Web站點(diǎn)規(guī)劃設(shè)計(jì)

Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及平安性信息科技學(xué)院學(xué)習(xí)要點(diǎn)：1.了解Web站點(diǎn)分類2.熟悉Web站點(diǎn)建設(shè)的流程3.了解Web站點(diǎn)規(guī)劃與設(shè)計(jì)的一般性原那么4.掌握Web站點(diǎn)性能優(yōu)化和提高其平安性的技術(shù)措施Web站點(diǎn)規(guī)劃設(shè)計(jì)、性能優(yōu)化及平安性8.5設(shè)計(jì)Web站點(diǎn)的一般性原那么8.6建設(shè)Web站點(diǎn)的一般步驟8.7Web站點(diǎn)性能優(yōu)化8.8Web站點(diǎn)的平安性

1.以客戶為中心進(jìn)行Web站點(diǎn)設(shè)計(jì)2.總體設(shè)計(jì)方案主題鮮明3.網(wǎng)頁(yè)形式與內(nèi)容統(tǒng)一4.Web站點(diǎn)的結(jié)構(gòu)5.訪問速度6.充分利用多媒體技術(shù)7.Web站點(diǎn)信息的動(dòng)態(tài)發(fā)布8.提供和用戶相互溝通的渠道

8.5設(shè)計(jì)Web站點(diǎn)的一般性原那么8.6建設(shè)Web站點(diǎn)的一般步驟1.Web站點(diǎn)準(zhǔn)備階段進(jìn)行可行性分析，規(guī)劃出Web站點(diǎn)的大致結(jié)構(gòu)?？紤]采用哪一種操作系統(tǒng)、Web效勞器、郵件效勞器、數(shù)據(jù)庫(kù)效勞器。進(jìn)行數(shù)據(jù)庫(kù)的初步規(guī)劃，考慮開發(fā)維持Web站點(diǎn)的費(fèi)用問題。2.域名注冊(cè)域名注冊(cè)實(shí)際上就是申請(qǐng)Web站點(diǎn)的一個(gè)名稱，以方便人們來(lái)訪問Web站點(diǎn)。域名具有唯一性，已被企業(yè)譽(yù)為“企業(yè)的網(wǎng)上商標(biāo)”。域名中表示工、商、金融企業(yè)；.edu表示教育機(jī)構(gòu)；.gov表示政府部門；.net表示網(wǎng)絡(luò)效勞部門；.ac表示科研機(jī)構(gòu)。國(guó)內(nèi)域名中表示中國(guó)，其他如.hk表示香港；.us表示美國(guó)等等。國(guó)際域名是否已經(jīng)被注冊(cè)可通過://(國(guó)際互聯(lián)網(wǎng)絡(luò)信息中心interNIC)或者://站點(diǎn)進(jìn)行檢查；國(guó)內(nèi)域名是否已經(jīng)被注冊(cè)可通過://(中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心CNNIC)站點(diǎn)進(jìn)行檢查。注冊(cè)國(guó)際域名由國(guó)際域名管理機(jī)構(gòu)interNIC負(fù)責(zé)受理，手續(xù)非常簡(jiǎn)便，只需上網(wǎng)到相關(guān)Web站點(diǎn)，填寫注冊(cè)表后提交，30天內(nèi)支付注冊(cè)費(fèi)后即可開通。國(guó)內(nèi)域名注冊(cè)的權(quán)威機(jī)構(gòu)是CNNIC。3.Web站點(diǎn)的需求分析和總體設(shè)計(jì)需求分析是網(wǎng)站設(shè)計(jì)的重要環(huán)節(jié)。在需求分析的根底上進(jìn)行總體設(shè)計(jì)和數(shù)據(jù)庫(kù)設(shè)計(jì)。在此過程中確定站點(diǎn)建設(shè)所需要的軟件和硬件配置、連接因特網(wǎng)的方式、運(yùn)行和維護(hù)費(fèi)用等。4.確定Web站點(diǎn)的組織與風(fēng)格在上述工作根底上，確定Web站點(diǎn)的主頁(yè)版面，色彩搭配等，勾畫出整個(gè)Web站點(diǎn)系統(tǒng)的所有全貌，包括每個(gè)頁(yè)面的版式布局、鏈接關(guān)系、本卷須知等。Web站點(diǎn)的結(jié)構(gòu)層次不能太深，應(yīng)遵從“三次單擊”原那么，即Web站點(diǎn)的任何信息都應(yīng)該在最多三次單擊后找到。應(yīng)該使得網(wǎng)頁(yè)內(nèi)容可以在InternetExplorer和Netscape兩種主流瀏覽器中都能被正常顯示。Web站點(diǎn)的組織與風(fēng)格是至關(guān)重要的。一個(gè)成功的網(wǎng)頁(yè)應(yīng)包含Web站點(diǎn)名稱、Web站點(diǎn)徽標(biāo)、網(wǎng)頁(yè)標(biāo)題、網(wǎng)頁(yè)內(nèi)容、指向主頁(yè)的鏈接、指向其他網(wǎng)頁(yè)的鏈接、版權(quán)陳述、Web站點(diǎn)的Email地址和其他聯(lián)系方法等根本要素。一個(gè)網(wǎng)頁(yè)的長(zhǎng)度一般應(yīng)控制在2頁(yè)到3頁(yè)的篇幅內(nèi)。在進(jìn)行網(wǎng)頁(yè)的版面設(shè)計(jì)時(shí)應(yīng)注意頁(yè)面的簡(jiǎn)潔性和高效性，讓人們易于找到所關(guān)心的信息，不要讓精美的動(dòng)畫和花哨的圖片喧賓奪主。Web站點(diǎn)應(yīng)確定一個(gè)主色調(diào)和一個(gè)統(tǒng)一的字體風(fēng)格、圖素風(fēng)格等。頁(yè)面布局采用框架結(jié)構(gòu)還是采用表格方式應(yīng)根據(jù)實(shí)際情況確定。抓住能傳達(dá)主要信息的字眼作為超鏈接；通常采用層疊樣式單〔CSS〕來(lái)保持頁(yè)面的字體、字體顏色、背景、邊框、文本屬性等風(fēng)格的一致。5.Web站點(diǎn)開發(fā)和運(yùn)行環(huán)境確實(shí)定根據(jù)站點(diǎn)運(yùn)行的實(shí)際情況確定Web站點(diǎn)的運(yùn)行環(huán)境。在Windows下對(duì)于一般性Web站點(diǎn)比較理想的運(yùn)行環(huán)境是WindowsServer2003操作系統(tǒng)+IIS6.0Web效勞器+MicrosoftSQlServer2000/2005數(shù)據(jù)庫(kù)效勞器。JAVAEE和.NET開發(fā)平臺(tái)各領(lǐng)風(fēng)騷，一般認(rèn)為用Java平臺(tái)開發(fā)的站點(diǎn)其平安性和運(yùn)行效率要優(yōu)于.NET平臺(tái)開發(fā)的站點(diǎn)。但Java平臺(tái)提倡開源，工具的多樣性和復(fù)雜性造成對(duì)開發(fā)者的要求很高，增加了開發(fā)難度和系統(tǒng)的維護(hù)本錢，而.NET那么易于學(xué)習(xí)和使用，站點(diǎn)易于實(shí)現(xiàn)，系統(tǒng)維護(hù)本錢低。6.Web站點(diǎn)的開發(fā)Web站點(diǎn)的開發(fā)涉及到工程負(fù)責(zé)人、設(shè)計(jì)人員、程序員、網(wǎng)頁(yè)制作人員和美工等。其中工程負(fù)責(zé)人負(fù)責(zé)站點(diǎn)內(nèi)容的總體設(shè)計(jì)、進(jìn)度和人員安排等；設(shè)計(jì)人員負(fù)責(zé)站點(diǎn)頁(yè)面布局和整個(gè)站點(diǎn)程序的設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)等工作；程序員主要負(fù)責(zé)效勞器端程序開發(fā)等；網(wǎng)頁(yè)制作人員負(fù)責(zé)開發(fā)網(wǎng)頁(yè)工作等；美工人員那么負(fù)責(zé)制作動(dòng)畫和圖片，并嵌入到網(wǎng)頁(yè)中去。通過FrontPage、DreamWeaver、MicrosoftInterdev6.0/VS2005等等工具來(lái)建設(shè)Web站點(diǎn)可大大提高工作效率。建設(shè)Web站點(diǎn)過程中掌握Vbscript或Javascript腳本語(yǔ)言的使用是必須的，只有靈活使用這些腳本語(yǔ)言，才可以開發(fā)出活潑、動(dòng)態(tài)的交互式動(dòng)態(tài)HTML頁(yè)面。7.Web站點(diǎn)的測(cè)試主要測(cè)試內(nèi)容有：功能測(cè)試和性能測(cè)試、平安性測(cè)試、穩(wěn)定性測(cè)試、瀏覽器兼容性測(cè)試、鏈接測(cè)試等?？赏ㄟ^一些專業(yè)工具檢查鏈接錯(cuò)誤，找出網(wǎng)頁(yè)制作中存在的各種問題。8.將Web站點(diǎn)接入Internet，并做好網(wǎng)站推廣Web站點(diǎn)開發(fā)成功后，需要放到Internet網(wǎng)上作為一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)被網(wǎng)上用戶訪問。根據(jù)情況，選擇虛擬主機(jī)方式、效勞器租用或托管方式、鋪設(shè)專線方式來(lái)接通Internet，供人們?cè)L問。對(duì)于商業(yè)Web站點(diǎn)，正式開通后,如何宣傳自己的Web站點(diǎn)就成為Web站點(diǎn)能否發(fā)揮其作用的關(guān)鍵所在。站點(diǎn)推廣活動(dòng)有長(zhǎng)期和短期的；有無(wú)償?shù)暮陀袃數(shù)?；有費(fèi)用高的和費(fèi)用低的，當(dāng)然效果也有所不同。比較簡(jiǎn)單的是通過群發(fā)郵件、在各大論壇注冊(cè)后討論、讓搜索引擎幫助等方式來(lái)推廣，在這方面使用一些適當(dāng)?shù)募记?可以得到百倍于投入的收益。9.Web站點(diǎn)的運(yùn)行平安和維護(hù)管理涉及到Web站點(diǎn)的平安性方面的問題比較多，主要包括：身份竊取、數(shù)據(jù)竊取、假冒、非授權(quán)存取、錯(cuò)誤路由、否認(rèn)、拒絕效勞等等。在站點(diǎn)效勞器上要保證操作系統(tǒng)的漏洞及時(shí)得到升級(jí)，精心配置Web效勞器、郵件效勞器、數(shù)據(jù)庫(kù)效勞器的各項(xiàng)參數(shù)設(shè)置。Web站點(diǎn)的維護(hù)和管理包括效勞器的維護(hù)、站點(diǎn)程序的維護(hù)、內(nèi)容的更新和信息的發(fā)布等。主要工作包括要對(duì)存在的問題進(jìn)行修改、對(duì)Web站點(diǎn)內(nèi)容進(jìn)行更新或修改、及時(shí)去除一些垃圾頁(yè)面或圖片、對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份等。10.ASP.NET中編程本卷須知〔1〕選擇適合的數(shù)據(jù)查看機(jī)制?！?〕采用Server.Transfer重定向頁(yè)面?！?〕在部署Web站點(diǎn)時(shí)，不要啟用調(diào)試模式?！?〕將SqlDataReader類用于快速只進(jìn)數(shù)據(jù)游標(biāo)?！?〕字符串操作性能優(yōu)化?！?〕應(yīng)考慮編譯運(yùn)行Web應(yīng)用程序?！?〕不要依賴代碼中的異常?！?〕只在必要時(shí)保存效勞器控件視圖狀態(tài)。〔9〕防止到效勞器的不必要的往返過程?！?0〕使用Page.IsPostBack防止執(zhí)行不必要的處理?！?1〕當(dāng)不使用會(huì)話狀態(tài)時(shí)禁用它?！?2〕仔細(xì)選擇會(huì)話狀態(tài)提供程序?！?3〕不使用不必要的Web效勞器控件?！?4〕優(yōu)化Web效勞器配置文件?！?5〕緩存數(shù)據(jù)和頁(yè)面輸出。11.ASP.NET應(yīng)用程序性能測(cè)試8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web效勞器硬、軟件配置8.7.2改善Web應(yīng)用程序的性能8.7Web站點(diǎn)性能優(yōu)化8.7.1優(yōu)化Web效勞器硬、軟件配置使用快速的磁盤和好的網(wǎng)絡(luò)存取機(jī)制，能明顯改進(jìn)Web站點(diǎn)訪問速度?？梢赃\(yùn)用特定網(wǎng)卡〔如Akamba公司的Velobahn〕來(lái)改進(jìn)效勞器的速度，或是采用相關(guān)技術(shù)優(yōu)化網(wǎng)絡(luò)接口卡的性能。這類網(wǎng)卡可減輕Web效勞器CPU的負(fù)荷，使其從繁瑣的網(wǎng)絡(luò)協(xié)議處理中解脫出來(lái)，而集中于頁(yè)面處理和效勞提供?？梢詾閃eb效勞器增加反向緩沖代理，使效勞器能夠順利實(shí)現(xiàn)已創(chuàng)立頁(yè)面的傳輸，同時(shí)在創(chuàng)立動(dòng)態(tài)頁(yè)面過程中減輕效勞器負(fù)荷?？梢酝ㄟ^對(duì)數(shù)據(jù)庫(kù)效勞器和Web效勞器的配置在緩沖、壓縮、帶寬限制、進(jìn)程限制等方面提高Web站點(diǎn)的性能。1.幫頁(yè)面減肥2.盡量使用靜態(tài)HTML頁(yè)面3．切忌將整個(gè)頁(yè)面內(nèi)容塞到一個(gè)Table中4.將ASP/ASP.NET、JSP、PHP等文件的訪問改為js文件引用5.使用iframe嵌套另一頁(yè)面。6.站點(diǎn)計(jì)數(shù)器的放置位置7．?dāng)?shù)據(jù)庫(kù)的連接和關(guān)閉8.盡量使用存儲(chǔ)過程9.優(yōu)化查詢語(yǔ)句8.7.2改善Web應(yīng)用程序的性能8.8Web站點(diǎn)的平安性8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題8.8.2在安裝SQLSERVER的效勞器上應(yīng)考慮的平安問題8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的平安性問題8.8Web站點(diǎn)的平安性〔1〕采用NTFS分區(qū)；盡可能安裝操作系統(tǒng)的最新效勞包和修補(bǔ)程序；增強(qiáng)口令的平安性；在網(wǎng)絡(luò)配置中禁用WINS、NETBIOS、LMHOST(用于IP地址與Windows計(jì)算機(jī)名稱的映射)；停掉或卸載不必要的進(jìn)程或效勞?！?〕將磁盤上的默認(rèn)Web站點(diǎn)位置從c:\inetpub\更改到其他位置?！?〕使用IIS鎖定工具〔IISLockdownTool〕刪除應(yīng)用程序中未使用的所有其他動(dòng)態(tài)內(nèi)容類型，以縮小攻擊者可用來(lái)攻擊的區(qū)域；〔4〕確保應(yīng)用程序使用低權(quán)限的ASP.NET賬戶運(yùn)行ASP.NET代碼；

8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題〔5〕將ASP.NET賬戶添加到IIS鎖定工具創(chuàng)立的本地“Web應(yīng)用程序組”，以防進(jìn)程運(yùn)行任何未得到授權(quán)的命令行可執(zhí)行程序；〔6〕停掉默認(rèn)的Web網(wǎng)站，新建一個(gè)網(wǎng)站作為Web應(yīng)用程序站點(diǎn)，用虛擬目錄來(lái)指定Web訪問路徑；〔7〕配置URLScan2.5，使其只允許應(yīng)用程序中使用的擴(kuò)展集，并阻止較長(zhǎng)的請(qǐng)求〔URLScan2.5是由IIS鎖定工具安裝的，是一個(gè)ISAPI過濾器，可根據(jù)查詢長(zhǎng)度和字符集等規(guī)那么監(jiān)視和過濾發(fā)送到IISWeb效勞器的所有輸入請(qǐng)求〕；〔8〕設(shè)置Web內(nèi)容目錄的訪問權(quán)限，授予ASP.NET進(jìn)程對(duì)內(nèi)容文件的讀訪問權(quán)限，授予匿名用戶對(duì)所提供內(nèi)容的適當(dāng)只讀訪問權(quán)限；8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題〔9〕限制對(duì)IIS和URLScan的日志目錄的訪問，只有系統(tǒng)賬戶和系統(tǒng)管理員組才具有訪問權(quán)限?！?0〕安裝防病毒軟件和防木馬軟件等，啟用計(jì)算機(jī)的防火墻功能。僅留必要的端口號(hào)?！?1〕創(chuàng)立注冊(cè)表項(xiàng)：nolmhash、NoDefaultExempt、DisableIPSourceRouting、SynAttackProtect來(lái)提高系統(tǒng)平安性。(12)通過對(duì)Web訪問的日志進(jìn)行審計(jì)，可以發(fā)現(xiàn)一些對(duì)平安方面有幫助的信息。8.8.1在安裝IIS6.0的效勞器上應(yīng)考慮的平安問題〔1〕SQLServer安裝在NTFS分區(qū)上；〔2〕為數(shù)據(jù)庫(kù)訪問建立替代帳號(hào)，并為替代帳號(hào)設(shè)置數(shù)據(jù)庫(kù)訪問角色，不要用sa帳號(hào)?！?〕安裝數(shù)據(jù)庫(kù)系統(tǒng)的最新效勞包〔對(duì)SQLserver2000應(yīng)安裝ServicePack4〕?！?〕將數(shù)據(jù)庫(kù)系統(tǒng)設(shè)置成禁用其他SQLSERVER通過RPC遠(yuǎn)程連接；〔5〕選擇低權(quán)限本地賬戶，啟動(dòng)SQLServer效勞；〔6〕停止DistributedTransactionCoordinator(MSDTC)效勞，并將其設(shè)置為手動(dòng)啟動(dòng)?！?〕禁止數(shù)據(jù)庫(kù)效勞器運(yùn)行COM+應(yīng)用程序；8.8.2在安裝SQLSERVER效勞器上應(yīng)考慮的平安問題〔8〕限制所支持的身份驗(yàn)證協(xié)議的級(jí)別〔在[控制面板]|[管理工具]|[本地平安設(shè)置]|[平安設(shè)置]|[本地策略]|[平安選項(xiàng)]:LANManager身份驗(yàn)證級(jí)別中進(jìn)行設(shè)置〕；〔9〕禁用應(yīng)用程序不需要的SQLServer代理和Microsoft搜索效勞；〔10〕設(shè)置ServerNetwork的網(wǎng)絡(luò)屬性,由“直接客戶端播送”改為“隱藏SQLServer”；〔11〕如應(yīng)用程序不使用“命名管道”協(xié)議，那么刪除之；〔12〕限制數(shù)據(jù)庫(kù)用戶只具有用得到的數(shù)據(jù)庫(kù)操作權(quán)限?！?3〕"xp_cmdshell"是擴(kuò)展存儲(chǔ)過程，可以執(zhí)行操作系統(tǒng)級(jí)命令，該存儲(chǔ)過程的功能通過SQLSERVER安裝目錄中的文件"C:\ProgramFiles\MicrosoftSQLServer\MSSQL\Binn\xplog70.dll"獲得，如果系統(tǒng)沒有用到"xp_cmdshell"擴(kuò)展存儲(chǔ)過程，請(qǐng)將該文件換名或刪除掉。8.8.2在安裝SQLSERVER效勞器上應(yīng)考慮的平安問題〔1〕對(duì)Web應(yīng)用系統(tǒng)應(yīng)建立基于角色的用戶權(quán)限管理機(jī)制；〔2〕使用參數(shù)化存儲(chǔ)過程?！?〕輸入有效性驗(yàn)證?！?〕盡量少用session和Application變量，切忌不要通過session用來(lái)在頁(yè)面間傳遞大數(shù)據(jù)量?！?〕信息加密存儲(chǔ)。8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的平安性問題<authenticationmode="Forms"><formsname="userInfo"loginUrl="login.aspx"protection="All"></forms></authentication><authorization><denyusers="?"/></authorization>

〔6〕窗體身份驗(yàn)證。窗體身份驗(yàn)證即是當(dāng)用戶請(qǐng)求一個(gè)平安頁(yè)面時(shí)，系統(tǒng)要對(duì)其進(jìn)行判斷，如果該用戶已經(jīng)登錄系統(tǒng)并尚未超時(shí)，系統(tǒng)將返回此頁(yè)面給請(qǐng)求用戶；反之如該用戶尚未登錄，系統(tǒng)就要將此用戶重定向到登錄頁(yè)面。以上所述功能的實(shí)現(xiàn)只需對(duì)Web.config文件進(jìn)行如下配置即可。在登錄頁(yè)面中添加如下代碼：if(與數(shù)據(jù)庫(kù)的用戶名密碼字段比較判斷用戶是否合法){System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text,false);}else{Response.Write("身份不合法!");}8.8.3開發(fā)Web站點(diǎn)程序應(yīng)考慮的平安性問題對(duì)進(jìn)行身份驗(yàn)證的登錄頁(yè)本身，應(yīng)該采取兩步方式驗(yàn)證用戶存在且密碼正確，且不可為圖簡(jiǎn)便而使用一條SQL語(yǔ)句進(jìn)行驗(yàn)證〔如果攻擊者攻破Web站點(diǎn)，并將SQL語(yǔ)句的where子句末尾加上一段永遠(yuǎn)為真的判斷語(yǔ)句，那么無(wú)論何時(shí)他都可以通過身份驗(yàn)證，這種攻擊稱為注入式攻擊〕。存在平安隱患的身份