政府Web網站的創建與管理（下）

　　1、 政府Web服務器簡介

　　Web服務器的選擇對政府網站至關重要，當然政府的Web服務器從硬件的角度考慮主要是服務器本身硬件的配置和選擇，服務器具體配置的選擇包括：CPU、內存、硬盤與網絡適配器。針對政府Web網站的特點，可以選擇支持SMP的服務器，通過配置多CPU實現性能的提高；考慮到大量用戶并發請求將產生大量的進程、線程，因此內存是服務器配置中的重要考慮因素。服務器的類型即選擇哪家廠商的服務器，如Sun、HP、IBM等商家生產的服務器以及服務器的型號等硬件設備。從軟件的角度考慮主要是服務器上運行的操作系統和Web服務器軟件的選擇使用。在UNIX和LINUX平臺下使用最廣泛的免費HTTP服務器是W3C、NCSA和APACHE服務器，而Windows平臺NT/2000使用IIS的WEB服務器。在選擇使用WEB服務器應考慮的特性因素有：性能、安全性、日志和統計、虛擬主機、代理服務器、緩沖服務和集成應用程序等。下面重點介紹一下政府網站經常使用的幾種Web服務器軟件。

　　·BEAWeblogic

　　針對用戶對加強企業軟件基礎的需求，BEAWebLogicEnterprisePlatform帶來了統一的應用基礎結構平臺，這一平臺以業內第一應用服務器為核心，完美地集成了門戶、集成、系統管理、安全、開發和部署六大技術門類。

　　BEA致力于通過一套統一的、簡便的和可擴展的企業平臺，提供六種技術功能，并帶來了運行全球性網絡所需的可擴展性、可靠性和安全性。適應了全球的網絡工作環境。BEAWebLogicEnterprisePlatform,以業內領先的核心產品BEAWebLogicServer7.0為核心，并包括獲獎的BEAWebLogicPortal、BEAWebLogicIntegration和新產品BEAWebLogicWorkshop（前代碼為Cajun），以及由1000多家ISV基于BEA平臺所開發的第三方應用。BEA的平臺提供的應用結構基礎簡化了信息流、降低了應用管理成本，并使得企業更加靈活，更具效率，實現全面連接。

　　BEAWebLogicEnterprisePlatform所提供的應用基礎結構的特征：

　　*統一性--BEAWebLogicEnterprisePlatfrom是唯一融6種應用基礎結構功能于一體的應用基礎結構軟件。一套統一的應用基礎結構能節省時間和資金，并確保企業軟件更和諧地協同工作。
　　*簡便性--BEAWebLogicEnterprisePlatform消除了應用基礎結構的復雜性。簡便的應用基礎結構，可讓企業軟件開發人員和IT工作人員更富效率，更少失誤。
　　*可擴展性--BEAWebLogicEnterprisePlatform既能夠與已有的遺留系統協作，也能與未來的新系統協作?？蓴U展的應用基礎結構為企業帶來必要的敏捷性，讓企業能夠快速地適應新的軟件需求，且避免以往那些導致大量軟件項目失敗的復雜性。

　　·IBMWebSphere

　　WebSphere是因特網的基礎架構軟件，也就是我們所說的中間件。它使企業能夠開發、部署和集成新一代電子商務應用（如B2B的電子交易），并且支持從簡單的Web發布到企業級事務處理的商務應用。WebSphere轉變了企業對客戶、合作伙伴及雇員之間關系的管理方式。例如您可以通過它提高站點傳輸數據的數量和質量，從而大幅提升您的Web應用的性能，并將擴展的應用程序與移動設備相結合，讓銷售隊伍能夠為客戶提供更快捷的服務，或者構建電子市場以降低資源獲取的成本。

　　實現實現穩固Web環境的強大電子商務應用：

　　*支持高性能、可伸縮的中級和高級事務處理環境。
　　*能夠與關系數據庫、事務處理系統和其它應用實現功能強大的集成。
　　*包含了一個基于Apache的HTTP服務器，并能夠支持其它主流的Web服務器，同時提高了安全性和可控制性。
　　*包含全面的Web站點內容和使用分析器及報告工具。
　　*能夠使用Java應用以及企業JavaBeans組件并對其進行管理。
　　*通過支持跨多平臺的業界標準的EJB規劃模型，能夠減少電子商務應用開發與部署的時間和相關成本。
　　*強大的功能、可擴展性及安全性。
　　*WebSphere應用服務器的目標是更廣泛的功能、更大的可擴展性以及更強的安全控制。它提供了一個強大的、跨平臺的、基于Web技術的Web應用平臺，能夠支持電子商務應用和組件的部署和展開，這些電子商務應用和組件包括Javaservlet、JavaBeanse、JavaServerPages(JSP)、企業JavaBeanse(EJB)組件，可用于事務處理、企業系統訪問和動態Web內容的實現。

　　·NetscapeIPlanetWebServer/NetscapeApplicationServer

　　為了提高性能，Netscape在它的Web服務器中引進了應用程序編程接口NSAPI（NetscapeServerAPI）。利用NSAPI，開發人員可以擴展服務器的功能，包括對外部數據庫的訪問。NSAPI可支持WindowsNT、Solaris和HP/UX等平臺。

　　IPlanetWebServer（NetscapeEnterpriseServer）以能在眾多的不同平臺上運行見長，主要功能有：帶有客戶端授權的SSl（SecureSocketsLayer）、Verity的集成式檢索器、SNMP、出色的數據庫聯接功能及Web網站內容管理等。NetscapeServer作為可靠的Web應用服務的另一個關鍵是NetscapeApplicationServer(NAS)。NAS是一種編程環境，支持Java和C＋＋對象，使得應用的伸縮性和容錯能力強。NAS包含的工具允許用戶建立多線程的應用，并且可以集成HTMl，數據庫查詢，以及在NAServer上實現的商業邏輯。

　　在WindowsNT上的IPlanetWebServer同樣是一個大型Web服務器，擁有廣泛的第三方組件及工具支持，而且支持多種編程模型。比如，除了支持傳統的HTML和CGI外，Netscape還支持服務器端的JavaScript，支持IIOP（InternetInterOrbProtocol，一個用于與第三方的CORBA軟件通訊的協議）。Netscape還提供了優秀的用戶及安全性管理。

　　NetscapeDirectoryServer提供了結構化的LDAP目錄服務，借助LDAP目錄服務，可以更有效更靈活地管理用戶及資源。

　　·Apache

　　Apache源于NCSAhttpd服務器，經過多次修改，成為世界上最流行的Web服務器軟件之一。Apache取自"apatchyserver"的讀音，意思是充滿補丁的服務器，因為它是自由軟件，所以不斷有人來為它開發新的功能、新的特性、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩定，并可做代理服務器來使用。本來它只用于小型或試驗Internet網絡，后來逐步擴充到各種Unix系統中，尤其對Linux的支持相當完美。Apache有多種產品，可以支持SSL技術，支持多個虛擬主機。Apache是以進程為基礎的結構，進程要比線程消耗更多的系統開支，不太適合于多處理器環境，因此，在一個ApacheWeb站點擴容時，通常是增加服務器或擴充群集節點而不是增加處理器。Apache成功之處主要在于它的源代碼開放、有一支開放的開發隊伍、支持跨平臺的應用（可以運行在幾乎所有的Unix、Windows、Linux系統平臺上）以及它的可移植性等方面。

　　幾乎所有的Linux發布都安裝Apache作為默認配置。SuSE7.1甚至預安裝有包括各種高級模塊選項的Apache，如PHP3，mod_perl和LDAP等等。用戶會驚奇地發現系統安裝成功就會有一個功能強大的Web服務器可供選擇。雖然安裝Apache并不是非常簡單，但是如果有具有新的特性或安全補丁的Apache發布，則下載源代碼包并編譯新的Apache是值得的。Apache不但具有龐大的用戶群基礎，并且有豐富的配置使用文檔。Apache提供服務器端對腳本技術的支持，比如Perl、PHP等，Apache結合使用ApacheJServ可以實現對Javaservlets及JSP的支持。

　　Apache的很多模塊實現安全方面的防護：如mod_auth提供對對服務器上數據進行適當的保護，而SSL模塊則用來保護服務器和客戶端之間的通信安全。

　　·MicrosoftIIS

　　Microsoft的Web服務器產品為InternetInformationServer(IIS)，它提供ISAPI（IntranetServerAPI）作為擴展Web服務器功能的編程接口；同時，它還提供一個Internet數據庫連接器（IDC），可以實現對數據庫的查詢和更新。Microsoft的另一個產品是MicrosoftVisualInterDev，它是一個Web應用快速開發環境，可提供服務器和客戶機端的編程工具、數據庫工具和內容編輯工具，還提供集成化的站點管理功能。

　　由于具有與操作系統的親和性并繼承了Microsoft產品一貫的用戶界面，IIS利用與MicrosoftProxyServer、CertificateServer、SiteServer、BackOffice以及其他應用程序緊密結合之便，成為功能強大、使用方便的Web服務器。通過圍繞WindowsNT所做的優化，IIS具有很高的執行效率、出色的安全保密性、易于管理以及啟動迅捷等特點。它既可用于集成現有的應用方式，也可用于實施Web應用系統。IIS變得普及的一個關鍵就是引入了ASP，這是Microsoft用于建立動態網頁的技術。ASP支持多種腳本語言，包括JavaScript、PerlScript以及VBScript，使其可以很容易地訪問其他服務器的軟件組件。這一切是以COM為基礎達到的，COM是Windows下組件協同的標準。而分布式COM，即DCOM，允許程序使用網絡上的組件，就好像這些組件就在本地一樣。

　　下面重點給大家介紹政府網站Apache、Tomcat和IIS的Web服務器軟件的安裝和配置。

　　2、Apache、Tomcat服務器的創建

　　前面我們已經介紹了Apache，下面再介紹一下Tomcat服務器軟件。Tomcat是Sun和Apache合作做出來的JSPServer,支持到Servlet2.2及JSP1.1。建議使用Tomcat,而且Tomcat未來將會取代JServ,成為Apache主要的Servlet&JSPEngine。Tomcat在設計上是以獨立的Server執行,而不像Jserv是附在Apache中,這樣就更可以發揮在servlet中,非HttpServlet的能力。Tomcat是Java程序，所以只要有JDK就可以使用,不需要考慮操作系統平臺。

　　作為WEB服務器擴展的Tomcat服務器有一些問題需要說明:

　　* 當處理靜態頁面時,Tomcat不如Apache迅速。
　　* Tomcat不象Apache一樣可配置。
　　* Tomcat不象Apache一樣強壯。

　　基于以上原因,一個現實的網站使用一個Apache作為Web服務器，為網站的靜態頁面請求提供服務；并使用Tomcat服務器作為一個Servlet/JSP插件，顯示網站的動態頁面。

　　采用apache->tomcat這樣的結構才具有更特出的優點，主要體現在具有更好的可擴展性和安全性。這種類型的站點的主要特點是每一個頁面都可能是動態生成的，但這些數據中主要部分還是靜態的(比如，各類圖像GIF、JPG、PNG，流式媒體等),這種結構的優點是兼有可擴展性和安全性。

　　下面以solairs8為例，免費下載Solaris版的Apache1.3.27，Tomcat4.1.12來說明安裝配置WEB服務軟件apache和應用服務軟件tomcat(包括JDK)，其它平臺可以類比。

　　注意：下載的Apache、Tomcat的版本與操作系統的類型有關。

　　(一)應用環境

　　操作系統為Solaris8，應用環境為Java1.3（假定安裝在/usr/java1.3目錄下）、perl5.6(假定安裝在/usr/local/bin目錄下)和gzip(假定安裝在/usr/loca·/bin目錄下)。

　　(二)軟件包的下載、編譯與安裝

　　1）下載地址

　　在http://www.apache.org可下載Apache源代碼軟件包apache_1.3.27.tar.gz。
　　在http://jakarta.apache.org/builds/tomcat/release/v4.1.12/src/可下載Tomcat源代碼軟件包jakarta-tomcat-4.1.12-src.tar.gz。
　　在http://jakarta.apache.org/builds/jakarta-tomcat/release/v4.1.12/bin/可下載已編譯的Tomcat應用軟件包jakarta-tomcat-4.1.12.tar.gz。

　　2）編譯與安裝

　　假設各軟件包已下載到當前的某個工作目錄（如:/home/tmp）下，Apache和Tomcat將安裝在/home目錄下。在當前目錄我們可以進行如下操作。

　　(1)編譯和安裝Apache應用服務

　　(2)編譯與安裝mod_jk插件

　　(3)安裝Tomcat服務

　　用超級用戶身份把已編譯的Tomcat4.1.12解包到/home目錄下即可。

　　3）參數配置

　　(1)配置Apache服務

　　(2)配置Tomcat服務

　　至此，Apache和Tomcat服務器軟件安裝成功，上面是在UNIX（Solaris）平臺下構建JSP網站的基本配置。Apache與Tomcat結合支持JSP動態網頁開始是通過一個名為"mod_jserv"的插件來實現的，采用這種Apache/Jserv方式配置參數十分復雜，運行效率很低，而且對SSL(一種加密傳輸方式)的支持也不理想，因此Jakarta工作組新近開發了"mod_jk"插件，它很好地彌補了mod_jserv的缺點，而且能支持Apache以外的多種Web服務。關于這種Apache/Jk方式的實現原理，請參考有關資料。

　　在UNIX或Linux平臺下構建PHP網站，操作系統如果采用象RedHat8等Linux平臺，系統PHP軟件進行編譯與安裝配置。在此就不多說了，請參考有關資料。

　　當然，構建JSP或PHP網站必須有后臺數據庫的支持，在創建web網站時要考慮數據庫的選擇和安裝配置。

　　3、 IIS服務器的創建

　　在使用WindowsNT4.0時，IIS就已經成為流行的Web服務器平臺。IIS4.0是作為OptionPack4
的一部分發行的，需要進行額外的安裝才能運行。然而，在Windows2000中，IIS5.0應經完全成為操作系統的一個有機組成部分，如果在安裝Windows2000時沒有選擇安裝IIS，也可以單獨添加。與IIS4.0相比，IIS5.0提供了方便的安裝和管理，增強的應用環境，基于標準的發布協議，在性能和擴展性方面有了很大的改進，為客戶提供更佳的穩定性和可靠性。

　　·安裝IIS

　　步驟1：單擊"開始"，指向"設置"，單擊"控制面板"，然后啟動"添加/刪除程序"應用程序。

圖10

　　步驟2：選擇"配置Windows"，單擊"組件"按鈕，在【Windows組件向導】對話框中，選擇【Internet信息服務】組件，單擊【詳細信息】進行進一步設置，例如FTP服務、SMTP服務、WWW服務通?？梢赃x裝。單擊【下一步】，從Windows2000安裝光盤中拷貝所需文件，安裝完畢后如下圖11、12、13、14、15所示。

圖11



圖12



圖13



圖14



圖15

　　·創建Web站點

　　在IIS中創建Web站點是非常容易的，IIS已經為我們準備了詳細的Web站點創建向導，遵循向導的步驟，可以在短時間內完成站點創建。

　　Web站點的創建可以使用默認的站點（即在添加IIS組件時選中WorldWideWeb服務器），系統就已經架設好一個網站，只要我們在默認的目錄（Inetpub\wwwroot）中放置政府網頁即可。如下圖16、圖17、圖18和圖19所示：

圖16



圖17



圖18



圖19

也可以新建Web站點即使用Web站點創建向導，打開IIS窗口，展開【Internet信息服務】根節點，右擊需要創建站點的計算機圖標，缺省情況下，IIS僅對本地站點提供管理，在彈出菜單中指向【新建】，單擊【Web站點】打開Web站點創建向導，將政府網頁放置在D:\GOV目錄下。如下圖20、圖21、圖22、圖23、圖24、圖25和圖26所示：

圖20



圖21



圖22



圖23



圖24



圖25



圖26

　　至此，在IIS的Web站點的創建也就基本完成，可以在服務器端運行ASP程序，至于設定Web站點、Web站點標識和連接、啟動日志記錄、操作員、性能、自定義錯誤信息、ISAPI篩選器等設置內容，由于篇幅有限就不多說了。
　　五、政府網站Web服務器的安全管理與維護

　　1、UNIX或LIUNX環境下Web服務器的安全管理與維護

　　·Apache和Tomcat的啟動和關閉

　　#/home/apache-1.3.27/bin/apachect·start 啟動
　　#/home/apache-1.3.27/bin/apachect·stop 關閉
　　#/home/jakarta-tomcat-4.1.12/bin/startup sh 啟動
　　#/home/jakarta-tomcat-4.1.12/bin/shutdown sh 關閉

　　·Apache和Tomcat的web服務器的安全管理

　　1） Apache和Tomcat都具有支持安全Socket層（SS·）的功能。在Tomcat中聲明安全性，WEB應用程序的安全性主要在相應的Web.xml中設置，Tomcat支持的鑒權機制為HTTP基本鑒權機制BASIC和基于表單的鑒權機制FROM（JSP網站）。

　　過濾是Tomcat 4的新功能，能夠用過濾器來實現以前使用不便的或難以實現的功能，這些功能包括：

　　* 資源訪問（Web頁、JSP頁、servlet）的定制身份認證
　　* 應用程序級的訪問資源的審核和記錄
　　* 應用程序范圍內對資源的加密訪問，它建立在定制的加密方案基礎上
　　* 對被訪問資源的及時轉換，包括從servlet和JSP的動態輸出

　　2）Apache的安全設置
　　Apache服務器設置安全信息--Aclearcase/" target="_blank" >ccess.conf文件中的指令控制著用戶對站點的訪問及如何進行訪問方面的信息。包括文件樹的安全、腳本目錄安全性、Options指令、AllowOverride指令、使用Order指令、使用有限容器、添加用戶鑒定功能等)。
　　3）Apache模塊（PHP網站）
　　當PHP做為Apache的模塊來運行時它繼承了Apache的安全設置。任何的文件請求都要經過Apache的嚴格檢查，只有通過檢查的請求才被送往PHP。

　　2、Windows NT/2000的IIS服務器的安全管理與維護

　　·Web站點安全性設置

　　本文討論的安全設置僅依賴于Windows NT/2000和IIS內部的安全性功能，鑒于Windwos2000強大的安全性能（符合C2安全級別），尤其是強大的用戶認證能力和獨有的NTFS安全分區，IIS網站的安全性完全可以得到非常有力的保證?；\統的說，站點安全性工作將圍繞如下兩個任務進行：合法用戶身份的認證和站點文件的安全保障。前者需要借助于Windows2000的賬號系統和認證機制；后者則要由IIS和NTFS分區共同維護。

　　·NTFS權限設置

　　安裝操作系統最新的補丁程序，不論是NT還是2000，硬盤分區均為NTFS分區，NTFS權限是NTFS分區文件格式特有的安全權限。

　　【Windows域服務器的簡要驗證】和【集成Windows驗證】都是屬于加密驗證的發式。其中簡要驗證方法是IIS5.0中新引入的驗證方法，它通過網絡發送經過混編的密碼值而不是密碼本身。該方法通過代理服務器和其他防火墻工作。這里的混編密碼值通常是利用哈西算法得到的，此方法較基本驗證安全得多，但低于集成Windows驗證方式（可以通過復雜運算加以破解）。

　　【集成Windows驗證】通過與用戶的InternetExplorerWeb瀏覽器進行密碼交換以確認用戶的身份。

　　·IP地址和域名訪問控制

　　IP地址和域名訪問控制方式源于對于特定IP地址或域名的不信任，鑒于網站管理員通常會認為來自某些IP地址的用戶帶有明顯的攻擊傾向（通過對日志文件的分析可以得到這一結論），或者網站管理員希望僅有來自特定IP地址或域名的用戶才能夠訪問網站。這些限制能力都倚賴于IP地址和域名訪問控制功能。

　　·使用權限向導

　　權限向導是IIS5.0新引入的權限管理工具。鑒于對站點安全性的配置復雜而無序，較難理出一條簡明而準確的主線，IIS5.0引入了權限向導工具，它提供了一個連續、簡單、準確的權限配置流程，可以使管理員迅速對站點進行一般性的權限設定。尤其是對于涉及大量權限繼承關系的站點（虛擬）目錄配置工作，運用權限向導往往能達到意想不到的效果。權限向導主要對安全設置和目錄權限進行快速指定，并能夠以摘要的形式提供安全分析。

　　·目錄和文件權限

　　為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵和溢出，我們還必須非常小心地設置目錄和文件的訪問權限，NT的訪問權限分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶（Everyone這個組）是完全敞開的（FullContro·），你需要根據應用的需要進行權限重設。

　　·設置WWW目錄訪問權

　　在InternetServiceManager中創建Web發布目錄（文件夾）時，可以為定義的主目錄或虛擬目錄及其中所有的文件夾設置訪問權限。這些權限是有WWW服務提供的那些，是NTFS文件系統提供的權限之外的部分。這些權限是：
　　* 讀：讀權限允許Web客戶讀或下載存儲在主目錄或虛擬目錄中的文件。如果客戶為目錄中沒有讀權限的文件發送一個讀請求，則Web服務器返回一個錯誤。通常，應該給予包含要發布信息（例如HTML文件）的目錄讀權限。應該為包含公用網關接口(CGI)應用程序和InternetServer應用程序編程接口(ISAPI)DLL的目錄取消讀權限，以防止客戶下載應用程序文件。
　　* 執行：執行權限允許Web客戶運行存儲在主目錄或虛擬目錄中的程序和腳本。如果客戶發送請求，運行不具有執行權限的文件夾中的程序或腳本，則服務器返回一個錯誤。為了安全，不要給予內容文件夾執行權限。

　　·解除NetBios與TCP/IP協議的綁定

　　NetBois在局域網內是不可缺少的功能，在網站服務器上卻成了黑客掃描工具的首選目標。方法：WINNT：控制面版→網絡→綁定→NetBios接口→禁用；WIN2000：控制面版→網絡和撥號連接→本地網絡→屬性→TCP/IP→屬性→高級→WINS→禁用TCP/IP上的NETBIOS。

　　·刪除所有的網絡共享資源

　　NT與2000在默認情況下有不少網絡共享資源，在局域網內對網絡管理和網絡通訊有用，在網站服務器上同樣是一個特大的安全隱患。

　　·加強日志審核

　　安全日志：本地安全策略->審核策略中打開相應的審核。
　　日志任何包括事件查看器中的應用、系統、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，從中可以看出某些攻擊跡象，因此每天查看日志是保證系統安全的必不可少的環節。安全日志缺省是不記錄，帳號審核可以從域用戶管理器→規則→審核中選擇指標；NTFS中對文件的審核從資源管理器中選取。

　　·只保留TCP/IP協議，刪除NETBEUI、IPX/SPX協議

　　網站需要的通訊協議只有TCP/IP，而NETBEUI是一個只能用于局域網的協議，IPX/SPX是面臨淘汰的協議，放在網站上沒有任何用處，反而會被某些黑客工具利用。

　　·加強數據備份

　　這一點非常重要，站點的核心是數據，數據一旦遭到破壞后果不堪設想，數據備份需要仔細計劃，制定出一個策略并作了測試以后才實施，而且隨著網站的更新，備份計劃也需要不斷地調整。