 第24章 服务器防护 现在应该已经建立了自己的 We b应用程序，可以轻松地部署它，然后坐下来休息。但是还 有些因素需要认真考虑。如果恶作剧的黑客闯入了刚刚建立的 i n t r a n e t，并把职员的私人信息发 送给公司的每个职员，将会产生什么后果？必须防止这种情况发生。 实际上，i n t r a n e t或I n t e r n e t上的代码和信息的安全问题，应该是任何一个 We b开发者优先 考虑的问题。在 I n t e r n e t上，即使是不大熟练的黑客使用自动黑客工具攻击一个网站也是一件 很简单的事情。不用关心自己为什么会成为黑客们攻击的目标，但做好防范，至少可以在家 里安稳地睡觉。 安全问题只有一小部分是开发者的责任，其实更应该是开发者和系统管理员共同的责任， 所以这两种人应该详细地阅读本章。开发者和系统管理员应该共同在系统上为雇员和在线顾 客提供可能达到的最高水平的安全。通过服务器各方面的操作，如操作系统、磁盘访问、 I n t e r n e t协议，防火墙等等，保证你拥有一个安全和具有防护功能的计算机系统。 本章将讨论以下内容： • 安全的定义。 • 安全策略。 • Windows 2000的安全防护问题。 • 防火墙和代理服务器。 • IIS 5.0的安全问题。 • SQL Server 7.0和O B J C O N N C安全问题。 • ASP应用程序的安全问题。 注意，Window 2000的一般管理知识和其安全概念是理解本章的基础。 24.1 安全的定义 在计算机安全的很多定义中，最适合的定义将其描述为防御攻击、阻止偷窃和未经授权 的泄密行为的能力水平。 我们可能从来没有遇到过攻击，更多的时候是某些人试着从系统中窃取一些资料。文档 和计算机资源是黑客的猎物之一。但是更多的黑客从高速的 I n t e r n e t连接闯入，并利用我们的 服务器和网络在 I n t e r n e t上攻击其他的网络和系统。黑客不是想对其他公司报复就是想知道他 们是否具有这个能力。 在A S P应用程序范围内，安全是通过使用 S S L或其他方法，防止口令和重要信息被泄露。 一些人有足够的理由来窃取这些信息，所以必须保护我们的网站。在网站上，像信用卡号码 那样的重要信息是应重点关注的。例如，在电子商务交易站上，可能有极其重要的信息。 24.1.1 Internet上的安全问题 I n t e r n e t的安全问题，主要是黑客用各种方法截取基本的数据包数据，使用“不好”的口

chinaapub.com 第4章原务器防护727 令(很容易猜出的)访问系统,等等。尽管这种威胁看来势不可挡,但可以采取一些方法来保护 安全结构设计较差的网络系统。管理员必须主动地研究所用产品的 Internet安全特性。如果做 好预防工作,就能在 Internet上构建一个安全的系统 测试 ASP Web站点的安全程序的最好方法是,在服务器还在开发阶段而没有正式投入到 Internet之前,自己尝试着闯入破坏它。测试网站是否具有防止“拒绝服务”攻击的能力;测 试所设置的访问控制的综合能力。最好定期访问那些提供最新黑客工具和自动攻击软件的网 站,例如: http://www.rootshell.com http://www.hackers.com http://www.dark-secrets.com 恶意攻击和破坏 最近恶意的在线破坏仿佛要成为一种趋势。这种做法相当标准,攻击者窃取口令或找到 其他的方法进入你的系统,并把你的站点弄得面目全非。幸运的是我们可以很容易地清除 “在线涂改”,并且改变口令以防止重复攻击,但最主要的事情是使自己的口令保密。下一章 将研究加密方法。 破坏者也可以用FTP和 telnet闯入你的系统。因此,除非是必须的,否则就不要提供这些 服务。除非使用第三方软件,否则 Windows2000不支持 telnet和远程控制台访问。所以, Windows2000使用者只需要考虑有关FTP的安全问题。如果服务器是内部的,应该用一个光 盘驱动器或其他形式的介质升级你的网站。从长远观点来看,这种额外的努力是很值得的 2.假冒和IP欺骗 在 Internet上最大的问题之一就是假冒,即攻击者以别人的身份进入你的系统。对于那些 使用IP和用户身份验证的服务器来说,这是个大问题 让我们来研究一下IP。它是TCPP的一部分。IP由四个层次组成,如表24-1所示 表24-1|P的四个层次 端主机( Source host 产生数据包( packet,数据的单位)的主机 源端端口( Source port) 发出数据包的端口 的端主机(D 数据包接收端主机 目的端口( Destination Host) 数据包接收端口 在我们讨论“假冒”问题时,源端主机是需要重点研究的一个层次。它是信息块一也 就是所谓的“包”( packet)-一的来源,是信息的起始端。如果能用自己的数据包假冒源端主 机的数据包,就能使主机相信它们来自被假冒的地址。这种技术就称为“IP欺骗”(IP spoofing)在网络上,攻击者用这种方法伪装成受信任的主机。事实上,大多数拒绝服务攻 击是用这种方法掩盖自己的起始地址 不要完全相信自己的网络是很可靠的,但这不应归责于IP,因为它唯一的目的就是提供4 个层次,使路由器知道向何处发送数据包,没有提供检查的方法。一个反假冒的手段就是使 用防火墙检査数据包是否确实来自它声称的源端主机。虽然对于IP欺骗,防火墙不是万无 失的。但一个法则是配置你的路由器,使其丢弃那些声称来自你的网络的入站数据包。丢弃 声称不是来自你的网络的出站数据包,可以防止自己的职员攻击其他网络

第2 4章 服务器防护计计727 下载 令(很容易猜出的)访问系统，等等。尽管这种威胁看来势不可挡，但可以采取一些方法来保护 安全结构设计较差的网络系统。管理员必须主动地研究所用产品的 I n t e r n e t安全特性。如果做 好预防工作，就能在I n t e r n e t上构建一个安全的系统。 测试ASP We b站点的安全程序的最好方法是，在服务器还在开发阶段而没有正式投入到 I n t e r n e t之前，自己尝试着闯入破坏它。测试网站是否具有防止“拒绝服务”攻击的能力；测 试所设置的访问控制的综合能力。最好定期访问那些提供最新黑客工具和自动攻击软件的网 站，例如： • http://www. r o o t s h e l l . c o m • http://www. h a c k e r s . c o m • http://www. d a r k - s e c r e t s . c o m 1. 恶意攻击和破坏 最近恶意的在线破坏仿佛要成为一种趋势。这种做法相当标准，攻击者窃取口令或找到 其他的方法进入你的系统，并把你的站点弄得面目全非。幸运的是我们可以很容易地清除 “在线涂改”，并且改变口令以防止重复攻击，但最主要的事情是使自己的口令保密。下一章 将研究加密方法。 破坏者也可以用 F T P和t e l n e t闯入你的系统。因此，除非是必须的，否则就不要提供这些 服务。除非使用第三方软件，否则 Windows 2000 不支持 t e l n e t和远程控制台访问。所以， Windows 2000使用者只需要考虑有关 F T P的安全问题。如果服务器是内部的，应该用一个光 盘驱动器或其他形式的介质升级你的网站。从长远观点来看，这种额外的努力是很值得的。 2. 假冒和I P欺骗 在I n t e r n e t上最大的问题之一就是假冒，即攻击者以别人的身份进入你的系统。对于那些 使用I P和用户身份验证的服务器来说，这是个大问题。 让我们来研究一下I P。它是T C P / I P的一部分。I P由四个层次组成，如表2 4 - 1所示。 表24-1 IP的四个层次 层 次 说 明 源端主机(Source Host) 产生数据包( p a c k e t，数据的单位)的主机 源端端口(Source Port) 发出数据包的端口 目的端主机(Destination Host) 数据包接收端主机 目的端口(Destination Host) 数据包接收端口 在我们讨论“假冒”问题时，源端主机是需要重点研究的一个层次。它是信息块—也 就是所谓的“包”( p a c k e t )—的来源，是信息的起始端。如果能用自己的数据包假冒源端主 机的数据包，就能使主机相信它们来自被假冒的地址。这种技术就称为“ I P欺骗” ( I P s p o o f i n g )。在网络上，攻击者用这种方法伪装成受信任的主机。事实上，大多数拒绝服务攻 击是用这种方法掩盖自己的起始地址。 不要完全相信自己的网络是很可靠的，但这不应归责于 I P，因为它唯一的目的就是提供 4 个层次，使路由器知道向何处发送数据包，没有提供检查的方法。一个反假冒的手段就是使 用防火墙检查数据包是否确实来自它声称的源端主机。虽然对于 I P欺骗，防火墙不是万无一 失的。但一个法则是配置你的路由器，使其丢弃那些声称来自你的网络的入站数据包。丢弃 声称不是来自你的网络的出站数据包，可以防止自己的职员攻击其他网络

728s93高缓程 下 3.不要成为攻击者 IP欺骗和假冒能使你的服务器处在危险之中,但这也意味着你的机器能在无意中成为攻 击其他主机的帮凶。其原因相当深奥,但其逻辑非常简单。攻击的前提是目标服务器出现时 正在使用广播ICMP回应请求。它能访问网络上所有机器来ping某一主机。如果攻击者假冒 个主机并将这些回应请求发送到你的网络和另外的一个网络。尽管被假冒的主机实际上没有 请求它们,但两个网络上的所有机器都会回应它。如果你有十台服务器,另一个网络也有同 样多的服务器,这样目标主机就会收到20个不必要的回应数据包,向不知情的网络重复发送 大容量的ICMP回应请求数据包,最终将导致目标服务器断开连接 这就是网络中面临的服务器防护问题。为了防止自己的网络在无意中成为攻击的帮凶, 就要确保你的路由器和计算机不应答广播ICMP回应请求 24.1.2安全策略 系统(网络)管理员应经常做的事情是维护一个最新的安全策略。大多数用户没有认识到交 换口令和他们认为不重要的其他信息能引起系统(或公司)潜在的安全漏洞 通过建立安全策略,管理员可以保护他们的用户和自己的安全。用户应被告知,如果他 们不能执行这个策略,对系统应负的责任和可能产生的潜在问题。同时这个策略也适用于系 统管理员。 安全策略必须落实,并由制定者强制执行。如果用户不能遵守这个策略,应采取相应的 行动。这些规则必须严格执行。 1.安全策略剖析 制定一个策略后,你很快将认识到有比人们预期的多得多的内容要加入到安全策略中。 对整个系统有详尽的规范,覆盖的问题有备份策略、系统访问、维护、软件版本、操作系统 版本和日志文件的检查 为了容易理解,可以把策略分成三部分。 ·用户需求 经理责任 管理员的责任 2.用户需求 在系统上设置一个新的安全策略,对于系统管理员来说是不轻松的。如果在系统安全策 略的严密性上过分苛刻,你将很快就成为所有用户都讨厌的人。另一方面,如果在严密性上 放松要求,这个策略就不能发挥相应的作用。我们的目标是在与用户保持和谐关系的同时 制定一个有效的安全策略 下面的一些问题需要认真考虑的: 用户需要访问哪些系统? 每个用户都需要什么种类的访问?是完全的读写访问还是尽可能少的访问?匿名的用户 怎样使用系统? 什么时间用户可以访问系统?因为大部分的安全问题都发生在工作时间以外,所以限定 时间是一个好办法。 需要用户名和口令验证吗?如果需要,将要制定一些选择口令的规则,这些规则确保不

3. 不要成为攻击者 I P欺骗和假冒能使你的服务器处在危险之中，但这也意味着你的机器能在无意中成为攻 击其他主机的帮凶。其原因相当深奥，但其逻辑非常简单。攻击的前提是目标服务器出现时 正在使用广播I C M P回应请求。它能访问网络上所有机器来 p i n g某一主机。如果攻击者假冒一 个主机并将这些回应请求发送到你的网络和另外的一个网络。尽管被假冒的主机实际上没有 请求它们，但两个网络上的所有机器都会回应它。如果你有十台服务器，另一个网络也有同 样多的服务器，这样目标主机就会收到 2 0个不必要的回应数据包，向不知情的网络重复发送 大容量的I C M P回应请求数据包，最终将导致目标服务器断开连接。 这就是网络中面临的服务器防护问题。为了防止自己的网络在无意中成为攻击的帮凶， 就要确保你的路由器和计算机不应答广播 I C M P回应请求。 24.1.2 安全策略 系统(网络)管理员应经常做的事情是维护一个最新的安全策略。大多数用户没有认识到交 换口令和他们认为不重要的其他信息能引起系统 (或公司)潜在的安全漏洞。 通过建立安全策略，管理员可以保护他们的用户和自己的安全。用户应被告知，如果他 们不能执行这个策略，对系统应负的责任和可能产生的潜在问题。同时这个策略也适用于系 统管理员。 安全策略必须落实，并由制定者强制执行。如果用户不能遵守这个策略，应采取相应的 行动。这些规则必须严格执行。 1. 安全策略剖析 制定一个策略后，你很快将认识到有比人们预期的多得多的内容要加入到安全策略中。 对整个系统有详尽的规范，覆盖的问题有备份策略、系统访问、维护、软件版本、操作系统 版本和日志文件的检查。 为了容易理解，可以把策略分成三部分。 • 用户需求 • 经理责任 • 管理员的责任 2. 用户需求 在系统上设置一个新的安全策略，对于系统管理员来说是不轻松的。如果在系统安全策 略的严密性上过分苛刻，你将很快就成为所有用户都讨厌的人。另一方面，如果在严密性上 放松要求，这个策略就不能发挥相应的作用。我们的目标是在与用户保持和谐关系的同时， 制定一个有效的安全策略。 下面的一些问题需要认真考虑的： • 用户需要访问哪些系统？ • 每个用户都需要什么种类的访问？是完全的读写访问还是尽可能少的访问？匿名的用户 怎样使用系统？ • 什么时间用户可以访问系统？因为大部分的安全问题都发生在工作时间以外，所以限定 时间是一个好办法。 • 需要用户名和口令验证吗？如果需要，将要制定一些选择口令的规则，这些规则确保不 728计计ASP 3 高级编程 下载

ha°doN 第章服务器防护729 把口令写在明处,并不使口令泄露。对在家通过调制解调器和ISDN拨号上网的用户要 制定相应的计划 是否需要基于IP的验证?识别用户计算机的IP地址与识别用户的名字和口令一样能为那 些需要它的系统区域建立额外的安全保护 对那些特殊的用户是否进行合理的分组?例如:金融部门的用户需要访问金融方面的记 录,销售部门的用户需要特定的产品信息,后勤部门的用户需要的可能是另一种类型的 产品信息 ·系统的某个区域是否需要某种程度的加密?例如,在 amazon. com站点上不需要对书的相 关信息进行防护,但必须对填写信用卡信息的区域提供加密。 安全模型的处理是否处于应用程序层上?在开发阶段,这对于所有的用户甚至是匿名用户都 是有用的,对系统能够进行完全的读写访问。但在正式使用时,这是这个潜在的安全漏洞 谈及安全问题时,这些信息都是相关的,只要有可能,应该试着在各种层次上回答这些 问题。显然我们并不希望基于Web的应用程序在 Internet上对用户开放时,再回答这些问 题。应该尽早做出比较准确的估计 3.经理责任 通过说明需要落实的安全措施以及不遵守它时产生的安全风险,在一个组织内部,应该 把一些网络责任归于经理的身上,下面是这样做的几个理由 他们能在系统管理员、用户和开发者之间充当中间人,减轻执行安全策略对每个人产生 的压力 ·通过让他们理解规则方面的非专业术语,经理能有效地向其他人发布信息。 他们应该制定出如果不遵守规章要采取的措施 不要忽略对管理方面任何问题的讨论,而且一定要全力支持为用户制定的规则。 4.系统管理员的责任 如果对一个策略不进行相应的管理,那么该策略将是无效的,因此系统管理员也必须制 定相应的规则。这包括: 如果发生中断,该怎么做? 如果用户不遵守规则,该怎么做? 如何建立新的用户帐号、新用户组策略、文件和目录权限等。 ·备份措施。备份介质的种类,执行备份的时间和形式(完全的或递增的),备份存储的位 置和应急恢复计划。 硬件维护。服务器如何更新?升级的时间和要升级哪些硬件设备(BIOS、网卡,还是其 他的硬件) ·软件版本,如果可以从销售商得到一个新版本、服务包、升级包或补丁,系统管理员应 当对是否使用它们做出理由充分的决定。在服务器上安装了什么东西的记录应当被保留。 操作系统和软件一样,任何一个新的或升级的(或补丁)的操作系统版本,在应用于服务 器之前,都应在单独的机器上做严格的测试,唯一的不同是对操作系统的所有变化应该 做最严格的测试 为了知道用户是否在做他们应该做的事情,应该每天都检查日志文件,如果出现异常, 就要采取措施

把口令写在明处，并不使口令泄露。对在家通过调制解调器和 I S D N拨号上网的用户要 制定相应的计划。 • 是否需要基于I P的验证？识别用户计算机的 I P地址与识别用户的名字和口令一样能为那 些需要它的系统区域建立额外的安全保护。 • 对那些特殊的用户是否进行合理的分组？例如：金融部门的用户需要访问金融方面的记 录，销售部门的用户需要特定的产品信息，后勤部门的用户需要的可能是另一种类型的 产品信息。 • 系统的某个区域是否需要某种程度的加密？例如，在 a m a z o n . c o m站点上不需要对书的相 关信息进行防护，但必须对填写信用卡信息的区域提供加密。 • 安全模型的处理是否处于应用程序层上？在开发阶段，这对于所有的用户甚至是匿名用户都 是有用的，对系统能够进行完全的读写访问。但在正式使用时，这是这个潜在的安全漏洞。 • 谈及安全问题时，这些信息都是相关的，只要有可能，应该试着在各种层次上回答这些 问题。显然我们并不希望基于 We b的应用程序在I n t e r n e t上对用户开放时，再回答这些问 题。应该尽早做出比较准确的估计。 3. 经理责任 通过说明需要落实的安全措施以及不遵守它时产生的安全风险，在一个组织内部，应该 把一些网络责任归于经理的身上，下面是这样做的几个理由： • 他们能在系统管理员、用户和开发者之间充当中间人，减轻执行安全策略对每个人产生 的压力。 • 通过让他们理解规则方面的非专业术语，经理能有效地向其他人发布信息。 • 他们应该制定出如果不遵守规章要采取的措施。 不要忽略对管理方面任何问题的讨论，而且一定要全力支持为用户制定的规则。 4. 系统管理员的责任 如果对一个策略不进行相应的管理，那么该策略将是无效的，因此系统管理员也必须制 定相应的规则。这包括： • 如果发生中断，该怎么做？ • 如果用户不遵守规则，该怎么做？ • 如何建立新的用户帐号、新用户组策略、文件和目录权限等。 • 备份措施。备份介质的种类，执行备份的时间和形式 (完全的或递增的)，备份存储的位 置和应急恢复计划。 • 硬件维护。服务器如何更新？升级的时间和要升级哪些硬件设备 ( B I O S、网卡，还是其 他的硬件) • 软件版本，如果可以从销售商得到一个新版本、服务包、升级包或补丁，系统管理员应 当对是否使用它们做出理由充分的决定。在服务器上安装了什么东西的记录应当被保留。 • 操作系统和软件一样，任何一个新的或升级的 (或补丁)的操作系统版本，在应用于服务 器之前，都应在单独的机器上做严格的测试，唯一的不同是对操作系统的所有变化应该 做最严格的测试。 • 为了知道用户是否在做他们应该做的事情，应该每天都检查日志文件，如果出现异常， 就要采取措施。 第2 4章 服务器防护计计729 下载

730sp3高级程 Chinapub.com 下 24.2 Windows2000的防护 在这部分,将研究防护自己的操作系统的方式,以保证不受一般性攻击的影响。也将研 究有关与 Internet不进行连接的专用网络的相关知识。具体将研究以下几个方面的内容 硬盘格式。 ·创建访问控制列表( Access Control list,ACL)。 子系统删除( remova) 删除不必要的网络服务。 限制网络访问 TCPP过滤。 以上几方面的问题决定网络的安全程度。本节的目标是建立一系列防护 Internet网站的安 全措施,防止破坏网络安全 24.2.1磁盘格式 在 Windows2000中,有三种不同的文件系统格式:FAT、FAT32和NTFS。每一种格式都 与微软公司的操作系统有不同程度的兼容性。对于大多数安全的站点,应该立即略过这一部 分并选择使用 Windows2000支持的NTFS的最新版本(NTFS5),它提供了FAT和FAT32所没提 供的下列安全特性 ·访问控制列表( Access control list):对对象、文件及文件夹进行访问控制。ACL包括详 细记录,指出用户对文件和对象有什么访问权限 ·磁盘配额( Disk Quota):管理员可以监视和限制提供给用户使用的磁盘空间的大小。因 此,也能防止硬盘被填满。 ·加密的文件( Encrypted File):进一步的加密。当文件和信息被保存到磁盘时,NTFS能 加密敏感文件和信息 正如你所看到的那样,要建立一个安全的 Internet网络服务器,NIFS文件系统是非常好的选 择。如果你拥有有多个 Windows操作系统的网络,或负担不起升级的费用,应考虑如何设置系统。 1.跨操作系统的兼容性 并不每个 Windows版本都支持所有类型的文件系统,但网络共享可以解决这个问题 Windows2000支持NTFS5、NTF4、FAT32和FAT Windows nt4支持NTFS4和FAT。 Windows98支持FAT32和FAT Windows95、DOS和OS/2仅支持FAT 2.磁盘和文件容量 每种文件系统也对文件、磁盘和分区的大小有不同的限制,例如 ·FAT的分区不大于2GB FAT32的分区不大于2TB,且一个文件不得超过4GB NTFS的分区不大于2TB,而且文件大小只受分区大小的限制,但它不能在软盘上使用 24.2.2 Window2000安全检查列表 为了说明其余部分,将假定服务器使用 Windows2000。要建立一个可以提供安全的

730计计ASP 3 高级编程 下载 24.2 Windows 2000的防护 在这部分，将研究防护自己的操作系统的方式，以保证不受一般性攻击的影响。也将研 究有关与I n t e r n e t不进行连接的专用网络的相关知识。具体将研究以下几个方面的内容： • 硬盘格式。 • 创建访问控制列表(Access Control List，A C L )。 • 子系统删除( r e m o v a l )。 • 删除不必要的网络服务。 • 限制网络访问。 • TCP/IP过滤。 以上几方面的问题决定网络的安全程度。本节的目标是建立一系列防护 I n t e r n e t网站的安 全措施，防止破坏网络安全。 24.2.1 磁盘格式 在Windows 2000中，有三种不同的文件系统格式： FAT、FAT 3 2和N T F S。每一种格式都 与微软公司的操作系统有不同程度的兼容性。对于大多数安全的站点，应该立即略过这一部 分并选择使用Windows 2000支持的N T F S的最新版本( N T F S 5 )，它提供了FAT和FAT 3 2所没提 供的下列安全特性： • 访问控制列表(Access Control List)：对对象、文件及文件夹进行访问控制。 A C L包括详 细记录，指出用户对文件和对象有什么访问权限。 • 磁盘配额(Disk Quota)：管理员可以监视和限制提供给用户使用的磁盘空间的大小。因 此，也能防止硬盘被填满。 • 加密的文件(Encrypted File)：进一步的加密。当文件和信息被保存到磁盘时， N T F S能 加密敏感文件和信息。 正如你所看到的那样，要建立一个安全的I n t e r n e t网络服务器，N T F S文件系统是非常好的选 择。如果你拥有有多个Wi n d o w s操作系统的网络，或负担不起升级的费用，应考虑如何设置系统。 1. 跨操作系统的兼容性 并不每个Wi n d o w s版本都支持所有类型的文件系统，但网络共享可以解决这个问题： • Windows 2000支持NTFS 5、NTF 4、FAT 3 2和FAT。 • Windows NT 4支持NTFS 4和FAT。 • Windows 98支持FAT 3 2和FAT。 • Windows 95、D O S和O S / 2仅支持FAT。 2. 磁盘和文件容量 每种文件系统也对文件、磁盘和分区的大小有不同的限制，例如： • FAT的分区不大于2 G B。 • FAT 3 2的分区不大于2 T B，且一个文件不得超过4 G B。 • NTFS的分区不大于2 T B，而且文件大小只受分区大小的限制，但它不能在软盘上使用。 24.2.2 Window 2000安全检查列表 为了说明其余部分，将假定服务器使用 Windows 2000 。要建立一个可以提供安全的