模板
教程
环境
性能
功能
管理
政府Web网站的创建与管理(下)
1、 政府Web服务器简介
Web服务器的选择对政府网站至关重要,当然政府的Web服务器从硬件的角度考虑主要是服务器本身硬件的配置和选择,服务器具体配置的选择包括:CPU、内存、硬盘与网络适配器。针对政府Web网站的特点,可以选择支持SMP的服务器,通过配置多CPU实现性能的提高;考虑到大量用户并发请求将产生大量的进程、线程,因此内存是服务器配置中的重要考虑因素。服务器的类型即选择哪家厂商的服务器,如Sun、HP、IBM等商家生产的服务器以及服务器的型号等硬件设备。从软件的角度考虑主要是服务器上运行的操作系统和Web服务器软件的选择使用。在UNIX和LINUX平台下使用最广泛的免费HTTP服务器是W3C、NCSA和APACHE服务器,而Windows平台NT/2000使用IIS的WEB服务器。在选择使用WEB服务器应考虑的特性因素有:性能、安全性、日志和统计、虚拟主机、代理服务器、缓冲服务和集成应用程序等。下面重点介绍一下政府网站经常使用的几种Web服务器软件。
·BEAWeblogic
针对用户对加强企业软件基础的需求,BEAWebLogicEnterprisePlatform带来了统一的应用基础结构平台,这一平台以业内第一应用服务器为核心,完美地集成了门户、集成、系统管理、安全、开发和部署六大技术门类。
BEA致力于通过一套统一的、简便的和可扩展的企业平台,提供六种技术功能,并带来了运行全球性网络所需的可扩展性、可靠性和安全性。适应了全球的网络工作环境。BEAWebLogicEnterprisePlatform,以业内领先的核心产品BEAWebLogicServer7.0为核心,并包括获奖的BEAWebLogicPortal、BEAWebLogicIntegration和新产品BEAWebLogicWorkshop(前代码为Cajun),以及由1000多家ISV基于BEA平台所开发的第三方应用。BEA的平台提供的应用结构基础简化了信息流、降低了应用管理成本,并使得企业更加灵活,更具效率,实现全面连接。
BEAWebLogicEnterprisePlatform所提供的应用基础结构的特征:
*统一性--BEAWebLogicEnterprisePlatfrom是唯一融6种应用基础结构功能于一体的应用基础结构软件。一套统一的应用基础结构能节省时间和资金,并确保企业软件更和谐地协同工作。
*简便性--BEAWebLogicEnterprisePlatform消除了应用基础结构的复杂性。简便的应用基础结构,可让企业软件开发人员和IT工作人员更富效率,更少失误。
*可扩展性--BEAWebLogicEnterprisePlatform既能够与已有的遗留系统协作,也能与未来的新系统协作。可扩展的应用基础结构为企业带来必要的敏捷性,让企业能够快速地适应新的软件需求,且避免以往那些导致大量软件项目失败的复杂性。
·IBMWebSphere
WebSphere是因特网的基础架构软件,也就是我们所说的中间件。它使企业能够开发、部署和集成新一代电子商务应用(如B2B的电子交易),并且支持从简单的Web发布到企业级事务处理的商务应用。WebSphere转变了企业对客户、合作伙伴及雇员之间关系的管理方式。例如您可以通过它提高站点传输数据的数量和质量,从而大幅提升您的Web应用的性能,并将扩展的应用程序与移动设备相结合,让销售队伍能够为客户提供更快捷的服务,或者构建电子市场以降低资源获取的成本。
实现实现稳固Web环境的强大电子商务应用:
*支持高性能、可伸缩的中级和高级事务处理环境。
*能够与关系数据库、事务处理系统和其它应用实现功能强大的集成。
*包含了一个基于Apache的HTTP服务器,并能够支持其它主流的Web服务器,同时提高了安全性和可控制性。
*包含全面的Web站点内容和使用分析器及报告工具。
*能够使用Java应用以及企业JavaBeans组件并对其进行管理。
*通过支持跨多平台的业界标准的EJB规划模型,能够减少电子商务应用开发与部署的时间和相关成本。
*强大的功能、可扩展性及安全性。
*WebSphere应用服务器的目标是更广泛的功能、更大的可扩展性以及更强的安全控制。它提供了一个强大的、跨平台的、基于Web技术的Web应用平台,能够支持电子商务应用和组件的部署和展开,这些电子商务应用和组件包括Javaservlet、JavaBeanse、JavaServerPages(JSP)、企业JavaBeanse(EJB)组件,可用于事务处理、企业系统访问和动态Web内容的实现。
·NetscapeIPlanetWebServer/NetscapeApplicationServer
为了提高性能,Netscape在它的Web服务器中引进了应用程序编程接口NSAPI(NetscapeServerAPI)。利用NSAPI,开发人员可以扩展服务器的功能,包括对外部数据库的访问。NSAPI可支持WindowsNT、Solaris和HP/UX等平台。
IPlanetWebServer(NetscapeEnterpriseServer)以能在众多的不同平台上运行见长,主要功能有:带有客户端授权的SSl(SecureSocketsLayer)、Verity的集成式检索器、SNMP、出色的数据库联接功能及Web网站内容管理等。NetscapeServer作为可靠的Web应用服务的另一个关键是NetscapeApplicationServer(NAS)。NAS是一种编程环境,支持Java和C++对象,使得应用的伸缩性和容错能力强。NAS包含的工具允许用户建立多线程的应用,并且可以集成HTMl,数据库查询,以及在NAServer上实现的商业逻辑。
在WindowsNT上的IPlanetWebServer同样是一个大型Web服务器,拥有广泛的第三方组件及工具支持,而且支持多种编程模型。比如,除了支持传统的HTML和CGI外,Netscape还支持服务器端的JavaScript,支持IIOP(InternetInterOrbProtocol,一个用于与第三方的CORBA软件通讯的协议)。Netscape还提供了优秀的用户及安全性管理。
NetscapeDirectoryServer提供了结构化的LDAP目录服务,借助LDAP目录服务,可以更有效更灵活地管理用户及资源。
·Apache
Apache源于NCSAhttpd服务器,经过多次修改,成为世界上最流行的Web服务器软件之一。Apache取自"apatchyserver"的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。本来它只用于小型或试验Internet网络,后来逐步扩充到各种Unix系统中,尤其对Linux的支持相当完美。Apache有多种产品,可以支持SSL技术,支持多个虚拟主机。Apache是以进程为基础的结构,进程要比线程消耗更多的系统开支,不太适合于多处理器环境,因此,在一个ApacheWeb站点扩容时,通常是增加服务器或扩充群集节点而不是增加处理器。Apache成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的Unix、Windows、Linux系统平台上)以及它的可移植性等方面。
几乎所有的Linux发布都安装Apache作为默认配置。SuSE7.1甚至预安装有包括各种高级模块选项的Apache,如PHP3,mod_perl和LDAP等等。用户会惊奇地发现系统安装成功就会有一个功能强大的Web服务器可供选择。虽然安装Apache并不是非常简单,但是如果有具有新的特性或安全补丁的Apache发布,则下载源代码包并编译新的Apache是值得的。Apache不但具有庞大的用户群基础,并且有丰富的配置使用文档。Apache提供服务器端对脚本技术的支持,比如Perl、PHP等,Apache结合使用ApacheJServ可以实现对Javaservlets及JSP的支持。
Apache的很多模块实现安全方面的防护:如mod_auth提供对对服务器上数据进行适当的保护,而SSL模块则用来保护服务器和客户端之间的通信安全。
·MicrosoftIIS
Microsoft的Web服务器产品为InternetInformationServer(IIS),它提供ISAPI(IntranetServerAPI)作为扩展Web服务器功能的编程接口;同时,它还提供一个Internet数据库连接器(IDC),可以实现对数据库的查询和更新。Microsoft的另一个产品是MicrosoftVisualInterDev,它是一个Web应用快速开发环境,可提供服务器和客户机端的编程工具、数据库工具和内容编辑工具,还提供集成化的站点管理功能。
由于具有与操作系统的亲和性并继承了Microsoft产品一贯的用户界面,IIS利用与MicrosoftProxyServer、CertificateServer、SiteServer、BackOffice以及其他应用程序紧密结合之便,成为功能强大、使用方便的Web服务器。通过围绕WindowsNT所做的优化,IIS具有很高的执行效率、出色的安全保密性、易于管理以及启动迅捷等特点。它既可用于集成现有的应用方式,也可用于实施Web应用系统。IIS变得普及的一个关键就是引入了ASP,这是Microsoft用于建立动态网页的技术。ASP支持多种脚本语言,包括JavaScript、PerlScript以及VBScript,使其可以很容易地访问其他服务器的软件组件。这一切是以COM为基础达到的,COM是Windows下组件协同的标准。而分布式COM,即DCOM,允许程序使用网络上的组件,就好像这些组件就在本地一样。
下面重点给大家介绍政府网站Apache、Tomcat和IIS的Web服务器软件的安装和配置。
2、Apache、Tomcat服务器的创建
前面我们已经介绍了Apache,下面再介绍一下Tomcat服务器软件。Tomcat是Sun和Apache合作做出来的JSPServer,支持到Servlet2.2及JSP1.1。建议使用Tomcat,而且Tomcat未来将会取代JServ,成为Apache主要的Servlet&JSPEngine。Tomcat在设计上是以独立的Server执行,而不像Jserv是附在Apache中,这样就更可以发挥在servlet中,非HttpServlet的能力。Tomcat是Java程序,所以只要有JDK就可以使用,不需要考虑操作系统平台。
作为WEB服务器扩展的Tomcat服务器有一些问题需要说明:
* 当处理静态页面时,Tomcat不如Apache迅速。
* Tomcat不象Apache一样可配置。
* Tomcat不象Apache一样强壮。
基于以上原因,一个现实的网站使用一个Apache作为Web服务器,为网站的静态页面请求提供服务;并使用Tomcat服务器作为一个Servlet/JSP插件,显示网站的动态页面。
采用apache->tomcat这样的结构才具有更特出的优点,主要体现在具有更好的可扩展性和安全性。这种类型的站点的主要特点是每一个页面都可能是动态生成的,但这些数据中主要部分还是静态的(比如,各类图像GIF、JPG、PNG,流式媒体等),这种结构的优点是兼有可扩展性和安全性。
下面以solairs8为例,免费下载Solaris版的Apache1.3.27,Tomcat4.1.12来说明安装配置WEB服务软件apache和应用服务软件tomcat(包括JDK),其它平台可以类比。
注意:下载的Apache、Tomcat的版本与操作系统的类型有关。
(一)应用环境
操作系统为Solaris8,应用环境为Java1.3(假定安装在/usr/java1.3目录下)、perl5.6(假定安装在/usr/local/bin目录下)和gzip(假定安装在/usr/loca·/bin目录下)。
(二)软件包的下载、编译与安装
1)下载地址
在http://www.apache.org可下载Apache源代码软件包apache_1.3.27.tar.gz。
在http://jakarta.apache.org/builds/tomcat/release/v4.1.12/src/可下载Tomcat源代码软件包jakarta-tomcat-4.1.12-src.tar.gz。
在http://jakarta.apache.org/builds/jakarta-tomcat/release/v4.1.12/bin/可下载已编译的Tomcat应用软件包jakarta-tomcat-4.1.12.tar.gz。
2)编译与安装
假设各软件包已下载到当前的某个工作目录(如:/home/tmp)下,Apache和Tomcat将安装在/home目录下。在当前目录我们可以进行如下操作。
(1)编译和安装Apache应用服务
| ①解包 $/usr/local/bin/gzip-dc./apache_1.3.27.tar.gz|tarxf- ②编译 $cdapache_1.3.27 $./configure--prefix=/home/apache-1.3.27 --with-perl=/usr/local/bin/perl--enable-module=so 假设perl的解释命令安装在/usr/local/bin目录下, Apache服务安装在/home/apache-1.3.27目录下。 $make ③安装 $su #makeinstall |
(2)编译与安装mod_jk插件
| ①解包 $/usr/local/bin/gzip-dcjakarta-tomcat-4.1.12-src.tar.gz|tarxf- ②编译 $cdjakarta-tomcat-4.1.12-src/src/native/apache1.3 $/home/apache-1.3.27/bin/apxs-omod_jk.so-DSOLARIS-I../jk-I/ usr/java1.3/include-I/usr/java1.3/include/ solaris-lposix4-c*.c../jk/*.c 假定Java安装在/usr/java1.3目录下。 ③安装 $su #/home/apache-1.3.27/bin/apxs-i-a-njkmod_jk.so 当屏幕显示如下内容时,表示安装成功。 cpmod_jk.so/home/apache-1.3.27/libexec/mod_jk.so chmod755/home/apache-1.3.27/libexec/mod_jk.so [activatingmodule`jkin/home/apache-1.3.27/conf/httpd.conf] |
(3)安装Tomcat服务
用超级用户身份把已编译的Tomcat4.1.12解包到/home目录下即可。
| $su #/usr/local/bin/gzip-dcjakarta-tomcat-4.1.12.tar.gz| (cd/home;tarxf-) |
3)参数配置
(1)配置Apache服务
| 用vi命令打开Apache的配置文件httpd.conf。 #cd/home/apache-1.3.27/conf #vihttpd.conf 在末尾添加以下内容。 JkWorkersFile/home/jakarta-tomcat-4.1.12/conf/workers.properties JkLogFile/home/apache-1.3.27/logs/mod_jk.log 注意:日志文件可根据具体情况调整。 JkLogLevelwarn JkMount/*.jspajp13 JkMount/servlet/*.jspajp13 |
(2)配置Tomcat服务
|
首先,修改server.xml文件。 修改workers.properties文件。 |
至此,Apache和Tomcat服务器软件安装成功,上面是在UNIX(Solaris)平台下构建JSP网站的基本配置。Apache与Tomcat结合支持JSP动态网页开始是通过一个名为"mod_jserv"的插件来实现的,采用这种Apache/Jserv方式配置参数十分复杂,运行效率很低,而且对SSL(一种加密传输方式)的支持也不理想,因此Jakarta工作组新近开发了"mod_jk"插件,它很好地弥补了mod_jserv的缺点,而且能支持Apache以外的多种Web服务。关于这种Apache/Jk方式的实现原理,请参考有关资料。
在UNIX或Linux平台下构建PHP网站,操作系统如果采用象RedHat8等Linux平台,系统PHP软件进行编译与安装配置。在此就不多说了,请参考有关资料。
当然,构建JSP或PHP网站必须有后台数据库的支持,在创建web网站时要考虑数据库的选择和安装配置。
3、 IIS服务器的创建
在使用WindowsNT4.0时,IIS就已经成为流行的Web服务器平台。IIS4.0是作为OptionPack4
的一部分发行的,需要进行额外的安装才能运行。然而,在Windows2000中,IIS5.0应经完全成为操作系统的一个有机组成部分,如果在安装Windows2000时没有选择安装IIS,也可以单独添加。与IIS4.0相比,IIS5.0提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。
·安装IIS
步骤1:单击"开始",指向"设置",单击"控制面板",然后启动"添加/删除程序"应用程序。
图10
步骤2:选择"配置Windows",单击"组件"按钮,在【Windows组件向导】对话框中,选择【Internet信息服务】组件,单击【详细信息】进行进一步设置,例如FTP服务、SMTP服务、WWW服务通常可以选装。单击【下一步】,从Windows2000安装光盘中拷贝所需文件,安装完毕后如下图11、12、13、14、15所示。
图11
图12
图13
图14
图15
·创建Web站点
在IIS中创建Web站点是非常容易的,IIS已经为我们准备了详细的Web站点创建向导,遵循向导的步骤,可以在短时间内完成站点创建。
Web站点的创建可以使用默认的站点(即在添加IIS组件时选中WorldWideWeb服务器),系统就已经架设好一个网站,只要我们在默认的目录(Inetpub\wwwroot)中放置政府网页即可。如下图16、图17、图18和图19所示:
图16
图17
图18
图19
也可以新建Web站点即使用Web站点创建向导,打开IIS窗口,展开【Internet信息服务】根节点,右击需要创建站点的计算机图标,缺省情况下,IIS仅对本地站点提供管理,在弹出菜单中指向【新建】,单击【Web站点】打开Web站点创建向导,将政府网页放置在D:\GOV目录下。如下图20、图21、图22、图23、图24、图25和图26所示:
图20
图21
图22
图23
图24
图25
图26
至此,在IIS的Web站点的创建也就基本完成,可以在服务器端运行ASP程序,至于设定Web站点、Web站点标识和连接、启动日志记录、操作员、性能、自定义错误信息、ISAPI筛选器等设置内容,由于篇幅有限就不多说了。
五、政府网站Web服务器的安全管理与维护
1、UNIX或LIUNX环境下Web服务器的安全管理与维护
·Apache和Tomcat的启动和关闭
#/home/apache-1.3.27/bin/apachect·start 启动
#/home/apache-1.3.27/bin/apachect·stop 关闭
#/home/jakarta-tomcat-4.1.12/bin/startup sh 启动
#/home/jakarta-tomcat-4.1.12/bin/shutdown sh 关闭
·Apache和Tomcat的web服务器的安全管理
1) Apache和Tomcat都具有支持安全Socket层(SS·)的功能。在Tomcat中声明安全性,WEB应用程序的安全性主要在相应的Web.xml中设置,Tomcat支持的鉴权机制为HTTP基本鉴权机制BASIC和基于表单的鉴权机制FROM(JSP网站)。
过滤是Tomcat 4的新功能,能够用过滤器来实现以前使用不便的或难以实现的功能,这些功能包括:
* 资源访问(Web页、JSP页、servlet)的定制身份认证
* 应用程序级的访问资源的审核和记录
* 应用程序范围内对资源的加密访问,它建立在定制的加密方案基础上
* 对被访问资源的及时转换,包括从servlet和JSP的动态输出
2)Apache的安全设置
Apache服务器设置安全信息--Aclearcase/" target="_blank" >ccess.conf文件中的指令控制着用户对站点的访问及如何进行访问方面的信息。包括文件树的安全、脚本目录安全性、Options指令、AllowOverride指令、使用Order指令、使用有限容器、添加用户鉴定功能等)。
3)Apache模块(PHP网站)
当PHP做为Apache的模块来运行时它继承了Apache的安全设置。任何的文件请求都要经过Apache的严格检查,只有通过检查的请求才被送往PHP。
2、Windows NT/2000的IIS服务器的安全管理与维护
·Web站点安全性设置
本文讨论的安全设置仅依赖于Windows NT/2000和IIS内部的安全性功能,鉴于Windwos2000强大的安全性能(符合C2安全级别),尤其是强大的用户认证能力和独有的NTFS安全分区,IIS网站的安全性完全可以得到非常有力的保证。笼统的说,站点安全性工作将围绕如下两个任务进行:合法用户身份的认证和站点文件的安全保障。前者需要借助于Windows2000的账号系统和认证机制;后者则要由IIS和NTFS分区共同维护。
·NTFS权限设置
安装操作系统最新的补丁程序,不论是NT还是2000,硬盘分区均为NTFS分区,NTFS权限是NTFS分区文件格式特有的安全权限。
【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。其中简要验证方法是IIS5.0中新引入的验证方法,它通过网络发送经过混编的密码值而不是密码本身。该方法通过代理服务器和其他防火墙工作。这里的混编密码值通常是利用哈西算法得到的,此方法较基本验证安全得多,但低于集成Windows验证方式(可以通过复杂运算加以破解)。
【集成Windows验证】通过与用户的InternetExplorerWeb浏览器进行密码交换以确认用户的身份。
·IP地址和域名访问控制
IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任,鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向(通过对日志文件的分析可以得到这一结论),或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站。这些限制能力都倚赖于IP地址和域名访问控制功能。
·使用权限向导
权限向导是IIS5.0新引入的权限管理工具。鉴于对站点安全性的配置复杂而无序,较难理出一条简明而准确的主线,IIS5.0引入了权限向导工具,它提供了一个连续、简单、准确的权限配置流程,可以使管理员迅速对站点进行一般性的权限设定。尤其是对于涉及大量权限继承关系的站点(虚拟)目录配置工作,运用权限向导往往能达到意想不到的效果。权限向导主要对安全设置和目录权限进行快速指定,并能够以摘要的形式提供安全分析。
·目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(FullContro·),你需要根据应用的需要进行权限重设。
·设置WWW目录访问权
在InternetServiceManager中创建Web发布目录(文件夹)时,可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限。这些权限是有WWW服务提供的那些,是NTFS文件系统提供的权限之外的部分。这些权限是:
* 读:读权限允许Web客户读或下载存储在主目录或虚拟目录中的文件。如果客户为目录中没有读权限的文件发送一个读请求,则Web服务器返回一个错误。通常,应该给予包含要发布信息(例如HTML文件)的目录读权限。应该为包含公用网关接口(CGI)应用程序和InternetServer应用程序编程接口(ISAPI)DLL的目录取消读权限,以防止客户下载应用程序文件。
* 执行:执行权限允许Web客户运行存储在主目录或虚拟目录中的程序和脚本。如果客户发送请求,运行不具有执行权限的文件夹中的程序或脚本,则服务器返回一个错误。为了安全,不要给予内容文件夹执行权限。
·解除NetBios与TCP/IP协议的绑定
NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:WINNT:控制面版→网络→绑定→NetBios接口→禁用;WIN2000:控制面版→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WINS→禁用TCP/IP上的NETBIOS。
·删除所有的网络共享资源
NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。
·加强日志审核
安全日志:本地安全策略->审核策略中打开相应的审核。
日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录,帐号审核可以从域用户管理器→规则→审核中选择指标;NTFS中对文件的审核从资源管理器中选取。
·只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议
网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
·加强数据备份
这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
