Web站點規(guī)劃設計性能優(yōu)化及安全性課件

第8章

Web站點規(guī)劃設計、性能優(yōu)化及安全性（學時數(shù)：1學時）學習要點：1.了解Web站點分類2.熟悉Web站點建設的流程3.了解Web站點規(guī)劃與設計的一般性原則4.掌握Web站點性能優(yōu)化和提高其安全性的技術措施Web站點規(guī)劃設計、性能優(yōu)化及安全性Web站點建設過程中還必須考慮Web站點的訪問性能和安全性問題。本章主要介紹Web站點建設的總體規(guī)劃過程，并在Web站點性能和安全性方面給出一些方法與原則，使讀者對構建Web站點的整個過程有一個清晰和明確的了解。

8.1Web站點的分類及運行目的8.1.1Web站點分類8.1.2Web站點的運行目的8.7Web站點性能優(yōu)化8.7.1優(yōu)化Web服務器硬、軟件配置8.7.2改善Web應用程序的性能8.8Web站點的安全性8.8.1在安裝IIS6.0的服務器上應考慮的安全問題8.8.2在安裝SQLSERVER的服務器上應考慮的安全問題8.8.3開發(fā)Web站點程序應考慮的安全性問題3.按Web站點的所有權劃分政府性Web站點例如重慶市政府公眾信息網(wǎng)()。學校Web站點例如重慶大學網(wǎng)()。企事業(yè)Web站點例如重慶長安網(wǎng)()。組織性Web站點例如中國網(wǎng)()。個人Web站點等。4.按組成網(wǎng)頁的形式劃分

文字型Web站點。主要是由文字構成的,例如新浪網(wǎng)()。圖片型Web站點。以圖片為主,如“可口可樂中國”()。5.按Web站點使用范圍劃分大眾型Web站點。面向所有互聯(lián)網(wǎng)上的用戶，例如google、搜狐、QQ等。企業(yè)型Web站點。面向企業(yè)用戶，企業(yè)的業(yè)務處理在互聯(lián)網(wǎng)上都通過該站點來實現(xiàn)。局部型Web站點。位于企業(yè)內部網(wǎng)Intranet上的Web站點。

8.1.2Web站點的運行目的1.信息服務例如學校、政府、企業(yè)形象宣傳、企業(yè)商品信息的發(fā)布等都是免費的，而很多網(wǎng)站大都提供有償信息服務。2．教育和娛樂例如網(wǎng)上學校、遠程教學、網(wǎng)上培訓等等。另外大量游戲、音樂、視頻網(wǎng)站等用于公眾娛樂。3．辦公和信息管理站點建設的目的主要是為了提供辦公自動化或者進行企業(yè)的信息化管理等。4．電子商務8.2Web站點的目錄結構和鏈接結構（1）不要將網(wǎng)站內容全部放在一個目錄中，按菜單欄目內容建立子目錄。（2）目錄的層次不要太深，盡量用英文命名目錄和文件名8.2.1.Web站點的目錄結構Web站點的鏈接結構是指頁面之間相互鏈接的拓撲結構，它建立在目錄結構基礎之上,而且可以跨越目錄。Web站點的鏈接結構有三種基本方式：（1）樹狀鏈接結構。（2）星狀鏈接結構。（3）混合結構。8.2.2.Web站點的鏈接結構8.3Web站點的主題、名稱和Logo標志建設一個網(wǎng)站首先要確定網(wǎng)站所屬類別下的主題。主題是Web站點的靈魂，一個好的Web站點首先需要好主題。一旦確定站點主題,就應該圍繞主題給Web站點起一個名字即Web站點名稱。Web站點名稱對Web站點的形象和宣傳推廣有很大影響。Web站點的名稱選擇一般來說應合法、合情、合理，而且不能用色情的、迷信的、反動的、危害社會安全的名詞。名稱能體現(xiàn)Web站點的內涵，給瀏覽者更多的新意和空間想象力。例如黑客基地、久聽音樂和圖書時空等。站點標志作用類似于商標，它是Web站點特色和內涵的集中體現(xiàn)。最常用和最簡單的方式是將自己Web站點的名稱作為標志。采用不同的字體、字母的變形或組合可以很容易制作好自己的標志，如搜索引擎Google的標志，就很有動感特色。8.4Web站點規(guī)劃的內容1.建設Web站點前的市場分析2.建設Web站點的目的及功能定位3.Web站點技術解決方案4.Web站點內容規(guī)劃5.網(wǎng)頁設計6.Web站點測試7.Web站點發(fā)布與推廣8.Web站點維護9.Web站點建設日程表10.費用明細

1.以客戶為中心進行Web站點設計2.總體設計方案主題鮮明3.網(wǎng)頁形式與內容統(tǒng)一4.Web站點的結構5.訪問速度6.充分利用多媒體技術7.Web站點信息的動態(tài)發(fā)布8.提供和用戶相互溝通的渠道

8.5設計Web站點的一般性原則8.6建設Web站點的一般步驟1.Web站點準備階段進行可行性分析，規(guī)劃出Web站點的大致結構?？紤]采用哪一種操作系統(tǒng)、Web服務器、郵件服務器、數(shù)據(jù)庫服務器。進行數(shù)據(jù)庫的初步規(guī)劃，考慮開發(fā)維持Web站點的費用問題。2.域名注冊域名注冊實際上就是申請Web站點的一個名稱，以方便人們來訪問Web站點。域名具有唯一性，已被企業(yè)譽為“企業(yè)的網(wǎng)上商標”。域名中.com表示工、商、金融企業(yè)；.edu表示教育機構；.gov表示政府部門；.net表示網(wǎng)絡服務部門；.ac表示科研機構。國內域名中.cn表示中國，其它如.hk表示香港；.us表示美國等等。4.確定Web站點的組織與風格在上述工作基礎上，確定Web站點的主頁版面，色彩搭配等，勾畫出整個Web站點系統(tǒng)的所有全貌，包括每個頁面的版式布局、鏈接關系、注意事項等。Web站點的結構層次不能太深，應遵從“三次單擊”原則，即Web站點的任何信息都應該在最多三次單擊后找到。應該使得網(wǎng)頁內容可以在InternetExplorer和Netscape兩種主流瀏覽器中都能被正常顯示。Web站點的組織與風格是至關重要的。一個成功的網(wǎng)頁應包含Web站點名稱、Web站點徽標、網(wǎng)頁標題、網(wǎng)頁內容、指向主頁的鏈接、指向其它網(wǎng)頁的鏈接、版權陳述、Web站點的Email地址和其它聯(lián)系方法等基本要素。一個網(wǎng)頁的長度一般應控制在2頁到3頁的篇幅內。在進行網(wǎng)頁的版面設計時應注意頁面的簡潔性和高效性，讓人們易于找到所關心的信息，不要讓精美的動畫和花哨的圖片喧賓奪主。Web站點應確定一個主色調和一個統(tǒng)一的字體風格、圖素風格等。頁面布局采用框架結構還是采用表格方式應根據(jù)實際情況確定。抓住能傳達主要信息的字眼作為超鏈接；通常采用層疊樣式單（CSS）來保持頁面的字體、字體顏色、背景、邊框、文本屬性等風格的一致。5.Web站點開發(fā)和運行環(huán)境的確定根據(jù)站點運行的實際情況確定Web站點的運行環(huán)境。在Windows下對于一般性Web站點比較理想的運行環(huán)境是WindowsServer2003操作系統(tǒng)+IIS6.0Web服務器+MicrosoftSQlServer2000/2005數(shù)據(jù)庫服務器。JAVAEE和.NET開發(fā)平臺各領風騷，一般認為用Java平臺開發(fā)的站點其安全性和運行效率要優(yōu)于.NET平臺開發(fā)的站點。但Java平臺提倡開源，工具的多樣性和復雜性造成對開發(fā)者的要求很高，增加了開發(fā)難度和系統(tǒng)的維護成本，而.NET則易于學習和使用，站點易于實現(xiàn)，系統(tǒng)維護成本低。6.Web站點的開發(fā)

Web站點的開發(fā)涉及到項目負責人、設計人員、程序員、網(wǎng)頁制作人員和美工等。其中項目負責人負責站點內容的總體設計、進度和人員安排等；設計人員負責站點頁面布局和整個站點程序的設計、數(shù)據(jù)庫設計等工作；程序員主要負責服務器端程序開發(fā)等；網(wǎng)頁制作人員負責開發(fā)網(wǎng)頁工作等；美工人員則負責制作動畫和圖片，并嵌入到網(wǎng)頁中去。通過FrontPage、DreamWeaver、MicrosoftInterdev6.0/VS2005等等工具來建設Web站點可大大提高工作效率。建設Web站點過程中掌握Vbscript或Javascript腳本語言的使用是必須的，只有靈活使用這些腳本語言，才可以開發(fā)出活潑、動態(tài)的交互式動態(tài)HTML頁面。9.Web站點的運行安全和維護管理涉及到Web站點的安全性方面的問題比較多，主要包括：身份竊取、數(shù)據(jù)竊取、假冒、非授權存取、錯誤路由、否認、拒絕服務等等。在站點服務器上要保證操作系統(tǒng)的漏洞及時得到升級，精心配置Web服務器、郵件服務器、數(shù)據(jù)庫服務器的各項參數(shù)設置。Web站點的維護和管理包括服務器的維護、站點程序的維護、內容的更新和信息的發(fā)布等。主要工作包括要對存在的問題進行修改、對Web站點內容進行更新或修改、及時清除一些垃圾頁面或圖片、對數(shù)據(jù)庫進行備份等。

8.7Web站點性能優(yōu)化8.7.1優(yōu)化Web服務器硬、軟件配置

使用快速的磁盤和好的網(wǎng)絡存取機制，能明顯改進Web站點訪問速度?？梢赃\用特定網(wǎng)卡（如Akamba公司的Velobahn）來改進服務器的速度，或是采用相關技術優(yōu)化網(wǎng)絡接口卡的性能。這類網(wǎng)卡可減輕Web服務器CPU的負荷，使其從繁瑣的網(wǎng)絡協(xié)議處理中解脫出來，而集中于頁面處理和服務提供?？梢詾閃eb服務器增加反向緩沖代理，使服務器能夠順利實現(xiàn)已創(chuàng)建頁面的傳輸，同時在創(chuàng)建動態(tài)頁面過程中減輕服務器負荷。可以通過對數(shù)據(jù)庫服務器和Web服務器的配置在緩沖、壓縮、帶寬限制、進程限制等方面提高Web站點的性能。

8.8Web站點的安全性

（1）采用NTFS分區(qū)；盡可能安裝操作系統(tǒng)的最新服務包和修補程序；增強口令的安全性；在網(wǎng)絡配置中禁用WINS、NETBIOS、LMHOST(用于IP地址與Windows計算機名稱的映射)；停掉或卸載不必要的進程或服務。（2）將磁盤上的默認Web站點位置從c:\inetpub\更改到其它位置。（3）使用IIS鎖定工具（IISLockdownTool）刪除應用程序中未使用的所有其它動態(tài)內容類型，以縮小攻擊者可用來攻擊的區(qū)域；（4）確保應用程序使用低權限的ASP.NET賬戶運行ASP.NET代碼；

8.8.1在安裝IIS6.0的服務器上應考慮的安全問題（5）將ASP.NET賬戶添加到IIS鎖定工具創(chuàng)建的本地“Web應用程序組”，以防進程運行任何未得到授權的命令行可執(zhí)行程序；（6）停掉默認的Web網(wǎng)站，新建一個網(wǎng)站作為Web應用程序站點，用虛擬目錄來指定Web訪問路徑；（7）配置URLScan2.5，使其只允許應用程序中使用的擴展集，并阻止較長的請求（URLScan2.5是由IIS鎖定工具安裝的，是一個ISAPI過濾器，可根據(jù)查詢長度和字符集等規(guī)則監(jiān)視和過濾發(fā)送到IISWeb服務器的所有輸入請求）；（8）設置Web內容目錄的訪問權限，授予ASP.NET進程對內容文件的讀訪問權限，授予匿名用戶對所提供內容的適當只讀訪問權限；（9）限制對IIS和URLScan的日志目錄的訪問，只有系統(tǒng)賬戶和系統(tǒng)管理員組才具有訪問權限。（10）安裝防病毒軟件和防木馬軟件等，啟用計算機的防火墻功能。僅留必要的端口號。（11）創(chuàng)建注冊表項：nolmhash、NoDefaultExempt、DisableIPSourceRouting、SynAttackProtect來提高系統(tǒng)安全性。(12)通過對Web訪問的日志進行審計，可以發(fā)現(xiàn)一些對安全方面有幫助的信息。（1）SQLServer安裝在NTFS分區(qū)上；（2）為數(shù)據(jù)庫訪問建立替代帳號，并為替代帳號設置數(shù)據(jù)庫訪問角色，不要用sa帳號。（3）安裝數(shù)據(jù)庫系統(tǒng)的最新服務包（對SQLserver2000應安裝ServicePack4）。（4）將數(shù)據(jù)庫系統(tǒng)設置成禁用其它SQLSERVER通過RPC遠程連接；（5）選擇低權限本地賬戶，啟動SQLServer服務；（6）停止DistributedTransactionCoordinator(MSDTC)服務，并將其設置為手動啟動。（7）禁止數(shù)據(jù)庫服務器運行COM+應用程序；8.8.2在安裝SQLSERVER服務器上應考慮的安全問題（8）限制所支持的身份驗證協(xié)議的級別（在[控制面板]|[管理工具]|[本地安全設置]|[安全設置]|[本地策略]|[安全選項]:LANManager身份驗證級別中進行設置）；（9）禁用應用程序不需要的SQLServer代理和Microsoft搜索服務；（10）設置ServerNetwork的網(wǎng)絡屬性,由“直接客戶端廣播”改為“隱藏SQLServer”；（11）如應用程序不使用“命名管道”協(xié)議，則刪除之；（12）限制數(shù)據(jù)庫用戶只具有用得到的數(shù)據(jù)庫操作權限。（13）"xp_cmdshell"是擴展存儲過程，可以執(zhí)行操作系統(tǒng)級命令，該存儲過程的功能通過SQLSERVER安裝目錄中的文件"C:\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll"獲得，如果系統(tǒng)沒有用到"xp_cmdshell"擴展存儲過程，請將該文件換名或刪除掉。8.8.2在安裝SQLSERVER服務器上應考慮的安全問題（1）對Web應用系統(tǒng)應建立基于角色的用戶權限管理機制；（2）使用參數(shù)化存儲過程。（3）輸入有效性驗證。（4）盡量少用session和Application變量，切忌不要通過session用來在頁面間傳遞大數(shù)據(jù)量。（5）信息加密存儲。8.8.3開發(fā)Web站點程序應考慮的安全性問題<authenticationmode="Forms"><formsname="userInfo"loginUrl="login.aspx"protection="All"></forms></authentication><authorization><denyusers="?"/></authorization>

（6）窗體身份驗證。窗體身份驗證即是當用戶請求一個安全頁面時，系統(tǒng)要對其進行判斷，如果該用戶已經(jīng)登錄系統(tǒng)并尚未超時，系統(tǒng)將返回此頁面給請求用戶；反之如該用戶尚未登錄，系統(tǒng)就要將此用戶重定向到登錄頁面。以上所述功能的實現(xiàn)只需對Web.config文件進行如下配置即可。在登錄頁面中添加如下代碼：if(與數(shù)據(jù)庫的用戶名密碼字段比較判斷用戶是否合法){System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text,false);}else{Response.Write("身份不合法!");}8.8.3開發(fā)Web站點程序應考慮的安全性問題對進行身份驗證的登錄頁本身，應該采取兩步方式驗證用戶存在且密碼正確，且不可為圖簡便而使用一條SQL語句進行驗證（如果攻擊者攻破Web站點，并將SQL語句的where子句末尾加上一段永遠為真的判斷語句，則無論何時他都可以通過身份驗