版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、Web服务器的安全性,1HTTP协议及Web服务,HTTP协议是通用的,无状态的,其系统建设与传输的数据无关。HTTP也是面向对象的协议,可用于各种任务,包括名字服务、分布式对象管理、请求方法的扩展、命令等。 Web帐户的快速访问、开放及无状态的特性,使得其控制和保护变的非常困难。,2 Web服务器的创建,安装IIS 控制面板添加/删除程序添加/删除Windows组件IIS,2.1 IIS安全安装,要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。 1. 不要将IIS安装在系统分区上。 2. 修改IIS的安装默认路径 3. 打上Windows和IIS的最新补丁。,2.2 IIS的安
2、全配置,1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。 2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。 3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的
3、文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。,2.2 IIS的安全配置,4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。 在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击配置按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击编辑按钮,在“添加/编
4、辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。,2.2 IIS的安全配置,5. 保护日志安全 日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径 默认情况下,IIS的日志存放在%WinDir%System32LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的属性按
5、钮,在“常规属性”页面,点击浏览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限,设置只有管理员才能访问。,3 Web服务器与操作系统,要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,3 Web服务器与操作系统,1. 使用NTFS文件系统,以便对文件和目录进行管理。 2. 关闭默认共享 3. 修改共享权限 建立新的共享后立即修改Everyone的
6、缺省权限,不让Web服务器访问者得到不必要的权限。 4. 为系统管理员账号更名,避免非法用户攻击。,3 Web服务器与操作系统,5. 禁用TCP/IP 上的NetBIOS 6. TCP/IP上对进站连接进行控制 鼠标右击桌面上网络邻居 属性 本地连接 属性,打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级选项,在列表中单击选中“TCP/IP筛选”选项。单击属性按钮,选择“只允许”,再单击添加按钮,只填入80端口。 7. 修改注册表,减小拒绝服务攻击的风险。 打开注册表:将HKLMSystemCurrentControlSetServicesTcpipParamete
7、rs下的SynAttackProtect的值修改为2,使连接对超时的响应更快。,4 SSL安全机制,IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数字证书。,4.1 SSL的概念,SSL(加密套接字协议层)位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信,确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字
8、证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个惟一的安全通道。,4.2 SSL建立的步骤,启动ISM并打开Web站点的属性页; 选择“目录安全性”选项卡; 单击“密钥管理器”按钮; 通过密钥管理器生成密钥对文件和请求文件; 从身份认证权限中申请一个证书; 通过密钥管理器在服务器上安装证书; 激活Web站点的SSL安全性。,4.3 SSL的安全性能评价,建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信
9、,并且在使用URL资源定位器时,输入https:/ ,而不是http:/ 。SSL安全机制的实现,将增大系统开销,增加了服务器CPU的额外负担,从而降低了系统性能,在规划时建议仅考虑为高敏感度的Web目录使用。另外,SSL客户端需要使用IE 3.0及以上版本才能使用。,5 使用IIS Lockdown,一、注意事项 IIS Lockdown会改变IIS的运行方式,因此很可能与依赖IIS某些功能的应用冲突。另外,在正式应用IIS Lockdown或URLScan之前,务必搜索微软的知识库,收集可能出现问题的最新资料。掌握这些资料并了解其建议之后,再在测试服务器上安装IISLockdown,全面测
10、试Web应用需要的IIS功能是否受到影响。最后,做一次全面的系统备份,以便在系统功能受到严重影响时迅速恢复。,5.2 安装,将iislockd.exe下载到一个临时目录。 打开控制台窗口,进入临时目录,执行命令“iislockd.exe /q /c /t:c:IISLockdown”解开压缩,/q要求以“安静”模式操作,/c要求IIS Lockdown只执行提取文件的操作,和-t选项一起使用,-t选项指定了要把文件解压缩到哪一个目录,6 Web客户安全,IE插件安全 Java与JavaScript安全 Cookies安全 ActiveX安全,7 网络钓鱼,发送电子邮件,以虚假信息引诱用户中圈套
11、。 二是建立假冒网上银行、网上证券网站,骗取用户账号密码实施盗窃。 利用虚假的电子商务进行诈骗。 利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。 跨站钓鱼 Windows特性惹的祸:危险的HOSTS文件 系统升级补丁:骗子的鱼饵,7.1 远离钓鱼,一、针对电子邮件欺诈, 一是伪造发件人信息,如ABC; 二是问候语或开场白往往模仿被假冒单位的口吻和语气,如“亲爱的用户”; 三是邮件内容多为传递紧迫的信息,如以账户状态将影响到正常使用或宣称正在通过网站更新账号资料信息等; 四是索取个人信息,要求用户提供密码、账号等信息。 还有一类邮件是以超低价或海关查没品等为诱饵诱骗消费者。,7.1 远离钓
12、鱼,二、针对假冒网上银行、网上证券网站的情况 一是核对网址,看是否与真正网址一致; 二是选妥和保管好密码, 三是做好交易记录, 四是管好数字证书, 五是对异常动态提高警惕,如不小心在陌生的网址上输入了账户和密码,并遇到类似“系统维护”之类提示时,应立即拨打有关客服热线进行确认 六是通过正确的程序登录支付网关,通过正式公布的网站进入,不要通过搜索引擎找到的网址或其他不明网站的链接进入。,7.1 远离钓鱼,针对虚假电子商务信息的情况, 一是虚假购物、拍卖网站看上去都比较“正规”, 二是交易方式单一,消费者只能通过银行汇款的方式购买,且收款人均为个人,而非公司,订货方法一律采用先付款后发货的方式;
13、三是诈取消费者款项的手法如出一辙,当消费者汇出第一笔款后,骗子会来电以各种理由要求汇款人再汇余款、风险金、押金或税款之类的费用,否则不会发货, 四是在进行网络交易前,要对交易网站和交易对方的资质进行全面了解,7.1 远离钓鱼,其他网络安全防范措施。 一是安装防火墙和防病毒软件,并经常升级; 二是注意经常给系统打补丁,堵塞软件漏洞; 三是禁止浏览器运行JavaScript和ActiveX代码; 四是不要上一些不太了解的网站,不要执行从网上下载后未经杀毒处理的软件,不要打开msn或者QQ上传送过来的不明文件等; 五是提高自我保护意识,注意妥善保管自己的私人信息,如本人证件号码、账号、密码等,不向他
14、人透露;尽量避免在网吧等公共场所使用网上电子商务服务,8 间谍软件,当浏览器关闭时(有时候甚至都没有连接到互联网),会出现弹出广告。当打开浏览器时,一个像HotO的网站出现了,而不是我们内部网的主页。 有最新的杀毒软件,并且没有发现病毒。使用查杀间谍软件的工具“SpyBot Search & Destroy ”进行扫描之后,发现一些不熟悉的文件,删除这些文件。但是,这样并没有解决这些问题。,8.1 如何防范间谍软件,Windows补丁一发布就要立即使用。 企业防火墙和基于本地软件的防火墙必须能够保护每一台计算机。 IE浏览器的设置必须是非常安全的。 每台计算机至少安装两种间谍软件清除工具,如S
15、pybot - Search & Destroy和Ad-Aware。,8.1 如何防范间谍软件,应该安装Javacool软件公司的SpywareBlaster软件,以阻止已知的恶意ActiveX控件在每一台计算机上运行。 每一台计算机应该安装一个好的杀毒软件。 杀毒软件、SpywareBlaster和间谍软件清除程序必须不断更新新的恶意软件的定义。 创建一个互联网安全使用行为规范的指南。例如,用户永远不要点击弹出式广告,永远不要打开来源不明的电子邮件的附件,一定要阅读要安装的软件中的细则。,FTP服务的安全性能,1 IIS中的FTP服务,Windows 2000系统的IIS5.0提供 了FTP
16、服务功能,由于它的简单易用,与Windows系统本身结合紧密,深受广大用户的喜爱。但使用IIS5.0架设的FTP服务器真的安全吗?它的默认设置其实存在很多安全隐患,很容易成为黑客们的攻击目标。,FTP安全性能的一些简单控制,一 取消匿名访问功能 二 启用日志记录 三 正确设置用户访问权限 四 启用磁盘配额 五 TCP/IP访问限制 六 合理设置组策略 1. 审核账户登录事件 在本地安全设置窗口中,依次展开“安全设置本地策略审核策略”,然后在右侧的框体中找到“审核账户登录事件”项目 2. 增强账号密码的复杂性 账户锁定,创建SSL证书 要想使用Serv-U的SSL功能,当然需要SSL证书的支持才行。虽然Serv-U 在安装之时就已经自动生成了一个SSL证书,但这
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论