WebSphere-Web服务器安全配置基线

WebSphere Web服务器安全配置基线中国移动通信有限公司管理信息系统部2012年 04月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (5)2.1帐号 (5)2.1.1应用程序角色 (5)2.1.2控制台帐号安全 (5)2.1.3口令管理 (6)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的WebSphere Web 服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的WebSphere Web服务器系统。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

web服务器安全配置Web服务器安全配置简介Web服务器是托管和传输网站内容的核心组件。

为了确保网站的安全，正确的服务器安全配置是至关重要的。

本文将介绍一些重要的方法和步骤，以帮助您合理地配置和保护您的Web服务器。

1. 更新服务器软件和操作系统保持服务器软件和操作系统的最新版本非常重要。

这样可以确保您的服务器是基于最新安全补丁和修复程序运行的，以减少黑客和恶意软件的攻击风险。

2. 去除默认配置大多数Web服务器都有默认的配置文件和设置。

黑客经常利用这些默认配置的弱点，因此应该定制和修改这些配置。

将默认的管理员账户名称和密码更改为强密码，并禁用不必要的服务和插件。

3. 使用安全的传输协议为了保护Web服务器和用户之间的数据传输，应该始终使用安全的传输协议，如HTTPS。

HTTPS通过使用SSL/TLS加密协议来确保数据的机密性和完整性，防止数据在传输过程中被黑客窃取或篡改。

4. 创建强大的访问控制使用防火墙和访问控制列表（ACL）来限制对服务器的访问。

只允许必要的IP地址访问您的服务器，并阻止来自已知恶意IP地址的访问。

使用强大的密码策略来保护登录凭证，并定期更改密码。

5. 防御举措采取一些额外的防御措施，例如使用Web应用程序防火墙（WAF）来检测和阻止恶意的HTTP请求。

WAF可以识别和封锁潜在的攻击，如跨站点脚本攻击（XSS）和SQL注入攻击。

6. 安全审计和监控定期进行安全审计和监控是保持服务器安全的关键。

通过监控服务器访问日志和相关指标，可以及时发现潜在的安全问题。

使用入侵检测系统（IDS）和入侵防御系统（IPS）来检测和阻止未经授权的访问和活动。

7. 数据备份和恢复计划及时备份服务器上的所有数据，并设置定期的备份计划。

这样，在服务器遭受攻击或数据丢失时，可以及时恢复数据并最小化损失。

8. 网络分割将Web服务器与其他敏感数据和系统隔离开来，建立网络分割可以减少攻击面，确保一次攻击不会导致整个网络或系统的崩溃。

WebSphere Web服务器安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)1.4实施 (4)1.5例外条款 (4)第2章帐号管理、认证授权 (4)2.1帐号 (4)2.1.1应用程序角色 (4)2.1.2控制台帐号安全 (5)2.1.3口令管理 (5)2.1.4密码复杂度 (6)2.2认证授权 (7)2.2.1控制台安全 (7)2.2.2全局安全性与Java2安全 (7)第3章日志配置操作 (9)3.1日志配置 (9)3.1.1日志与记录 (9)第4章备份容错 (10)4.1备份容错 (10)第5章设备其他配置操作 (11)5.1安全管理 (11)5.1.1控制台超时设置 (11)5.1.2示例程序删除 (11)5.1.3错误页面处理 (12)5.1.4文件访问限制 (12)5.1.5目录列出访问限制 (12)5.1.6控制目录权限 (13)5.1.7补丁管理* (13)第6章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行WebSphere Web服务器的安全配置。

1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。

1.3 适用版本6.x版本的WebSphere Web服务器。

1.4 实施1.5 例外条款第2章帐号管理、认证授权2.1 帐号应用程序角色控制台帐号安全口令管理密码复杂度2.2 认证授权控制台安全全局安全性与Java2安全第3章日志配置操作3.1 日志配置日志与记录第4章备份容错4.1 备份容错第5章设备其他配置操作5.1 安全管理控制台超时设置示例程序删除错误页面处理文件访问限制目录列出访问限制控制目录权限补丁管理*第6章评审与修订。

WebSphere培训教程1.引言WebSphere是由IBM公司推出的一款企业级应用服务器产品，广泛应用于企业信息系统的构建和部署。

WebSphere不仅支持JavaEE和Web服务，还提供了强大的事务管理、安全性和集群功能。

为了帮助开发人员更好地掌握WebSphere的使用，本教程将详细介绍WebSphere的基本概念、安装配置、应用部署和管理等内容。

2.WebSphere概述2.1WebSphere产品家族WebSphereApplicationServer（WAS）：WebSphere的核心产品，支持JavaEE和Web服务，用于构建和部署企业级应用。

WebSphereMQ：一款消息中间件，用于实现不同系统之间的可靠消息传递。

WebSpherePortal：一款企业门户产品，用于构建和管理企业内外部的门户网站。

2.2WebSphere应用服务器事务管理：支持全局事务和局部事务，保证分布式应用的一致性。

安全性：提供基于角色的访问控制、单点登录等安全机制。

集群：支持负载均衡和故障转移，提高应用的可伸缩性和可用性。

管理工具：提供图形化界面和命令行工具，方便管理和监控应用。

3.WebSphere安装与配置3.1安装环境操作系统：支持Windows、Linux、X等。

JDK：安装JavaDevelopmentKit（JDK），版本要求根据WebSphere版本而定。

内存：至少2GB，推荐4GB或更高。

硬盘空间：至少2GB，推荐5GB或更高。

3.2安装步骤1)WebSphere安装包。

2)解压安装包，运行安装程序。

3)遵循安装向导完成安装。

3.3配置步骤1)打开WebSphere管理控制台。

2)创建新的应用服务器实例。

3)配置JVM参数、线程池等。

4)部署应用。

4.WebSphere应用部署与管理4.1应用部署1)打包应用：将应用打包为EAR、WAR或JAR文件。

2)部署应用：通过WebSphere管理控制台或wsadmin工具部署应用。

WebSphere下Web Services安全配置本文档主要是演示说明WebSphere下Web Services安全规范配置。

其规范遵循WS-Security 1.0，它是IBM、Microsoft、VeriSign联合制定，2004年移交给OASIS组织（类似于W3C）。

WebSphere6.0主要实现其1.0规范，而Microsoft 的.net下WSE3.0已经实现了1.1，为了保证互操作性，我们主要采用了1.0规范。

它包括三个方面：身份验证（username＋password）：我授权的对象是谁？完整性（X.509签名）：数据传输过程中是否被修改，消息是来自预期的发送方吗？加密（不用实现）：如何让该信息不被别人看到？本文档主要参考以下资料：《WebSphere Version 6 Web Services Handbook Development and Deployment.pdf》《WebSphere Application Server V6 Security Handbook.pdf》《Securing Web Services with WS-Security》《WebSphere Application Server V6 System Management & Configuration.pdf》另外，喜欢阅读中文的用户，建议参考Microsoft的中文MSDN。

配置WebSphere的Web Services安全，其实就是配置WS－Security，所以了解WS－Security是基础，就如同进行Servlet、JSP开发，去学习Servlet规范。

本配置没有采用SSL，因为它有其自身局限性，不够灵活：如只能在传输层、只能P2P （无中介）等。

本配置过程，主要是三个方面：Web Services服务器端WS－Security配置Web Service 客户端（WebSphere下web客户端）配置.net客户端开发与配置（暂不完整）我们的配置主要是用IBM 红皮书自己提供的web Services应用程序的例子，在它基础上实现Web Service安全。

Websphere服务器证书安装配置说明文档深圳市电子商务安全证书管理有限公司2007年01月23日目录1应用环境 (1)2申请服务器证书 (1)2.1简要 .......................................................................................................... 错误!未定义书签。

2.2产生KEYSTORE文件WEBSPHERE.JKS...................................................... 错误!未定义书签。

2.3产生证书请求CERTREQ.PEM文件 (3)2.4产生证书请求CERTREQ.PEM文件 (3)3下载服务器证书 (4)4下载CA根证书 (5)5服务器证书安装 (6)5.1将CA根证书与服务器证书导入到WEBSPHERE.JKS文件中 (6)5.2生成CACERTS文件 (6)5.3添加根证书到CACERTS (7)5.4将WEBSPHERE.JKS,CACERTS拷贝到2.2中相同的目录 (7)6WEBSPHERE中SSL配置 (8)6.1在WEBSPHERE中修改SSL配置 (8)6.2对特定应用程序进行SSL配置 (10)7测试配置 (14)8WEBSPHERE中CRL配置 (16)深圳市电子商务安全证书管理有限公司.第1 页1 应用环境系统环境：Win2000 server, Websphere V6.0, IE 6.0, JDK1.5证书类型：深圳CA签发的服务器证书。

2 申请服务器证书以下安装必须是已安装Websphere及JDK后进行。

Websphere安装界面如下：点击Websphere Application Server 试用版安装，然后按照向导指示进行安装。

设置JDK环境变量：我的电脑—〉属性—〉高级—〉环境变量在变量值处加入：D:\Program Files\IBM\WebSphere\AppServer\java\jre\bin路径（即Websphere的安装路径\AppServer\java\jre\bin）2.1 进入DOS环境以下的命令行，请使用开始- 运行输入CMD进入DOS环境下进行新建一个名为testjks的文件夹，以下操作都将在该目录下进行。

TongWeb服务器安全配置基线TongWeb服务器安全配置基线备注：1.若此⽂档需要⽇后更新，请创建⼈填写版本控制表格，否则删除版本控制表格。

⽬录第1章 ..................................................................................................... 概述11.1....................................................................................................... ⽬的11.2................................................................................................. 适⽤范围11.3................................................................................................. 适⽤版本11.4....................................................................................................... 实施11.5................................................................................................. 例外条款1第2章 ................................................................................ 账号管理、认证授权22.1....................................................................................................... 帐号22.1.1 ..................................................................................... 应⽤帐号分配22.1.2 ..................................................................................... ⽤户⼝令设置32.1.3 ..................................................................................... ⽤户帐号删除32.2................................................................................................. 认证授权42.2.1 ........................................................................................ 控制台安全4第3章 ......................................................................................... ⽇志配置操作73.1................................................................................................. ⽇志配置73.1.1 ........................................................................................ ⽇志与记录7第4章 ............................................................................................... 备份容错94.1................................................................................................. 备份容错9第5章I P协议安全配置 (10)5.1....................................................................................... IP通信安全协议10第6章 ................................................................................... 设备其他配置操作12 6.1................................................................................................. 安全管理126.1.1 ............................................................................... 禁⽌应⽤程序可显126.1.2 .......................................................................................... 端⼝设置*136.1.3 ..................................................................................... 错误页⾯处理14第7章 ............................................................................................ 评审与修订16第1章概述1.1⽬的本⽂档旨在指导系统管理⼈员进⾏TongWeb服务器的安全配置。