WebLogic系统加固规范V0.2

深信服XX业务系统应用安全加固解决方案深信服科技有限公司20XX年XX月XX日目录深信服XX业务系统应用安全加固解决方案 (1)目录 (2)1应用背景 (4)2需求分析 (5)2.1一期建设拓扑图 (5)2.2业务系统安全现状 (5)2.3业务系统脆弱性分析 (6)2.4风险可能导致的问题 (8)2.5业务安全加固建设目标 (9)3方案设计 (10)3.1网络安全加固方案 (10)3.1.1DOS/DDOS防护子系统 (10)3.1.2防病毒子系统 (10)3.2系统安全加固方案 (11)3.2.1入侵防御子系统 (12)3.3应用安全加固方案 (13)3.3.1Web安全子系统 (14)3.4数据安全加固方案 (14)3.4.1信息泄漏防护子系统 (15)3.4.2防篡改子系统 (15)4产品部署示方案 (16)4.1方案一：一站式应用安全加固部署方案 (16)4.1.1拓扑图 (16)4.1.2产品部署方案 (16)4.1.3产品选型 (18)4.2方案二：节点纵深防御应用安全加固部署方案 (19)4.2.1拓扑图 (19)4.2.2产品部署方案 (19)4.2.3产品选型 (20)5关于深信服 (21)1应用背景网络的飞速发展促进了各行业的信息化建设，近几年来XX单位走过了不断发展、完善的信息化历程，现已拥有技术先进、种类繁多的网络设备和应用系统，构成了一个配置多样的综合性网络平台。

随着网络基础设施建设的不断完善，有针对性作用的业务系统也不断增加，XX单位已于2011年底完成建设XX业务系统，提供开放的综合业务平台为用户提供便捷的服务。

为了保证用户能够更安全，更便捷的使用业务系统，在XX业务系统建设时便设计并建设完成了第一期网络安全建设规划。

在第一期的网络安全建设规划方案中，防火墙被用作主要的网络安全设备保证业务系统的正常稳定运行。

使用防火墙将服务器区域分割成为应用服务区、数据库服务器区、边界接入区、运维管理区域等多个网络层相互逻辑隔离的区域，防止内、外部安全风险危害各个业务区域。

Weblogic中间件运维经验汇总目录关于Weblogic参数调优的运维经验 (2)Weblogic性能调优的处理方法 (5)关于输电项目Weblogic安装的运维经验 (8)Weblogic回收数据库连接数配置的方法 (14)在Apache和Weblogic中分别部署静态页面的方法 (17)Weblogic Server性能调优经验 (20)WeblogicJVM堆参数设置方法 (24)关于Weblogic参数调优的运维经验报送单位：北京公司审核人：类型：业务应用关键字：GC垃圾回收1、引言为了提高维护人员运维水平，以集中与分享日常运行维护经验为目的，现进行典型经验的编制。

2、现象描述部分应用服务器出现宕机现象，在F5上查看时已经掉出集群状态。

3、处理过程停止宕机应用服务器上的Weblogic进程。

/home/weblogic/bea/user_projects/domains/pms/bin/setDomainEn v.sh文件中的启动内存大小并添加垃圾回收机制，修改后如下：MEM_ARGS="-Xms5248m -Xmx5248m -Xmn1536m-XX:SurvivorRatio=6-XX:+UseParNewGC-XX:+UseConcMarkSweepGC-XX:CMSFullGCsBeforeCompaction=20-XX:+UseFastAccessorMethods-XX:+AggressiveOpts"3、修改完成后重启Weblogic服务。

4、原因分析在收到报警信息后，对后台日志进行查看，报错信息如下：Exception in thread "CBM_正常处理任务线程" ng.OutOfMemoryError: Java heap spaceatoracle.jdbc.driver.OracleStatement.prepareAccessors(OracleStatement.ja va:868)atoracle.jdbc.driver.OracleStatement.executeMaybeDescribe(OracleStatem ent.java:1045)atoracle.jdbc.driver.T4CPreparedStatement.executeMaybeDescribe(T4CPre paredStatement.java:839)atoracle.jdbc.driver.OracleStatement.doExecuteWithTimeout(OracleStatem ent.java:1132)atoracle.jdbc.driver.OraclePreparedStatement.executeInternal(OraclePrepa redStatement.java:3316)atoracle.jdbc.driver.OraclePreparedStatement.executeQuery(OraclePreparedStatement.java:3361)经过对报错日志分析，状态检修的CBM处理进程内存溢出报错，导致服务器宕机。

WebLogic Server 提供了一种密码复杂度策略，用于确保用户输入的密码符合安全要求。

该策略基于以下规则：
1. 长度要求：密码必须至少包含一定长度的字符。

2. 复杂度要求：密码必须包含足够数量的大小写字母、数字和特殊字符，以增加密码的复杂度。

3. 重复要求：密码不能包含用户名或其他敏感信息。

WebLogic Server 提供了两种不同的密码复杂度策略：
1. 简单密码复杂度策略：允许密码长度为6 个字符或更长，并且必须包含至少一个大小写字母、一个数字和一个特殊字符。

2. 高级密码复杂度策略：允许密码长度为14 个字符或更长，并且必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符。

WebLogic Server 还提供了一些其他的密码安全功能，如密码哈希、密码加密、密码撤销等。

这些功能有助于保护用户密码的安全性和完整性。

总之，WebLogic Server 的密码复杂度策略和其他密码安全功能可以帮助管理员确保用户输入的密码符合安全要求，并保护用户密码的安全性和完整性。

管理员可以根据实际需要配置这些功能，以提高WebLogic Server 的安全性。

1 WEBLOGIC服务器管理概述10域、管理服务器与受管服务器10启动管理控制台12运行时对象与配置对象12日志消息的集中访问14W EB L OGIC管理服务器与W EB L OGIC受管服务器15启动时的错误消息15启动W EB L OGIC管理服务器15WebLogic服务器启动时的口令使用16从Start菜单启动WebLogic管理服务器16启动与终止Windows服务形式的WebLogic服务器16从命令行启动WebLogic管理服务器17用脚本启动管理服务器20在受管服务器运行时重启管理服务器 20在同台机器上重启管理服务器21在其它机器上重启管理服务器21将W EB L OGIC受管服务器加入到域22启动W EB L OGIC受管服务器22通过脚本启动W EB L OGIC受管服务器 24从老版本W EB L OGIC服务器升级 25从管理控制台终止W EB L OGIC服务器 25从命令行停止服务器25暂停和恢复受管服务器26将W EB L OGIC服务器设置为W INDOWS服务26删除W INDOWS服务形式的W EB L OGIC服务器27更改安装成Windows服务的服务器口令27注册启动与终止类282 节点管理器 29节点管理器概述29配置与启动节点管理器30启动节点管理器31启动管理服务器323 配置WEBLOGIC服务器与集群35服务器与集群配置概述35管理服务器的角色35启动管理控制台37动态配置的工作原理38集群配置规划38- 1 -服务器配置任务列表39集群配置列表41新建一个域42概述43监控服务器44终止或暂停服务器45性能45集群数据46服务器安全46JMS 47JTA 47监控JDBC连接池 47管理控制台的M ONITORING页面一览表484 用日志消息管理WEBLOGIC服务器51日志子系统概述51本地服务器的日志文件53启动日志53客户端日志54日志文件的格式54消息属性54消息目录55消息的严重级别55消息调试56浏览日志文件56查看日志56创建域日志过滤器575 分发应用58分发格式58用管理控制台分发应用58步骤1：配置与分发应用59步骤2：分发应用组件 59分发顺序61自动分发62启用或禁用自动部署62动态分发64启用与禁用自动分发64自动分发展开目录格式的应用64卸载或重新分发被自动分发的应用656 配置WEBLOGIC服务器的WEB组件66- 2 -概述66HTTP参数66配置监听端口67W EB应用68Web应用与集群68指定缺省的Web应用68配置虚拟主机70虚拟主机与缺省Web应用70设置虚拟主机71W EB L OGIC服务器如何解析HTTP请求72设置HTTP访问日志73日志回旋（Log Rotation）73使用管理控制台设置HTTP访问日志 73普通日志格式74使用扩展日志格式75防止“POST拒绝服务”攻击80设置W EB L OGIC服务器的HTTP隧道 81配置HTTP隧道连接81建立客户端与WebLogic服务器之间的连接82用本地I/O提供静态文件服务（只适用于W INDOWS）827 代理对另一个HTTP服务器的请求 84概述84设置从服务器的代理84代理S ERVLET的分发描述符示例858 代理对WEBLOGIC集群的请求87概述87设置H TTP C LUSTER S ERVLET 87H TTP C LUSTER S ERVLET的分发描述符示例889 91配置W EB应用的安全性91设置对Web应用的授权91多Web应用、Cookies与身份验证92限制对Web应用资源的访问92在servlet中使用用户和角色94配置W EB应用的外部资源96在W EB应用中引用EJB S97配置会话管理98HTTP会话属性98- 3 -会话超时98配置会话Cookies 99使用长效cookies 99配置持久化会话100通用属性100使用基于内存的、单服务器的、非复制的持久存储 101使用基于文件的持久存储101使用基于数据库的持久存储 102使用URL重写103URL重写的编码指南104URL重写与无线访问协议(WAP) 104使用字符集与POST数据10410 配置APACHE-WEBLOGIC服务器插件106概述106平台支持107安装库107配置HTTPD.CONF文件109通过URL代理109通过MIME文件类型代理110A PACHE-W EB L OGIC S ERVER插件的参数110使用SSL协议112与SSL-A PACHE配置有关的问题 113H TTPD.CONF文件示例114配置文件示例115使用WebLogic集群的例子115不使用WebLogic集群的例子115配置虚拟主机的例子116分发A PACHE-W EB L OGIC S ERVER插件11611 配置MICROSOFT-IIS插件117概述117连接池以及保持活动状态117安装库118更新IIS设置使请求转给W EB L OGIC118创建IIS P ROXY.INI文件119文件扩展名方式的请求代理 122路径方式的请求代理123.ini文件示例123使用SSL 124将SERVLETS请求转交给W EB L OGIC服务器处理125- 4 -安装测试12612 配置NETSCAPE插件127概述127连接池和保持激活127插件的配置128步骤1：复制库128步骤2：设置obj.conf文件128步骤3：更改MIME.types文件132步骤4：分发与测试NSAPI插件 132参数132使用SSL协议135有关W EB L OGIC服务器集群失败转移的注意事项1360BJ.CONF文件示例（不使用W EB L OGIC集群的情况）136OBJ.CONF文件（使用W EB L OGIC集群的情况） 13813 安全管理141安全配置概述141改变系统口令143指定一个安全域143配置缓存域144配置LDAP安全域147配置Windows NT安全域151配置UNIX安全域 153配置RDBMS安全域154安装一个定制安全域155测试代用安全域与定制安全域156迁移安全域157定义用户157定义用户组159定义虚拟机的用户组159定义ACL 160配置SSL协议161获得私钥与数字证书162保存私钥与数字签名164定义可靠的证书管理机构165定义SSL协议的配置字段165配置双向验证167C ONFIGURING RMI OVER IIOP OVER SSL（TBD）168口令的保护168安装审计提供者170- 5 -安装连接过滤器170设置J AVA安全管理器171配置安全上下文传播17314 管理事务176事务管理概述176配置事务177事务的监控与日志记录178将服务器迁移到另一台机器中17815 管理JDBC连接180用管理控制台管理JDBC 180JDBC配置指南180JDBC配置概述181配置JDBC驱动程序182连接池187设置连接池187管理连接池188多池188创建多池188管理多池188数据源189创建数据源189数据源管理18916 管理JMS 191配置JMS 191配置连接工厂192配置模板193配置收信方主键193配置备份库194配置JMS服务器195配置收信方195配置会话池196配置连接使用者197监控JMS 197恢复失败的W EB L OGIC服务器198重启或替换WebLogic服务器198编程考虑19917 管理JNDI 200- 6 -将对象装载到JNDI树200查看JNDI树20018 管理WEBLOGIC J2EE连接器构架201W EB L OGIC J2EE连接器构架概述201安装资源适配器202配置与部署资源适配器202配置与部署资源适配器202查看已部署的资源适配器203卸载已部署的资源适配器203删除一个资源适配器204查看元素与属性205监控连接池与参数205编辑资源适配器分发描述符 20519 管理WEBLOGIC服务器许可证208安装W EB L OGIC许可证208更新许可证208A 使用WEBLOGIC JAVA工具210A PPLET A RCHIVER210语法211C ONVERSION211D ER2PEM211例子212DBPING212语法212D EPLOY212参数212Actions(从下表中选一个) 213其它参数213选项213例子213GET P ROPERTY 215语法215例子215LOG T O Z IP216语法216例子217M ULTICAST T EST217语法218例子218- 7 -MYIP219语法219例子219P EM2DER 219语法219例子220S CHEMA220语法220例子220SHOW L ICENSES221语法221SYSTEM221语法221例子221T3DBPING222语法222VERBOSE T O Z IP222语法223UNIX上的例子223NT上的例子223VERSION223语法223例子223WRITE L IENSE224语法224例子224B WEBLOGIC服务器的命令行接口参考226命令行接口简介226Before You Begin 226使用W EB L OGIC服务器命令227语法227参数227W EB L OGIC服务器管理命令参考228CONNECT 229HELP 229LICENSES 230LIST 230LOCK 231PING 231SERVERLOG 232SHUTDOWN 233THR EAD_DUMP 233- 8 -unlock 234VERSION 234M BEAN管理命令参考235CREATE命令 235DELETE命令 236GET命令237INVOKE命令 238SET命令239配置及管理连接池的命令240命令的名字240WEB服务器插件的参数241概述241W EB SERVER插件的一般参数241W EB SERVER插件的SSL参数245- 9 -1WebLogic服务器管理概述本章将介绍WebLogic服务器的管理工具，内容如下：✓域、管理服务器以及受管理的服务器✓启动管理控制台✓运行时对象与配置对象✓对日志消息的集中访问BEA WebLogic Server™包含了许多互相关联的资源。

中国x x公司I T技术规范IT系统安全基线规范中国xx公司信息技术部目录IT系统安全基线规范 (1)（V3.0) ........................................................ 错误!未定义书签。

1.范围 (6)2.术语、定义和缩略语 (6)3.总体说明 (6)3.1编写背景 (6)3.2安全基线制定的方法论 (7)4.安全基线范围及内容概述 (7)4.1覆盖范围及适用版本 (7)4.2安全基线编号说明 (8)4.3安全基线组织及内容 (8)5.WEB应用安全基线规范 (8)5.1身份与访问控制 (8)5.1.1账户锁定策略 (8)5.1.2登录用图片验证码 (9)5.1.3口令传输 (9)5.1.4保存登录功能 (9)5.1.5纵向访问控制 (10)5.1.6横向访问控制 (10)5.1.7敏感资源的访问 (10)5.2会话管理 (11)5.2.1会话超时 (11)5.2.2会话终止 (11)5.2.3会话标识 (11)5.2.4会话标识复用 (12)5.3代码质量 (12)5.3.1防范跨站脚本攻击 (12)5.3.2防范SQL注入攻击 (13)5.3.3防止路径遍历攻击 (13)5.3.4防止命令注入攻击 (13)5.3.5防止其他常见的注入攻击 (14)5.3.6防止下载敏感资源文件 (14)5.3.7防止上传后门脚本 (14)5.3.8保证多线程安全 (15)5.3.9保证释放资源 (15)5.4内容管理 (15)5.4.1加密存储敏感信息 (15)5.4.2避免泄露敏感技术细节 (16)5.5防钓鱼与防垃圾邮件 (16)5.5.1防钓鱼 (16)5.5.2防垃圾邮件 (16)5.6密码算法 (17)5.6.1安全算法 (17)5.6.2密钥管理 (17)6.中间件安全基线内容 (18)6.1A PACHE安全配置基线 (18)6.1.1日志配置 (18)6.1.2访问权限 (18)6.1.3防攻击管理 (19)6.2W EB S PHERE安全配置基线 (22)6.2.1帐号管理 (22)6.2.2认证授权 (23)6.2.3日志配置 (24)6.2.4备份容错 (24)6.2.5安全管理 (25)6.3T OMCAT W EB安全配置基线 (27)6.3.1账号管理 (27)6.3.2口令安全 (28)6.3.3日志配置 (29)6.3.4安全管理 (30)6.4IIS服务安全配置基线 (32)6.4.1账号管理 (32)6.4.2口令安全 (33)6.4.3认证授权 (35)6.4.4日志配置 (36)6.4.5IP协议安全 (37)6.4.6屏幕保护 (39)6.4.7文件系统及访问权限 (40)6.4.8补丁管理 (44)6.4.9IIS服务组件 (45)6.5W EB L OGIC W EB服务安全配置基线 (46)6.5.1账号管理 (46)6.5.2口令安全 (47)6.5.3日志配置 (48)6.5.4IP协议安全配置 (48)6.5.5安全管理 (50)7.数据库安全基线内容 (51)7.1DB2数据库安全配置基线 (51)7.1.1数据库权限 (51)7.2SQLS ERVER数据库安全配置基线 (54)7.2.1口令安全 (54)7.2.2日志配置 (54)7.2.3更新补丁 (55)7.3O RACLE数据库系统安全配置基线 (56)7.3.1账号管理 (56)7.3.2口令安全 (56)8.主机安全基线内容 (59)8.1AIX安全配置基线 (59)8.1.1账号管理 (59)8.1.2口令安全 (60)8.1.3IP协议安全 (61)8.1.4日志配置 (62)8.2HP-U NIX安全配置基线 (62)8.2.1账号管理 (62)8.2.2口令安全 (63)8.2.3日志配置 (65)8.2.4IP协议安全 (65)8.2.5其他安全配置 (66)8.3L INUX安全配置基线 (66)8.3.1账号管理 (66)8.3.2认证授权 (67)8.3.3日志配置 (68)8.4W INDOWS安全配置基线 (68)8.4.1账号管理 (68)8.4.2口令安全 (69)8.4.3认证授权 (70)8.4.4日志配置 (71)8.4.5IP协议安全 (74)8.4.6其他安全配置 (75)8.5S OLARIS安全配置基线 (76)8.5.1账号管理 (76)8.5.2口令安全 (77)8.5.3认证授权 (78)8.5.4日志配置 (79)8.5.5IP协议安全 (80)9.设备安全基线内容 (81)9.1C ISCO路由安全配置基线 (81)9.1.1账号管理 (81)9.1.2口令安全 (82)9.1.4日志配置 (84)9.1.5IP协议安全 (86)9.1.6功能配置 (87)9.1.7其他安全配置 (89)9.2H UAWEI路由安全配置基线 (91)9.2.1账号管理 (91)9.2.2口令安全 (92)9.2.3日志配置 (94)9.2.4IP协议安全 (95)9.2.5其他安全配置 (96)9.3J UNIPER路由安全配置基线 (98)9.3.1账号管理 (98)9.3.2口令安全 (100)9.3.3日志配置 (102)9.3.4IP协议安全 (105)9.3.5其他安全配置 (109)10.安全基线使用要求 (113)11.文档修订记录 (113)1.范围本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。