Web服务器的安全性.ppt

Web服务器的安全性 1 HTTP协议及Web服务 vHTTP协议是通用的，无状态的，其系统建设 与传输的数据无关。HTTP也是面向对象的协 议，可用于各种任务，包括名字服务、分布 式对象管理、请求方法的扩展、命令等。 vWeb帐户的快速访问、开放及无状态的特性 ，使得其控制和保护变的非常困难。 2 Web服务器的创建 v安装IIS v控制面板添加/删除程序添加/删除 Windows组件IIS 2.1 IIS安全安装 v 要构建一个安全的IIS服务器，必须从安装时 就充分考虑安全问题。 1. 不要将IIS安装在系统分区上。 2. 修改IIS的安装默认路径 3. 打上Windows和IIS的最新补丁。 2.2 IIS的安全配置 v1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、 IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作 用，可直接删除。 v2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管 理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本， 大家可以根据自己的需要决定是否删除。 v3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器 中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型 的文件都建立目录，然后给它们分配适当权限。例如：静态文件文 件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取， EXE等可执行程序允许执行、拒绝读写。 2.2 IIS的安全配置 v4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射，除了ASP的这个 程序映射，其他的文件在网站上都很少用到。 在 “Internet服务管理器”中，右击网站目录，选择“属性”，在 网站目录属性对话框的“主目录”页面中，点击配置按钮 ，弹出“应用程序配置”对话框，在“应用程序映射”页面， 删除无用的程序映射。如果需要这一类文件时，必须安 装最新的系统修补补丁，并且选中相应的程序映射，再 点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话 框中勾选“检查文件是否存在”选项。这样当客户请求这类 文件时，IIS会先检查文件是否存在，文件存在后才会去 调用程序映射中定义的动态链接库来解析。 2.2 IIS的安全配置 v 5. 保护日志安全 日志是系统安全策略的一个重要 环节，确保日志的安全能有效提高系统整体安全性 。 修改IIS日志的存放路径 默认情况下，IIS的日志存 放在%WinDir%System32LogFiles，黑客当然非常清 楚，所以最好修改一下其存放路径。在“Internet服务管理 器”中，右击网站目录，选择“属性”，在网站目录属性对 话框的“Web站点”页面中，在选中“启用日志记录”的情况 下，点击旁边的属性按钮，在“常规属性”页面，点击浏 览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限，设置只有管理员才能访问。 3 Web服务器与操作系统 v要创建一个安全可靠的Web服务器，必须要 实现Windows 2000和IIS的双重安全，因为 IIS的用户同时也是Windows 2000的用户， 并且IIS目录的权限依赖Windows的NTFS文 件系统的权限控制，所以保护IIS安全的第一 步就是确保Windows 2000操作系统的安全 3 Web服务器与操作系统 v1. 使用NTFS文件系统，以便对文件和目录 进行管理。 v2. 关闭默认共享 v3. 修改共享权限 建立新的共享后立即修改Everyone的缺省权限， 不让Web服务器访问者得到不必要的权限。 v4. 为系统管理员账号更名，避免非法用户攻 击。 3 Web服务器与操作系统 v5. 禁用TCP/IP 上的NetBIOS v6. TCP/IP上对进站连接进行控制 鼠标右击桌面上网络邻居 属性 本地连接 属性 ，打开“本地连接属性”对话框。选择Internet协议 (TCP/IP)属性高级选项，在列表中单击选中 “TCP/IP筛选”选项。单击属性按钮，选择“只允许”，再 单击添加按钮，只填入80端口。 v7. 修改注册表，减小拒绝服务攻击的风险。 打开注册表：将 HKLMSystemCurrentControlSetServicesTcpipPar ameters下的SynAttackProtect的值修改为2，使连接对超 时的响应更快。 4 SSL安全机制 v IIS的身份认证除了匿名访问、基本验证和 Windows NT请求/响应方式外，还有一种安 全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书。 4.1 SSL的概念 v SSL（加密套接字协议层）位于HTTP层和TCP层 之间，建立用户与服务器之间的加密通信，确保所 传递信息的安全性。SSL是工作在公共密钥和私人 密钥基础上的，任何用户都可以获得公共密钥来加 密数据，但解密数据必须要通过相应的私人密钥。 使用SSL安全机制时，首先客户端与服务器建立连 接，服务器把它的数字证书与公共密钥一并发送给 客户端，客户端随机生成会话密钥，用从服务器得 到的公共密钥对会话密钥进行加密，并把会话密钥 在网络上传递给服务器，而会话密钥只有在服务器 端用私人密钥才能解密，这样，客户端和服务器端 就建立了一个惟一的安全通道。 4.2 SSL建立的步骤 v启动ISM并打开Web站点的属性页； v选择“目录安全性”选项卡； v单击“密钥管理器”按钮； v通过密钥管理器生成密钥对文件和请求文件 ； v从身份认证权限中申请一个证书； v通过密钥管理器在服务器上安装证书； v激活Web站点的SSL安全性。 4.3 SSL的安全性能评价 v 建立了SSL安全机制后，只有SSL允许的客 户才能与SSL允许的Web站点进行通信，并 且在使用URL资源定位器时，输入https:/ ， 而不是http:/ 。 SSL安全机制的实现，将增 大系统开销，增加了服务器CPU的额外负担 ，从而降低了系统性能，在规划时建议仅考 虑为高敏感度的Web目录使用。另外，SSL 客户端需要使用IE 3.0及以上版本才能使用 。 5 使用IIS Lockdown v 一、注意事项 IIS Lockdown会改变IIS的运行方式，因此很可能 与依赖IIS某些功能的应用冲突。另外，在正式应 用IIS Lockdown或URLScan之前，务必搜索微 软的知识库，收集可能出现问题的最新资料。掌 握这些资料并了解其建议之后，再在测试服务器 上安装IISLockdown，全面测试Web应用需要的 IIS功能是否受到影响。最后，做一次全面的系统 备份，以便在系统功能受到严重影响时迅速恢复 。 5.2 安装 v将iislockd.exe下载到一个临时目录。 v打开控制台窗口，进入临时目录，执行命令 “iislockd.exe /q /c /t:c:IISLockdown”解开压 缩，/q要求以“安静”模式操作，/c要求IIS Lockdown只执行提取文件的操作，和-t选项 一起使用，-t选项指定了要把文件解压缩到哪 一个目录 6 Web客户安全 vIE插件安全 vJava与JavaScript安全 vCookies安全 vActiveX安全 7 网络钓鱼 v发送电子邮件，以虚假信息引诱用户中圈套。 v二是建立假冒网上银行、网上证券网站，骗取用户 账号密码实施盗窃。 v利用虚假的电子商务进行诈骗。 v利用木马和黑客技术等手段窃取用户信息后实施盗 窃活动。 v跨站钓鱼 vWindows特性惹的祸：危险的HOSTS文件 v系统升级补丁：骗子的鱼饵 7.1 远离钓鱼 v一、针对电子邮件欺诈， 一是伪造发件人信息，如ABC； 二是问候语或开场白往往模仿被假冒单位的口吻和语气 ，如“亲爱的用户”； 三是邮件内容多为传递紧迫的信息，如以账户状态将影 响到正常使用或宣称正在通过网站更新账号资料信息等 ； 四是索取个人信息，要求用户提供密码、账号等信息。 还有一类邮件是以超低价或海关查没品等为诱饵诱骗消 费者。 7.1 远离钓鱼 v二、针对假冒网上银行、网上证券网站的情况 一是核对网址，看是否与真正网址一致； 二是选妥和保管好密码， 三是做好交易记录， 四是管好数字证书， 五是对异常动态提高警惕，如不小心在陌生的网址上输 入了账户和密码，并遇到类似“系统维护”之类提示时，应 立即拨打有关客服热线进行确认 六是通过正确的程序登录支付网关，通过正式公布的网 站进入，不要通过搜索引擎找到的网址或其他不明网站 的链接进入。 7.1 远离钓鱼 v针对虚假电子商务信息的情况， 一是虚假购物、拍卖网站看上去都比较“正规”， 二是交易方式单一，消费者只能通过银行汇款的方式购 买，且收款人均为个人，而非公司，订货方法一律采用 先付款后发货的方式； 三是诈取消费者款项的手法如出一辙，当消费者汇出第 一笔款后，骗子会来电以各种理由要求汇款人再汇余款 、风险金、押金或税款之类的费用，否则不会发货， 四是在进行网络交易前，要对交易网站和交易对方的资 质进行全面了解 7.1 远离钓鱼 v其他网络安全防范措施。 一是安装防火墙和防病毒软件，并经常升级； 二是注意经常给系统打补丁，堵塞软件漏洞； 三是禁止浏览器运行JavaScript和ActiveX代码； 四是不要上一些不太了解的网站，不要执行从网上下载 后未经杀毒处理的软件，不要打开msn或者QQ上传送过 来的不明文件等； 五是提高自我保护意识，注意妥善保管自己的私人信息 ，如本人证件号码、账号、密码等，不向他人透露；尽 量避免在网吧等公共场所使用网上电子商务服务 8 间谍软件 v当浏览 器关闭时 (有时候甚至都没有连接到 互联网)，会出现弹 出广告。当打开浏览 器 时，一个像HotO的网站出现了，而 不是我们内部网的主页。 v有最新的杀毒软件，并且没有发现 病毒。使 用查杀间谍软 件的工具“SpyBot Search & Destroy ”进行扫描之后，发现 一些不熟悉的 文件，删除这些文件。但是，这样 并没有解 决这些问题 。 8.1 如何防范间谍软件 vWindows补丁一发布就要立即使用。 v企业防火墙和基于本地软件的防火墙必须能够保护每一台 计算机。 vIE浏览器的设置必须是非常安全的。 v每台计算机至少安装两种间谍软 件清除工具，如Spybot - Search & Destroy和Ad-Aware。 8.1 如何防范间谍软件 v应该安装Javacool软件公司的SpywareBlaster软件，以阻 止已知的恶意ActiveX控件在每一台计算机上运行。 v 每一台计算机应该安装一个好的杀毒软件。 v杀毒软件、SpywareBlaster和间谍软 件清除程序必须不断 更新新的恶意软件的定义。 v创建一个互联网安全使用行为规范的指南。例如，用户永 远不要点击弹出式广告，永远不要打开来源不明的电子邮 件的附件，一定要阅读要安装的软件中的细则。 FTP服务的安全性能 1 IIS中的FTP服务 v Windows 2000系统的IIS5.0提供 了FTP服务 功能，由于它的简单易用，与Windows系统 本身结合紧密，深受广大用户的喜爱。但使 用IIS5.0架设的FTP服务器真的安全吗？它的 默认设置其实存在很多安全隐患，很容易成 为黑客们的攻击目标。 FTP安全性能的一些简单控制 v一 取消匿名访问功能 v二 启用日志记录 v三 正确设置用户访问权限 v 四 启用磁盘配额 v五 TCP/IP访问限制 v六 合理设置组策略 1. 审核账户登录事件 v在本地安全设置窗口中，依次展开“安全设置本地策略审核策略”， 然后在右侧的框体中找到“审核账户登录事件”项目 2. 增强账号密码的复杂性 账户锁定 v创建SSL证书 v要想使用Serv-U的SSL功能，当然需要SSL 证书的支持才行。虽然Serv-U 在安装之时就 已经自动生成了一个SSL证书，但