view安全服務器配置 anyview服務器無響應

web服務器安全設置

Web服務器攻擊常利用Web服務器軟件和配置中的漏洞，web服務器安全也是我們現(xiàn)在很多人關注的一點，那么你知道web服務器安全設置嗎?下面是我整理的一些關于web服務器安全設置的相關資料，供你參考。

創(chuàng)新互聯(lián)始終致力于在企業(yè)網站建設領域發(fā)展。秉承“創(chuàng)新、求實、誠信、拼搏”的企業(yè)精神，致力為企業(yè)提供全面的網絡宣傳與技術應用整體策劃方案，為企業(yè)提供包括“網站建設、響應式網站開發(fā)、手機網站建設、微信網站建設、小程序開發(fā)、電子商務商城網站建設、平臺網站建設秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

web服務器安全設置一、IIS的相關設置

刪除默認建立的站點的虛擬目錄，停止默認web站點，刪除對應的文件目錄c:inetpub，配置所有站點的公共設置，設置好相關的連接數限制， 帶寬設置以及性能設置等其他設置。配置應用程序映射，刪除所有不必要的應用程序擴展，只保留asp，php，cgi，pl，aspx應用程序擴展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調試設置發(fā)送文本錯誤信息給客戶。

對于數據庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設置一個mdb的擴展映射，將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數據庫被下載。設置IIS的日志保存目錄，調整日志記錄信息。設置為發(fā)送文本錯誤信息。修改403錯誤頁面，將其轉向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關軟件如banneredit修改。

對于用戶站點所在的目錄，在此說明一下，用戶的FTP根目錄下對應三個文件佳，wwwroot，database，logfiles，分別存放站點文件，數據庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設置具體的權限，圖片所在的目錄只給予列目錄的權限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權限。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步。

方法

用戶從腳本提升權限：

web服務器安全設置二、ASP的安全設置

設置過權限和服務之后，防范asp木馬還需要做以下工作，在cmd窗口運行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可將WScript.Shell, Shell.application, WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權限，重新啟動IIS即可生效。但不推薦該方法。

另外，對于FSO由于用戶程序需要使用，服務器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動開通空間的虛擬商服務器上使用，只適合于手工開通的站點?？梢葬槍π枰狥SO和不需要FSO的站點設置兩個組，對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權限，不需要的不給權限。重新啟動服務器即可生效。

對于這樣的設置結合上面的權限設置，你會發(fā)現(xiàn)海陽木馬已經在這里失去了作用!

web服務器安全設置三、PHP的安全設置

默認安裝的php需要有以下幾個注意的問題：

C:\winnt\php.ini只給予users讀權限即可。在php.ini里需要做如下設置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

web服務器安全設置四、MySQL安全設置

如果服務器上啟用MySQL數據庫，MySQL數據庫需要注意的安全設置為：

刪除mysql中的所有默認用戶，只保留本地root帳戶，為root用戶加上一個復雜的密碼。賦予普通用戶updatedeletealertcreatedrop權限的時候，并限定到特定的數據庫，尤其要避免普通客戶擁有對mysql數據庫操作的權限。檢查mysql.user表，取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權限，這些權限可能泄漏更多的服務器信息包括非mysql的 其它 信息出去?？梢詾閙ysql設置一個啟動用戶，該用戶只對mysql目錄有權限。設置安裝目錄的data數據庫的權限(此目錄存放了mysql數據庫的數據信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權限。

Serv-u安全問題：

安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對于在30秒內連接超過3次的用戶攔截10分鐘。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設置一個復雜點的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。

web服務器安全設置五、數據庫服務器的安全設置

對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證,加強數據庫日志的記錄,審核數據庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統(tǒng)存儲過程，如果認為還有威脅，當然要小心drop這些過程，可以在測試機器上測試，保證正常的系統(tǒng)能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫,因為對他們guest帳戶是必需的。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協(xié)議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

如何在VIEW 5中搭建Security Server

1、準備使用Security Server

Security Server是一個運行部分 View Connection Server 功能的特殊 View Connection Server 實例。您可以使用Security Server在 Internet 和內部網絡之間提供額外的安全保護層。

Security

Server位于 DMZ 內，充當受信任網絡中的連接代理主機。每臺Security Server均與一個 View Connection

Server 實例配對，并將所有流量轉發(fā)給該實例。您可以將多個Security Server與一個連接服務器進行配對。這樣的設計能保護 View

Connection Server 實例免受公共 Internet 的威脅，并強制所有無保護的會話請求經過Security

Server傳輸，從而提供額外的安全保護層。

基于 DMZ 的Security

Server部署要求打開防火墻上的一些端口，以允許客戶端與 DMZ 內的Security

Server進行連接。您還需要配置端口，以供內部網絡中的Security Server與 View Connection Server

實例通信使用。防火墻的詳細配置請參考下文的配置。

由于用戶直接連接到內部網絡中的任何 View Connection Server 實例，因此您不必在基于 LAN 的部署中實施Security Server。

要

限制幀的廣播范圍，應在隔離的網絡中部署與Security Server配對的 View Connection Server

實例。該拓撲結構有助于防止內部網絡中的惡意用戶監(jiān)視Security Server與 View Connection Server

實例之間的通信。同時，您也可以使用網絡交換機的高級安全功能，避免Security Server和 View Connection Server

的通信受到惡意監(jiān)視，并抵御 ARP 緩存投毒 (ARP Cache Poisoning) 等監(jiān)控攻擊。

2、安裝View Security Server環(huán)境要求

1) 硬件要求

硬件組件

需要

建議

中央處理器

Pentium IV 2.0 GHz 處理器或更

高版本

4 個 CPU

內存

如果是：Windows 2008 R2 64位

8GB RAM 或更高

建議使用Windows 2008 R2

內存

如果是：Windows 2003 32位

4 GB RAM 或更高

使用Windows 2003無法使用PCOIP協(xié)議進行廣域網訪問

網絡要求

一個或多個 100M/1G bps 網絡接口卡 (NIC)

建議使用2個NIC，一個指向內部網絡和Connection Server 通訊，另一個通過NAT發(fā)布到公網用于外網訪問連接

2) View Security Server支持的操作系統(tǒng)

操作系統(tǒng)

位數

版本

服務包

Windows 2008 R2

64位

Standard

Enterprise

無或SP1

Windows 2003 R2

32位

Standard

Enterprise

SP2

注 意：

Security

Server由于需要暴露在公網，所以建議不要加入域，同時建議先安裝好最新補丁，防止系統(tǒng)受到病毒侵害和網絡沖擊。編者曾經在項目POC和實施過程中經

常遭到病毒騷擾，以至延誤工期，而大部分安全問題都可以通過安裝補丁方式進行解決。另外，您的計算機如果已經安裝了IIS請在安裝Connection

Server之前卸載。

3、Security Server網絡拓撲結構

下面一張圖展示了拓撲結構顯示一個在 DMZ 中包含兩臺負載平衡Security Server的高可用性環(huán)境。Security Server與內部網絡中的兩個 View Connection Server 實例通信。

當遠程用戶連接Security Server時，他們必須成功通過身份驗證，才可以訪問 View 桌面。在這種拓撲結構中，DMZ 兩端都實施了合適的防火墻規(guī)則，這種結構適用于通過 Internet 上的客戶端設備來訪問 View 桌面。

您可以為每個 View Connection Server 實例連接多個Security Server。您也可以將 DMZ 部署與標準部署結合使用，以便支持內部用戶和外部用戶訪問。

4、安裝View Security Server

1) 配置Security Server的配對密碼

安裝Security Server之前，您必須配置Security Server配對密碼。View Connection Server 安裝程序會在安裝過程中提示您輸入該密碼。

Security Server配對密碼是一次性密碼，允許Security Server與 View Connection Server 實例配對。密碼被提供給 View Connection Server 安裝程序后，就會變成無效密碼。

步驟：

1 在 View Administrator 中，選擇 [View Configuration（View 配置）] [Servers（服務器）]。

2 在 [View Server] 窗格中，選擇要與Security Server配對的 View Connection Server 實例。

3 從 [More Commands（更多命令）] 下拉菜單中選擇 [Specify Security Server Pairing Password（指定Security Server配對密碼）]。

4 在 [Pairing password(配對密碼）] 和 [Confirm password（確認密碼）] 文本框中分別鍵入密碼并指定密碼超時值。

您必須在指定的超時期限內使用密碼。

5 單擊 [OK（確定）] 配置密碼。

2) 安裝Security Server

1Security Server使用的安裝介質，和Connection Server相同。

將

“VMware-viewconnectionserver-x86_64-5.0.0-481677.exe”，拷貝到Security

Server上，Security Server建議使用物理服務器，操作系統(tǒng)建議Windows Server 2008

R2。如果是32位操作系統(tǒng)，請選擇正確的Connection Server安裝包。

2 啟動 View Connection Server 安裝程序，請雙擊安裝程序文件。

3 接受 VMware 許可條款。

4 接受或更改目標文件夾。

5 選擇 [View Security Server] 安裝選項。

6 在 [Server（服務器）] 文本框中鍵入要與Security Server配對的 View Connection Server 實例的主機域名全稱或 IP 地址。

Security Server會將網絡流量轉發(fā)到此 View Connection Server 實例。

7 在 [Password（密碼）] 文本框中鍵入Security Server配對密碼。

如果密碼已過期，可以使用 View Administrator 配置一個新密碼，然后在安裝程序中鍵入新密碼。

8 在 [External URL（外部 URL）] 文本框中，為使用 RDP 或 PCoIP 顯示協(xié)議的 View Client 鍵入Security Server的外部 URL。

URL 必須包含協(xié)議、客戶端可解析的Security Server名或 IP 地址以及端口號。在網絡外運行的安全加密鏈路客戶端會使用該 URL 連接Security Server。

例如：

9 在 [PCoIP External URL（PCoIP 外部 URL）] 文本框中，為使用 PCoIP 顯示協(xié)議的 View Client 鍵入Security Server的外部 URL。

將 PCoIP 外部 URL 指定為包含端口號 4172 的 IP 地址。請勿包含協(xié)議名。

例如： 10.20.30.40:4172

URL 中必須包含能供客戶端系統(tǒng)連接到Security Server的 IP 地址和端口號。僅在Security Server上安裝了 PCoIP安全網關的情況下，您才可以在該文本框中鍵入內容。

10 如果您在 Windows Server 2008 上安裝Security Server，請選擇如何配置 Windows 防火墻服務。

選項操作

Configure Windows Firewall automatically（自動配置 Windows 防火墻）

讓安裝程序將 Windows 防火墻配置為允許所需的網絡連接。

Do not configure Windows Firewall

（不配置 Windows 防火墻）

手動配置 Windows 防火墻規(guī)則。如果在 Windows Server 2003 R2 上安裝Security Server，必須手動配置所需的 Windows 防火墻規(guī)則。

11 完成安裝向導以完成安裝Security Server。

Security Server服務將安裝在 Windows Server 計算機中：

VMware View Security Server

VMware View Framework 組件

VMware View Security Gateway 組件

VMware View PCoIP 安全網關

5、在View Manager中配置 Security Server

在View Manager的管理界面上，點擊servers:

在右上角Security Server欄中，點擊edit

在相應位置填入Security Server外網IP

在下方Connection Server配置的地方，點擊Edit

在相應位置填入Connection Server 本身的IP地址:192.168.1.202

如

果Connection Server安裝在Windows Server 2003上，下面一欄“PCOIP External

URL”是灰色的，當勾選“Use PCOIP Secure Gateway for PCOIP connections to

desktop”時，可以忽略警告

6、配置防火墻規(guī)則

基于 DMZ 的Security Server部署中必須包含兩個防火墻。

需要部署一個面向外部網絡的前端防火墻，用于保護 DMZ 和內部網絡。您需要將該防火墻配置為允許外部網絡流量到達 DMZ。

需要在 DMZ 和內部網絡之間部署一個后端防火墻，用于提供第二層安全保障。您需要將該防火墻配置為僅接受 DMZ 內的服務產生的流量。

防火墻策略可嚴格控制來自 DMZ 服務的入站通信，這樣將大幅降低內部網絡泄露的風險。

基于 DMZ 的Security Server的防火墻規(guī)則

您需要為基于 DMZ 的Security Server配置特定的前端防火墻規(guī)則和后端防火墻規(guī)則。

1）前端防火墻規(guī)則

要允許外部客戶端設備連接到 DMZ 中的Security Server，前端防火墻必須允許特定 TCP 和 UDP 端口上的流量。

2）后端防火墻規(guī)則

要

允許Security Server與內部網絡中的每個 View Connection Server 實例通信，后端防火墻必須允許特定 TCP

端口上的入站流量。位于后端防火墻后面的內部防火墻必須采用類似配置，以允許 View 桌面和 View Connection Server

實例相互通信。

用于 View Connection Server 相互通信的 TCP 端口

View

Connection Server 實例組使用其他 TCP 端口來相互通信。例如，View Connection Server 實例使用端口

4100 來相互傳輸 JMS 路由器之間 (JMSIR) 的流量。同一組中的 View Connection Server

實例之間一般不使用防火墻

3）View Connection Server 的防火墻規(guī)則

在防火墻上必須為 View Connection Server 實例及Security Server打開某些端口。

在

Windows Server 2008 上安裝 View Connection Server 時，安裝程序可為您配置所需的 Windows

防火墻規(guī)則（可選）。在 Windows Server 2003 R2 上安裝 View Connection Server

時，必須手動配置所需的 Windows防火墻規(guī)則。

4）View Agent 的防火墻規(guī)則

View Agent 安裝程序會打開防火墻上的特定 TCP 端口。如非特別注明，端口均為傳入端口。

5） PCoIP 安全網關

從

View 4.6 開始，Security Server中包含一個 PCoIP 安全網關組件。在啟用了 PCoIP

安全網關的情況下，通過身份驗證后，使用 PCoIP 協(xié)議的 View 客戶端可與Security

Server再建立一條安全連接。此連接允許遠程客戶端通過 Internet 訪問 View 桌面。

啟用 PCoIP 安全網關組件后，Security Server將 PCoIP 流量轉發(fā)至 View 桌面。如果使用 PCoIP 的客戶端也使用USB 重定向功能或多媒體重定向 (MMR) 加速功能，您可以啟用 View 安全網關組件來轉發(fā)這些數據。

配置直接客戶端連接時，PCoIP 流量和其他流量從 View 客戶端直接轉到 View 桌面。

終

端用戶（如家庭用戶或移動用戶）通過 Internet 訪問桌面時，Security Server可提供所需的安全級別和連接性能，因此無需使用

VPN 連接。PCoIP

安全網關組件可確保唯一能夠訪問企業(yè)數據中心的遠程桌面流量是通過嚴格驗證的用戶產生的流量。終端用戶只能訪問被授權訪問的桌面資源。

VMware View Client怎么添加服務器

經過一段時間的努力，我已經搭建好了VMware View 5的測試環(huán)境，整個測試環(huán)境如圖1所示。

圖1 VMware View測試環(huán)境

在圖1的環(huán)境中，主要由2臺DL388G7、16GB內存、Intel E5620CPU、4千兆網卡的服務器組成。VMware View Connection Server（簡稱VCS）、VCS安全連接服務器、vCenter Server（簡稱VC）、Active Directory服務器、DHCP與WSUS服務器運行在其中的一臺服務器中，Windows 7與Windows XP虛擬桌面模板也運行在這臺服務器中。而另一臺服務器則承載Windows 7、Windows XP的虛擬桌面池與Windows Server 2003終端虛擬桌面。在網絡的出口，由一臺路由器連接到Internet。在網絡中，還有一臺證書服務器。在Internet網絡中，使用不同的系統(tǒng)、PC機、筆記本、平板，安裝VMware View Client使用VMware View 5虛擬桌面。

【說明】（1）如果VMware View 5虛擬桌面只在局域網中使用，則不需要配置VMware VCS安全連接服務器。

（2）在路由器中，需要將TCP的443端口、TCP與UDP的4172端口映射到VCS安全連接服務器。

（3）在使用VMware View虛擬桌面時，需要使用證書服務器。

有關VMware VCS服務器的安裝與配置會在后面的文章中介紹，本文介紹在IPAD2中使用VMware View Client的內容。

在IPAD2中使用VMware View Client的主要步驟如下。

（1）安裝信任證書頒發(fā)機構，如圖2～圖4所示。

圖2 在IPAD2中登錄證書頒發(fā)機構

圖3 當前證書不可信，選擇“安裝”

圖4 安裝證書完成

（2）安裝VMware View For IPAD客戶端，你可以直接在Itunes中搜索下載，該程序免費。

（3）安裝完成后，運行VMware View程序，如圖5所示。

圖5 運行VMware View

（4）單擊右面的“+”添加服務器的地址，注意，需要使用域名而不是IP地址。添加之后，連接該服務器，輸入VMware View用戶名與密碼，如圖6所示。

圖6 輸入用戶名與密碼

（5）從列表中，選擇一個虛擬桌面，當前配置了Windows 7與Windows Server 2003的虛擬桌面，在此選擇Windows 7虛擬桌面，如圖7所示。

圖7 Windows 7虛擬桌面

【說明】VMware View For IPAD只支持PCoIP協(xié)議的虛擬桌面，不能使用RDP協(xié)議連接VMware View虛擬桌面。所以，如果是基于終端的VMware View虛擬桌面，在IPAD中不受支持。

（6）稍后會登錄到虛擬桌面，如圖8所示。

圖8 登錄到虛擬桌面

（7）在第一次登錄時，會顯示“手勢”的幫助，如圖9所示。

圖9 手勢幫助

稍后的時候，你也可以單擊屏幕上方中間的按鈕，在“幫助”中顯示這個手勢幫助。

（8）這是在Windows 7虛擬桌面中使用Office 2010的內容，如圖10所示。

圖10 使用Office 2010

小記：

在VMware View虛擬桌面中，如果要前后翻頁，除了拖動右側的滑動條外，還可以用“手勢（雙指上下動）”上下滾動，不能像在IPAD的界面中，直接用手拖動。

網頁題目：view安全服務器配置 anyview服務器無響應
地址分享：http://www.muchs.cn/article4/ddehhoe.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網站制作、關鍵詞優(yōu)化、全網營銷推廣、域名注冊、網站設計公司、建站公司

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)