深圳升蓝软件
数据库开发 .Net技术  |  ASP技术 PHP技术 JSP技术 应用技术类   
Hiblue Software

使用Windows DNA 设计、部署和管理一个可伸缩的电子商


March 25,2004
记住记录需要大量的信息,这将允许我们对其他的服务使用那些资源。点击okey。下一个更改是直接进入注册中,工作于注册中的任何时间,记住你想要遵循人们常常讨论的这样一个规则,做一个你的注册的备份并从这个备份中工作。

当然我们要在这个演示中打破这个规则。我们打开这个注册并且我们的第一个设置被设置为TCP参数。我们不想用完用户端口,于是我们将其设置得非常大。一个大的窗口尺寸对于高速网络工作的更好并且当窗口填满后TCP就停止了。

接下来,我们进入H关键字区域计算机系统(H Key Local Machine System)。我们就这样进行。当前的控制设置、服务,然后是TCP关键字,它在这个清单的下面。这些参数连接在其中。我们要添加一个叫做最大用户端口的新的值。

现在,最大的端口已经在那里了。如果不在,你就向前并添加入最大用户端口。你要输入的字符串是oxffe并且你要让它作为一个reg s z而离开它。通过输入它,你将允许我们的系统拥有它所需要的资源。这个设置为非常高级的用户打开端口。

我们也要增加TCP窗口尺寸的值,这些我们已经增加了。而且,它是一个reg s z,值为ox4470。这就为高速网络将窗口尺寸设置的更大。

最后,我们要将处理器线程的最大设置设定为一个很小的值。这改变了对于每一个IIS对MTS所允许的CPU的线程数量,并且这么做减小了系统资源内容的数量。因此我们必须去除TCIP关键字。

我们将要扩展W3SVC关键字以及ASP部分,然后是其下的参数。那是处理器线程的最大值。现在它是空的。我建议将其设定为10,原因是10在刚开始的时候是非常好的设置。

现在,记住你要为你的特定计算机上的性能自己进行监控。你要降低监视性能值。如果性能下降了,就回到先前的值。如果你感觉到低了,则将其增加。

在这个演示中你已经看到的是为了可用性和可靠性优化你的系统和电子商务站点的最好的实例,通过使用管理控制台或注册编辑器。

我们现在回到幻灯屏幕。在这部分内容中另一些最好的操作是将html输出尽可能地保持到最小。记住,小于2KB。我们要将图像文件保持得很小。平均大约为20KB。约小约好。尽可能的重复使用这些图像文件。记住,你可以利用用户缓存的优势。保持较短的文件名和路径以减少字节数。

分析你的html输出。以28k波特的速率对每个字节计数。向下进行的时候请记住这些。

一些附加的优化和建议是你可能要中止在你的IIS系统或其他你可能有的服务器中的不需要的服务。移去不需要的网址和Internet 信息服务器的服务(Internet Information Server services)。最好将示例站点去掉,如果你不需要使用它们的话。

去掉不需要的扩展映像。确定IIS被设定位自动引导以便在死机时,将会直接的将其重新引导。这是你要注意的一个安全性问题。

去掉你的屏幕保护。使用空白。如果你发现受到了限制你可以增加一些处理器,最后你可以升级到Sequel Server 7.0,这允许你使用网络负载平衡并考虑将你的搜寻和检验数据库选项分离到其他的服务器中。这允许你扩展,继续向前,你可以扩大和缩小,按照你的需要。

我们学习了一些什么?好的,我们以及在较高层次上总览了WIN DNA。我们已经见到了2级层列和3级层列的不同之处。我们已经看到了怎样优化我们的网站并在最后看到了怎样着重这个网站。

我们现在要讨论的,是如果你在安全性上有问题的话你的网站将没有任何价值,这是因为一个安全的网站才是更优秀的网站。这是非常有用的,安全性将最终关乎到生存与否。

接下来我们将讨论创建安全环境,现在。记住,最大的问题以及大多数人所遗忘的是物理安全。研究显示的和统计数据所表明的都说明最普通的黑客不是来自外部的威胁,而是来自有怨气的雇员。

你要确定在物理上保护你的服务器。确定它们不被震动。确定它们在上锁的罩子里。确定你的网络是安全的,有一个防火墙或代理系统。确定你的系统是安全的,对于账目有防范禁闭的策略。

确定你有一个安全性策略的设置。确定你有安全性的持续操作。确定某人的职责而不是仅让他们在有空的时候随便看看。

让我们看一下安全性网站结构。这是一个巨大的网站结构,向前。这是一个我们工作于其中的巨大的网站结构。我们为你们显示这个幻灯片的原因是你可以看见网络用户和防火墙,并请注意我们有一个外级区域和一个开发服务器,以及我们的ERP系统,并请注意在它和DMZ(不戒备区域)之间的防火墙。

注意在我们的不戒备区域中,我们有sequel组件,集成服务器,IIS服务器。通过这些将我们的不戒备区域和分级服务器与我们的后端服务器分离开来,我们将后端服务器从任何来自Internet的攻击中保护起来,也避免了Internet被来自我们的网络内部所攻击。

为了保护某些区域你要记住可以使用鉴别和启动目录设计模型。确定你的服务器任务是正确的。用户的组、文件系统或注册、成员信息都是正确的。确定你的格式被正确的设定了,你的cookies,最后来到鉴定。通过Decom Config NTS进行编译和反编译。确定任务。CIP、CIPM、新型商业洽谈型服务器,所有的这些是你要保护的区域,焦点是,当然,在于对于端口攻击在象IP端口这样的网络协议上;sequel服务器和ODPCDS终端。大部分人不考虑在站点服务器中创建一个保护以及用CSC文件创建一个连接字符串。

现在我们在Windows 2000中有一个Windows NT中的工具,它具有大量的安全机制,但你必须到具体的地方去对目标项进行安全性设置。

在Windows 2000中,我们有这个新的安全性管理工具,我们称之为安全配置和分析工具(Security Configuration and Analysis Tool)。现在安全性触及系统的许多不同方面。你需要更好的配置分析工具,而安全配置和分析工具(Security Configuration and Analysis Tool)让我们做到了这些。

我们可以在宏的级别上进行配置。我们也可以在宏的级别上进行分析和报告。在我们开始分析和管理工具前,让我们谈论一些别的工具和技巧。


当我们开始这个部分时,我们要讨论后门,它现在是一个的主要问题。拒绝的服务。我们要讨论服务器编排,这是一个新出现的问题,我们要讨论更多的工具和更多的其他问题。

当我们讨论后门时,我们当然要谈到Back Orifice。每个人都听说过Back Orifice。这是后门。它是一个允许黑客访问一个系统旁路安全控制的程序,按字面意思是进入你系统的后门。Back Orifice工具在98年的八月是由Cult of the Dead Cow所介绍了的。

这个黑客工具通过传播受到了大量的关注。你可以察看对于Cult of the Dead Cow的网址。Back Orifice可以做什么?好的,它可以允许通过对于使用95、98以及可能WIN 2000的计算机进行远程控制。

如果我设法使你安装了它,我就拥有了你的计算机。攻击者将控制你的屏幕和键盘。它记录下击键。它可以锁住或重新启动计算机。它可以进入详细的系统信息。它可以搜集密钥。它可以拷贝、重命名、删除、察看和搜寻文件和目录。Cult of the Dead Cow说实际上Back Orifice可以比坐在键盘前的你拥有对于系统的更多的控制。

实际上它可以在这个终端中做任何事情,包括注册控制;这并不是一个空洞的恐吓。

服务被拒绝。在最近的新闻中有很多问题是关于拒绝服务的。有无数的拒绝服务形式的攻击。实际上拒绝服务攻击就是,它使合法的用户不能使用这个系统并使系统保持忙碌使网站陷入泥潭。

也有直接的播送攻击,这更通常的情况下是指smurf攻击。两周内出现的关于安全性的最新的问题是交互网站脚本安全性的曝光。现在,这是威胁每个人的新问题,不仅仅是微软。

有一些网页只生成被影响到的html。所以要记住的是如果你的网页在一个动态页面中嵌入了浏览输入,换一句话说,它被创建并且它从用户那里嵌入了输入,然后,你的服务器可能被操纵来包含允许恶意脚本在你的服务器上执行的内容,并稍加修饰。

记住现在的网页不仅包含html而且包含脚本、目标和编码,这是由于在线的处理的缘故。这些脚本现在不能执行这个服务器。在html以内,特定的字符被设计成为指定的字符,于是服务器和浏览器可以分辨用户所见的和系统功能所使用的字符。

现在采用的是将这些字符插入到用户服务器的通讯中并隐藏恶意的脚本。由于脚本从根本上是程序,这允许恶意的编码在你的被保护和信赖的环境中被运行

所以,对于它的一些策略是,很不幸,网络程序工程师必须手动地分析每一页来寻找潜在的漏洞。这是关于这个问题的最大的麻烦。每一页必须通过手动来纠错而没有自动工具可以用来完成它,这是因为每一页都是与众不同的。

你可以在其中保持数据的方式有,使用确定页面或Microsoft.com安全。可能对于交叉网址的定位的例子是很简单的。用户登录进入一个安全网址的欢迎界面时,那里可能有侮辱性的语句。搜索引擎可能返回错误的或随意的结果。也有可能更糟,因为信用卡号码可能被泄漏给了未被授权的网址,数据也可能被破坏。还可能伴随有其它形式的攻击。
例如,Back Orifice可能被下载到你防火墙后的安全服务器中。于是现在就有了一个大问题。
记住,当你继续向前,你必须考虑安全性的各个方面。随时都可能有新的黑客,所以你要熟悉所有的情况。你要彻底地评价你的环境。平衡包括工具在内的Windows 2000平台。
一些攻击可能是非常老练的,然而工具们更容易使用和得到。黑客们使用这些工具攻击你,所以你可能应该使用相近或相同的工具去侦察并阻止这些攻击。
让我们来到演示3,它告诉我们怎样使用安全性配置及分析工具去保护你的网址。我们回到演示屏幕并为你显示这个演示。
好的,我们要讨论使用安全性管理器去保护你的网址。现在,记住在Winsows安全性的早期版本中,管理是相当随意的。你可以松散的去做所有的事情。  
在Windows 2000中,我们有一次性的交易,所以说,涉及到了安全性。问题来自于很多人不知道怎样使用安全性配置及分析工具,或怎样去安装它并装上一个合适的安全性系统。这将帮助你处理我们前面所提到的那些威胁。
在我们开始使用安全性管理器之前,让我们看一下管理控制台接口是怎样被添加到我们的控制台的。我们进入开始菜单,并运行它。然后我们键入MMC,其意是微软管理控制台。然后我们就在这里打开了变化多端的管理控制台。
我们现在将进入控制台菜单。选择add/remove snap-in。现在,你要注意到当你打开计算机管理控制台或任何其它管理控制台时并没有那个选项,只是在这里有,这就是我们使用MMC的原因。
现在我们要添加接口以及对需要添加的控制台点击add。这里是对话框其中有所有可用的独立接口。你可能需要一些时间,去仔细地浏览。
我们将卷屏,那儿有一些安全性配置及分析的内容。注意下面有一个脚本告诉你怎样做。我对其点击add它就在这个列表上列出。然后我点击security templates因为我将为你显示。那是一个开启安全结构的非常好的地方,然后点击add,然后点击close,我们将回到add/remove snap-in对话框。然后点击okey,我们就把那两个接口直接添加到控制台中了。

现在,请你注意安全性模板,这个下面是安全性模板。在我的安全性配置和分析下面,我们什么也没有,尽管它很好,让我知道我需要做的第一件事是打开一个现存的数据库或生成一个新的数据库。
由于我实际上要创建一个新的数据库,它被假定为一个从来没有被安全保护过的系统,我们将创建一个新的数据库并且需要做的第一件事情就是我们马上要说的。我们右键点击a security configuration和analysis scope项,并选择open database。

然后,在这个例子中,我们要键入一个新的数据库名称,在这里,我们称之为security。然后点击open。下面要做的是启动一个新的安全性配置,这将是你的基本模板。你会注意到这里我们有基本模板,它们与我们安装的安全性模板是相同的。
我们有基本的DC,那是一个基本的高级服务器,一个Windows 2000域控制器。我们也有一个基本的SV,那仅是一个服务器,一个工作站,或向下的所有。这里向下我们有一个非常安全的系统,如果你要保护DC的话。但是我要从基础的SV开始。那是基本的服务器。我将点击open,现在要使用那个模板去配置那个系统。
需要几分钟的时间因为将要做的是,通过浏览并将在所有的在基础SV中可见的模板设置带入到配置设定中。现在注意SV,我们已经统计了策略、局部策略、时间记录以及注册和其他所有的事。现在,在配置和分析下,我们什么也没有。
我要做的是再一次右击security configuration and analysis tool。这次我要分析我的计算机。现在,分析我的计算机要用到,基于模板,并将其设置。我点击okey。我现在要分析并将错误记录进入我们刚才说要将其放入的部分。
我要浏览并检查我的用户权限分配,基于我刚才安装的模板;我的有限的组,基于这个模板;注册设置,基于这个模板;系统服务和安全性策略,都是基于这个模板。
现在,我的系统正在基于我们安装的要素而被分析着,所有的这些模板可以被个性化处理,可以再使用前和使用后被修改和检查,或者在中途进行更改。
当我们继续向前,每一个特定的部分内容都将被视为与其自身以及前面所提到的有所关联。所以系统服务将被讨论。还有用户权限,让我们登录统计系统服务用户。安全性策略将认为与有限组或注册设置有关联。
这将需要一些时间因为文件系统中的注册设置需要一些时间去仔细检查并分析。并请记住,这些都基于,在本例中,基础的SV设置,那是个统计策略、局部策略、事件记录及文件系统。
好的,你将看到已经完成的部分,在security configuration and analysis下面,有相同的节点现在显示在模板下面。我们将关闭这些模板,以不会被混淆。
一旦我们完成了对设置的分析,我们将可以对那些设置进行更改或检查所有包含在特定模板设置或统计策略中的任何位置。
我们要为统计策略下的密钥策略而对设置进行更改,所以我们有统计策略以及密钥策略。你将注意到我们在这里有一个红色的标记。我们双击enforce password history你将注意到我们没有为zero保留密钥。
现在,它还不是十分安全。这意味着你实际上可以无限多次的复制你的密钥。这个系统将提示更改你的密钥并让你准确的键入相同的密钥因为它将不能追踪那些设置。

       
Copyright © 2001-2008 Shenzhen Hiblue Software Team All rights reserved