Web站點(diǎn)規(guī)劃設(shè)計(jì)

學(xué)習(xí)要點(diǎn)：1.了解Web站點(diǎn)分類2.熟悉Web站點(diǎn)建設(shè)的流程3.了解Web站點(diǎn)規(guī)劃與設(shè)計(jì)的一般性原則4.掌握Web站點(diǎn)性能優(yōu)化和提高其安全性的技術(shù)措施Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及安全性8.5設(shè)計(jì)Web站點(diǎn)的一般性原則8.6建設(shè)Web站點(diǎn)的一般步驟8.7Web站點(diǎn)性能優(yōu)化8.8Web站點(diǎn)的安全性

1.以客戶為中心進(jìn)行Web站點(diǎn)設(shè)計(jì)2.總體設(shè)計(jì)方案主題鮮明3.網(wǎng)頁形式與內(nèi)容統(tǒng)一4.Web站點(diǎn)的結(jié)構(gòu)5.訪問速度6.充分利用多媒體技術(shù)7.Web站點(diǎn)信息的動(dòng)態(tài)發(fā)布8.提供和用戶相互溝通的渠道

8.5設(shè)計(jì)Web站點(diǎn)的一般性原則8.6建設(shè)Web站點(diǎn)的一般步驟1.Web站點(diǎn)準(zhǔn)備階段進(jìn)行可行性分析，規(guī)劃出Web站點(diǎn)的大致結(jié)構(gòu)?？紤]采用哪一種操作系統(tǒng)、Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器。進(jìn)行數(shù)據(jù)庫的初步規(guī)劃，考慮開發(fā)維持Web站點(diǎn)的費(fèi)用問題。2.域名注冊域名注冊實(shí)際上就是申請Web站點(diǎn)的一個(gè)名稱，以方便人們來訪問Web站點(diǎn)。域名具有唯一性，已被企業(yè)譽(yù)為“企業(yè)的網(wǎng)上商標(biāo)”。域名中.com表示工、商、金融企業(yè)；.edu表示教育機(jī)構(gòu)；.gov表示政府部門；.net表示網(wǎng)絡(luò)服務(wù)部門；.ac表示科研機(jī)構(gòu)。國內(nèi)域名中.cn表示中國，其他如.hk表示香港；.us表示美國等等。

國際域名是否已經(jīng)被注冊可通過erNIC.org(國際互聯(lián)網(wǎng)絡(luò)信息中心interNIC)或者站點(diǎn)進(jìn)行檢查；國內(nèi)域名是否已經(jīng)被注冊可通過(中國互聯(lián)網(wǎng)絡(luò)信息中心CNNIC)站點(diǎn)進(jìn)行檢查。注冊國際域名由國際域名管理機(jī)構(gòu)interNIC負(fù)責(zé)受理，手續(xù)非常簡便，只需上網(wǎng)到相關(guān)Web站點(diǎn)，填寫注冊表后提交，30天內(nèi)支付注冊費(fèi)后即可開通。國內(nèi)域名注冊的權(quán)威機(jī)構(gòu)是CNNIC。3.Web站點(diǎn)的需求分析和總體設(shè)計(jì)需求分析是網(wǎng)站設(shè)計(jì)的重要環(huán)節(jié)。在需求分析的基礎(chǔ)上進(jìn)行總體設(shè)計(jì)和數(shù)據(jù)庫設(shè)計(jì)。在此過程中確定站點(diǎn)建設(shè)所需要的軟件和硬件配置、連接因特網(wǎng)的方式、運(yùn)行和維護(hù)費(fèi)用等。4.確定Web站點(diǎn)的組織與風(fēng)格在上述工作基礎(chǔ)上，確定Web站點(diǎn)的主頁版面，色彩搭配等，勾畫出整個(gè)Web站點(diǎn)系統(tǒng)的所有全貌，包括每個(gè)頁面的版式布局、鏈接關(guān)系、注意事項(xiàng)等。Web站點(diǎn)的結(jié)構(gòu)層次不能太深，應(yīng)遵從“三次單擊”原則，即Web站點(diǎn)的任何信息都應(yīng)該在最多三次單擊后找到。應(yīng)該使得網(wǎng)頁內(nèi)容可以在InternetExplorer和Netscape兩種主流瀏覽器中都能被正常顯示。

Web站點(diǎn)的組織與風(fēng)格是至關(guān)重要的。一個(gè)成功的網(wǎng)頁應(yīng)包含Web站點(diǎn)名稱、Web站點(diǎn)徽標(biāo)、網(wǎng)頁標(biāo)題、網(wǎng)頁內(nèi)容、指向主頁的鏈接、指向其他網(wǎng)頁的鏈接、版權(quán)陳述、Web站點(diǎn)的Email地址和其他聯(lián)系方法等基本要素。一個(gè)網(wǎng)頁的長度一般應(yīng)控制在2頁到3頁的篇幅內(nèi)。在進(jìn)行網(wǎng)頁的版面設(shè)計(jì)時(shí)應(yīng)注意頁面的簡潔性和高效性，讓人們易于找到所關(guān)心的信息，不要讓精美的動(dòng)畫和花哨的圖片喧賓奪主。Web站點(diǎn)應(yīng)確定一個(gè)主色調(diào)和一個(gè)統(tǒng)一的字體風(fēng)格、圖素風(fēng)格等。頁面布局采用框架結(jié)構(gòu)還是采用表格方式應(yīng)根據(jù)實(shí)際情況確定。抓住能傳達(dá)主要信息的字眼作為超鏈接；通常采用層疊樣式單（CSS）來保持頁面的字體、字體顏色、背景、邊框、文本屬性等風(fēng)格的一致。5.Web站點(diǎn)開發(fā)和運(yùn)行環(huán)境的確定根據(jù)站點(diǎn)運(yùn)行的實(shí)際情況確定Web站點(diǎn)的運(yùn)行環(huán)境。在Windows下對于一般性Web站點(diǎn)比較理想的運(yùn)行環(huán)境是WindowsServer2003操作系統(tǒng)+IIS6.0Web服務(wù)器+MicrosoftSQlServer2000/2005數(shù)據(jù)庫服務(wù)器。JAVAEE和.NET開發(fā)平臺各領(lǐng)風(fēng)騷，一般認(rèn)為用Java平臺開發(fā)的站點(diǎn)其安全性和運(yùn)行效率要優(yōu)于.NET平臺開發(fā)的站點(diǎn)。但Java平臺提倡開源，工具的多樣性和復(fù)雜性造成對開發(fā)者的要求很高，增加了開發(fā)難度和系統(tǒng)的維護(hù)成本，而.NET則易于學(xué)習(xí)和使用，站點(diǎn)易于實(shí)現(xiàn)，系統(tǒng)維護(hù)成本低。6.Web站點(diǎn)的開發(fā)

Web站點(diǎn)的開發(fā)涉及到項(xiàng)目負(fù)責(zé)人、設(shè)計(jì)人員、程序員、網(wǎng)頁制作人員和美工等。其中項(xiàng)目負(fù)責(zé)人負(fù)責(zé)站點(diǎn)內(nèi)容的總體設(shè)計(jì)、進(jìn)度和人員安排等；設(shè)計(jì)人員負(fù)責(zé)站點(diǎn)頁面布局和整個(gè)站點(diǎn)程序的設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)等工作；程序員主要負(fù)責(zé)服務(wù)器端程序開發(fā)等；網(wǎng)頁制作人員負(fù)責(zé)開發(fā)網(wǎng)頁工作等；美工人員則負(fù)責(zé)制作動(dòng)畫和圖片，并嵌入到網(wǎng)頁中去。通過FrontPage、DreamWeaver、MicrosoftInterdev6.0/VS2005等等工具來建設(shè)Web站點(diǎn)可大大提高工作效率。建設(shè)Web站點(diǎn)過程中掌握Vbscript或Javascript腳本語言的使用是必須的，只有靈活使用這些腳本語言，才可以開發(fā)出活潑、動(dòng)態(tài)的交互式動(dòng)態(tài)HTML頁面。7.Web站點(diǎn)的測試

主要測試內(nèi)容有：功能測試和性能測試、安全性測試、穩(wěn)定性測試、瀏覽器兼容性測試、鏈接測試等?？赏ㄟ^一些專業(yè)工具檢查鏈接錯(cuò)誤，找出網(wǎng)頁制作中存在的各種問題。8.將Web站點(diǎn)接入Internet，并做好網(wǎng)站推廣

Web站點(diǎn)開發(fā)成功后，需要放到Internet網(wǎng)上作為一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)被網(wǎng)上用戶訪問。根據(jù)情況，選擇虛擬主機(jī)方式、服務(wù)器租用或托管方式、鋪設(shè)專線方式來接通Internet，供人們訪問。對于商業(yè)Web站點(diǎn)，正式開通后,如何宣傳自己的Web站點(diǎn)就成為Web站點(diǎn)能否發(fā)揮其作用的關(guān)鍵所在。站點(diǎn)推廣活動(dòng)有長期和短期的；有無償?shù)暮陀袃數(shù)?；有費(fèi)用高的和費(fèi)用低的，當(dāng)然效果也有所不同。比較簡單的是通過群發(fā)郵件、在各大論壇注冊后討論、讓搜索引擎幫忙等方式來推廣，在這方面使用一些適當(dāng)?shù)募记?可以得到百倍于投入的收益。9.Web站點(diǎn)的運(yùn)行安全和維護(hù)管理涉及到Web站點(diǎn)的安全性方面的問題比較多，主要包括：身份竊取、數(shù)據(jù)竊取、假冒、非授權(quán)存取、錯(cuò)誤路由、否認(rèn)、拒絕服務(wù)等等。在站點(diǎn)服務(wù)器上要保證操作系統(tǒng)的漏洞及時(shí)得到升級，精心配置Web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器的各項(xiàng)參數(shù)設(shè)置。

Web站點(diǎn)的維護(hù)和管理包括服務(wù)器的維護(hù)、站點(diǎn)程序的維護(hù)、內(nèi)容的更新和信息的發(fā)布等。主要工作包括要對存在的問題進(jìn)行修改、對Web站點(diǎn)內(nèi)容進(jìn)行更新或修改、及時(shí)清除一些垃圾頁面或圖片、對數(shù)據(jù)庫進(jìn)行備份等。

10.ASP.NET中編程注意事項(xiàng)（1）選擇適合的數(shù)據(jù)查看機(jī)制。（2）采用Server.Transfer重定向頁面。（3）在部署Web站點(diǎn)時(shí)，不要啟用調(diào)試模式。（4）將SqlDataReader類用于快速只進(jìn)數(shù)據(jù)游標(biāo)。（5）字符串操作性能優(yōu)化。（6）應(yīng)考慮編譯運(yùn)行Web應(yīng)用程序。（7）不要依賴代碼中的異常。（8）只在必要時(shí)保存服務(wù)器控件視圖狀態(tài)。（9）避免到服務(wù)器的不必要的往返過程。（10）使用Page.IsPostBack避免執(zhí)行不必要的處理。（11）當(dāng)不使用會話狀態(tài)時(shí)禁用它。（12）仔細(xì)選擇會話狀態(tài)提供程序。（13）不使用不必要的Web服務(wù)器控件。（14）優(yōu)化Web服務(wù)器配置文件。（15）緩存數(shù)據(jù)和頁面輸出。11.ASP.NET應(yīng)用程序性能測試8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web服務(wù)器硬、軟件配置8.7.2改善Web應(yīng)用程序的性能8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web服務(wù)器硬、軟件配置

使用快速的磁盤和好的網(wǎng)絡(luò)存取機(jī)制，能明顯改進(jìn)Web站點(diǎn)訪問速度?？梢赃\(yùn)用特定網(wǎng)卡（如Akamba公司的Velobahn）來改進(jìn)服務(wù)器的速度，或是采用相關(guān)技術(shù)優(yōu)化網(wǎng)絡(luò)接口卡的性能。這類網(wǎng)卡可減輕Web服務(wù)器CPU的負(fù)荷，使其從繁瑣的網(wǎng)絡(luò)協(xié)議處理中解脫出來，而集中于頁面處理和服務(wù)提供?？梢詾閃eb服務(wù)器增加反向緩沖代理，使服務(wù)器能夠順利實(shí)現(xiàn)已創(chuàng)建頁面的傳輸，同時(shí)在創(chuàng)建動(dòng)態(tài)頁面過程中減輕服務(wù)器負(fù)荷?？梢酝ㄟ^對數(shù)據(jù)庫服務(wù)器和Web服務(wù)器的配置在緩沖、壓縮、帶寬限制、進(jìn)程限制等方面提高Web站點(diǎn)的性能。

1.幫頁面減肥2.盡量使用靜態(tài)HTML頁面3．切忌將整個(gè)頁面內(nèi)容塞到一個(gè)Table中4.將ASP/ASP.NET、JSP、PHP等文件的訪問改為js文件引用5.使用iframe嵌套另一頁面。6.站點(diǎn)計(jì)數(shù)器的放置位置7．?dāng)?shù)據(jù)庫的連接和關(guān)閉8.盡量使用存儲過程9.優(yōu)化查詢語句8.7.2改善Web應(yīng)用程序的性能8.8Web站點(diǎn)的安全性8.8.1在安裝IIS6.0的服務(wù)器上應(yīng)考慮的安全問題8.8.2在安裝SQLSERVER的服務(wù)器上應(yīng)考慮的安全問題8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的安全性問題8.8Web站點(diǎn)的安全性

（1）采用NTFS分區(qū)；盡可能安裝操作系統(tǒng)的最新服務(wù)包和修補(bǔ)程序；增強(qiáng)口令的安全性；在網(wǎng)絡(luò)配置中禁用WINS、NETBIOS、LMHOST(用于IP地址與Windows計(jì)算機(jī)名稱的映射)；停掉或卸載不必要的進(jìn)程或服務(wù)。（2）將磁盤上的默認(rèn)Web站點(diǎn)位置從c:\inetpub\更改到其他位置。（3）使用IIS鎖定工具（IISLockdownTool）刪除應(yīng)用程序中未使用的所有其他動(dòng)態(tài)內(nèi)容類型，以縮小攻擊者可用來攻擊的區(qū)域；（4）確保應(yīng)用程序使用低權(quán)限的ASP.NET賬戶運(yùn)行ASP.NET代碼；

8.8.1在安裝IIS6.0的服務(wù)器上應(yīng)考慮的安全問題（5）將ASP.NET賬戶添加到IIS鎖定工具創(chuàng)建的本地“Web應(yīng)用程序組”，以防進(jìn)程運(yùn)行任何未得到授權(quán)的命令行可執(zhí)行程序；（6）停掉默認(rèn)的Web網(wǎng)站，新建一個(gè)網(wǎng)站作為Web應(yīng)用程序站點(diǎn)，用虛擬目錄來指定Web訪問路徑；（7）配置URLScan2.5，使其只允許應(yīng)用程序中使用的擴(kuò)展集，并阻止較長的請求（URLScan2.5是由IIS鎖定工具安裝的，是一個(gè)ISAPI過濾器，可根據(jù)查詢長度和字符集等規(guī)則監(jiān)視和過濾發(fā)送到IISWeb服務(wù)器的所有輸入請求）；（8）設(shè)置Web內(nèi)容目錄的訪問權(quán)限，授予ASP.NET進(jìn)程對內(nèi)容文件的讀訪問權(quán)限，授予匿名用戶對所提供內(nèi)容的適當(dāng)只讀訪問權(quán)限；8.8.1在安裝IIS6.0的服務(wù)器上應(yīng)考慮的安全問題（9）限制對IIS和URLScan的日志目錄的訪問，只有系統(tǒng)賬戶和系統(tǒng)管理員組才具有訪問權(quán)限。（10）安裝防病毒軟件和防木馬軟件等，啟用計(jì)算機(jī)的防火墻功能。僅留必要的端口號。（11）創(chuàng)建注冊表項(xiàng)：nolmhash、NoDefaultExempt、DisableIPSourceRouting、SynAttackProtect來提高系統(tǒng)安全性。

(12)通過對Web訪問的日志進(jìn)行審計(jì)，可以發(fā)現(xiàn)一些對安全方面有幫助的信息。8.8.1在安裝IIS6.0的服務(wù)器上應(yīng)考慮的安全問題（1）SQLServer安裝在NTFS分區(qū)上；（2）為數(shù)據(jù)庫訪問建立替代帳號，并為替代帳號設(shè)置數(shù)據(jù)庫訪問角色，不要用sa帳號。（3）安裝數(shù)據(jù)庫系統(tǒng)的最新服務(wù)包（對SQLserver2000應(yīng)安裝ServicePack4）。（4）將數(shù)據(jù)庫系統(tǒng)設(shè)置成禁用其他SQLSERVER通過RPC遠(yuǎn)程連接；（5）選擇低權(quán)限本地賬戶，啟動(dòng)SQLServer服務(wù)；（6）停止DistributedTransactionCoordinator(MSDTC)服務(wù)，并將其設(shè)置為手動(dòng)啟動(dòng)。（7）禁止數(shù)據(jù)庫服務(wù)器運(yùn)行COM+應(yīng)用程序；8.8.2在安裝SQLSERVER服務(wù)器上應(yīng)考慮的安全問題（8）限制所支持的身份驗(yàn)證協(xié)議的級別（在[控制面板]|[管理工具]|[本地安全設(shè)置]|[安全設(shè)置]|[本地策略]|[安全選項(xiàng)]:LANManager身份驗(yàn)證級別中進(jìn)行設(shè)置）；（9）禁用應(yīng)用程序不需要的SQLServer代理和Microsoft搜索服務(wù)；（10）設(shè)置ServerNetwork的網(wǎng)絡(luò)屬性,由“直接客戶端廣播”改為“隱藏SQLServer”；（11）如應(yīng)用程序不使用“命名管道”協(xié)議，則刪除之；（12）限制數(shù)據(jù)庫用戶只具有用得到的數(shù)據(jù)庫操作權(quán)限。（13）"xp_cmdshell"是擴(kuò)展存儲過程，可以執(zhí)行操作系統(tǒng)級命令，該存儲過程的功能通過SQLSERVER安裝目錄中的文件"C:\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll"獲得，如果系統(tǒng)沒有用到"xp_cmdshell"擴(kuò)展存儲過程，請將該文件換名或刪除掉。8.8.2在安裝SQLSERVER服務(wù)器上應(yīng)考慮的安全問題（1）對Web應(yīng)用系統(tǒng)應(yīng)建立基于角色的用戶權(quán)限管理機(jī)制；（2）使用參數(shù)化存儲過程。（3）輸入有效性驗(yàn)證。（4）盡量少用session和Application變量，切忌不要通過session用來在頁面間傳遞大數(shù)據(jù)量。（5）信息加密存儲。8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的安全性問題<authenticationmode="Forms"><formsname="userInfo"loginUrl="login.aspx"protection="All"></forms></authentication><authorization><denyusers="?"/></authorization>

（6）窗體身份驗(yàn)證。窗體身份驗(yàn)證即是當(dāng)用戶請求一個(gè)安全頁面時(shí)，系統(tǒng)要對其進(jìn)行判斷，如果該用戶已經(jīng)登錄系統(tǒng)并尚未超時(shí)，系統(tǒng)將返回此頁面給請求用戶；反之如該用戶尚未登錄，系統(tǒng)就要將此用戶重定向到登錄頁面。以上所述功能的實(shí)現(xiàn)只需對Web.config文件進(jìn)行如下配置即可。

在登錄頁面中添加如下代碼：if(與數(shù)據(jù)庫的用戶名密碼字段比較判斷用戶是否合法){System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text,false);}else{Response.Write("身份不合法!");}8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的安全性問題

對進(jìn)行身份驗(yàn)證的登錄頁本身，應(yīng)該采取兩步方式驗(yàn)證用戶存在且密碼正確，且不可為圖簡便而使用一條SQL語句進(jìn)行驗(yàn)證（如果攻擊者攻破Web站點(diǎn)，并將SQL語句的where子句末尾加上一段永遠(yuǎn)為真的判斷語句，則無論何時(shí)他都可以通過身份驗(yàn)證，這種攻擊稱為注入式攻擊）。