Web服務器的安全性.ppt

Web服務器的安全性,1 HTTP協(xié)議及Web服務,HTTP協(xié)議是通用的，無狀態(tài)的，其系統(tǒng)建設與傳輸?shù)臄?shù)據(jù)無關。HTTP也是面向?qū)ο蟮膮f(xié)議，可用于各種任務，包括名字服務、分布式對象管理、請求方法的擴展、命令等。 Web帳戶的快速訪問、開放及無狀態(tài)的特性，使得其控制和保護變的非常困難。,2 Web服務器的創(chuàng)建,安裝IIS 控制面板添加/刪除程序添加/刪除Windows組件IIS,2.1 IIS安全安裝,要構建一個安全的IIS服務器，必須從安裝時就充分考慮安全問題。 1. 不要將IIS安裝在系統(tǒng)分區(qū)上。 2. 修改IIS的安裝默認路徑 3. 打上Windows和IIS的最新補丁。,2.2 IIS的安全配置,1. 刪除不必要的虛擬目錄 IIS安裝完成后在wwwroot下默認生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒有什么實際的作用，可直接刪除。 2. 刪除危險的IIS組件 默認安裝后的有些IIS組件可能會造成安全威脅，例如 Internet服務管理器(HTML)、SMTP Service和NNTP Service、樣本頁面和腳本，大家可以根據(jù)自己的需要決定是否刪除。 3. 為IIS中的文件分類設置權限 除了在操作系統(tǒng)里為IIS的文件設置必要的權限外，還要在IIS管理器中為它們設置權限。一個好的設置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當權限。例如：靜態(tài)文件文件夾允許讀、拒絕寫，ASP腳本文件夾允許執(zhí)行、拒絕寫和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫。,2.2 IIS的安全配置,4. 刪除不必要的應用程序映射 ISS中默認存在很多種應用程序映射，除了ASP的這個程序映射，其他的文件在網(wǎng)站上都很少用到。 在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“主目錄”頁面中，點擊配置按鈕，彈出“應用程序配置”對話框，在“應用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時，必須安裝最新的系統(tǒng)修補補丁，并且選中相應的程序映射，再點擊編輯按鈕，在“添加/編輯應用程序擴展名映射”對話框中勾選“檢查文件是否存在”選項。這樣當客戶請求這類文件時，IIS會先檢查文件是否存在，文件存在后才會去調(diào)用程序映射中定義的動態(tài)鏈接庫來解析。,2.2 IIS的安全配置,5. 保護日志安全 日志是系統(tǒng)安全策略的一個重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑 默認情況下，IIS的日志存放在%WinDir%System32LogFiles，黑客當然非常清楚，所以最好修改一下其存放路徑。在“Internet服務管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對話框的“Web站點”頁面中，在選中“啟用日志記錄”的情況下，點擊旁邊的屬性按鈕，在“常規(guī)屬性”頁面，點擊瀏覽按鈕或者直接在輸入框中輸入日志存放路徑即可。 修改日志訪問權限，設置只有管理員才能訪問。,3 Web服務器與操作系統(tǒng),要創(chuàng)建一個安全可靠的Web服務器，必須要實現(xiàn)Windows 2000和IIS的雙重安全，因為IIS的用戶同時也是Windows 2000的用戶，并且IIS目錄的權限依賴Windows的NTFS文件系統(tǒng)的權限控制，所以保護IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全,3 Web服務器與操作系統(tǒng),1. 使用NTFS文件系統(tǒng)，以便對文件和目錄進行管理。 2. 關閉默認共享 3. 修改共享權限 建立新的共享后立即修改Everyone的缺省權限，不讓Web服務器訪問者得到不必要的權限。 4. 為系統(tǒng)管理員賬號更名，避免非法用戶攻擊。,3 Web服務器與操作系統(tǒng),5. 禁用TCP/IP 上的NetBIOS 6. TCP/IP上對進站連接進行控制 鼠標右擊桌面上網(wǎng)絡鄰居 屬性 本地連接 屬性，打開“本地連接屬性”對話框。選擇Internet協(xié)議(TCP/IP)屬性高級選項，在列表中單擊選中“TCP/IP篩選”選項。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕，只填入80端口。 7. 修改注冊表，減小拒絕服務攻擊的風險。 打開注冊表：將HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改為2，使連接對超時的響應更快。,4 SSL安全機制,IIS的身份認證除了匿名訪問、基本驗證和Windows NT請求/響應方式外，還有一種安全性更高的認證：通過SSL（Security Socket Layer）安全機制使用數(shù)字證書。,4.1 SSL的概念,SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶與服務器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎上的，任何用戶都可以獲得公共密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過相應的私人密鑰。使用SSL安全機制時，首先客戶端與服務器建立連接，服務器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端，客戶端隨機生成會話密鑰，用從服務器得到的公共密鑰對會話密鑰進行加密，并把會話密鑰在網(wǎng)絡上傳遞給服務器，而會話密鑰只有在服務器端用私人密鑰才能解密，這樣，客戶端和服務器端就建立了一個惟一的安全通道。,4.2 SSL建立的步驟,啟動ISM并打開Web站點的屬性頁； 選擇“目錄安全性”選項卡； 單擊“密鑰管理器”按鈕； 通過密鑰管理器生成密鑰對文件和請求文件； 從身份認證權限中申請一個證書； 通過密鑰管理器在服務器上安裝證書； 激活Web站點的SSL安全性。,4.3 SSL的安全性能評價,建立了SSL安全機制后，只有SSL允許的客戶才能與SSL允許的Web站點進行通信，并且在使用URL資源定位器時，輸入https:/ ，而不是http:/ 。 SSL安全機制的實現(xiàn)，將增大系統(tǒng)開銷，增加了服務器CPU的額外負擔，從而降低了系統(tǒng)性能，在規(guī)劃時建議僅考慮為高敏感度的Web目錄使用。另外，SSL客戶端需要使用IE 3.0及以上版本才能使用。,5 使用IIS Lockdown,一、注意事項 IIS Lockdown會改變IIS的運行方式，因此很可能與依賴IIS某些功能的應用沖突。另外，在正式應用IIS Lockdown或URLScan之前，務必搜索微軟的知識庫，收集可能出現(xiàn)問題的最新資料。掌握這些資料并了解其建議之后，再在測試服務器上安裝IISLockdown，全面測試Web應用需要的IIS功能是否受到影響。最后，做一次全面的系統(tǒng)備份，以便在系統(tǒng)功能受到嚴重影響時迅速恢復。,5.2 安裝,將iislockd.exe下載到一個臨時目錄。 打開控制臺窗口，進入臨時目錄，執(zhí)行命令“iislockd.exe /q /c /t:c:IISLockdown”解開壓縮，/q要求以“安靜”模式操作，/c要求IIS Lockdown只執(zhí)行提取文件的操作，和-t選項一起使用，-t選項指定了要把文件解壓縮到哪一個目錄,6 Web客戶安全,IE插件安全 Java與JavaScript安全 Cookies安全 ActiveX安全,7 網(wǎng)絡釣魚,發(fā)送電子郵件，以虛假信息引誘用戶中圈套。 二是建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶賬號密碼實施盜竊。 利用虛假的電子商務進行詐騙。 利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動。 跨站釣魚 Windows特性惹的禍：危險的HOSTS文件 系統(tǒng)升級補?。候_子的魚餌,7.1 遠離釣魚,一、針對電子郵件欺詐， 一是偽造發(fā)件人信息，如ABC； 二是問候語或開場白往往模仿被假冒單位的口吻和語氣，如“親愛的用戶”； 三是郵件內(nèi)容多為傳遞緊迫的信息，如以賬戶狀態(tài)將影響到正常使用或宣稱正在通過網(wǎng)站更新賬號資料信息等； 四是索取個人信息，要求用戶提供密碼、賬號等信息。 還有一類郵件是以超低價或海關查沒品等為誘餌誘騙消費者。,7.1 遠離釣魚,二、針對假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站的情況 一是核對網(wǎng)址，看是否與真正網(wǎng)址一致； 二是選妥和保管好密碼， 三是做好交易記錄， 四是管好數(shù)字證書， 五是對異常動態(tài)提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶和密碼，并遇到類似“系統(tǒng)維護”之類提示時，應立即撥打有關客服熱線進行確認 六是通過正確的程序登錄支付網(wǎng)關，通過正式公布的網(wǎng)站進入，不要通過搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接進入。,7.1 遠離釣魚,針對虛假電子商務信息的情況， 一是虛假購物、拍賣網(wǎng)站看上去都比較“正規(guī)”， 二是交易方式單一，消費者只能通過銀行匯款的方式購買，且收款人均為個人，而非公司，訂貨方法一律采用先付款后發(fā)貨的方式； 三是詐取消費者款項的手法如出一轍，當消費者匯出第一筆款后，騙子會來電以各種理由要求匯款人再匯余款、風險金、押金或稅款之類的費用，否則不會發(fā)貨， 四是在進行網(wǎng)絡交易前，要對交易網(wǎng)站和交易對方的資質(zhì)進行全面了解,7.1 遠離釣魚,其他網(wǎng)絡安全防范措施。 一是安裝防火墻和防病毒軟件，并經(jīng)常升級； 二是注意經(jīng)常給系統(tǒng)打補丁，堵塞軟件漏洞； 三是禁止瀏覽器運行JavaScript和ActiveX代碼； 四是不要上一些不太了解的網(wǎng)站，不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，不要打開msn或者QQ上傳送過來的不明文件等； 五是提高自我保護意識，注意妥善保管自己的私人信息，如本人證件號碼、賬號、密碼等，不向他人透露；盡量避免在網(wǎng)吧等公共場所使用網(wǎng)上電子商務服務,8 間諜軟件,當瀏覽器關閉時(有時候甚至都沒有連接到互聯(lián)網(wǎng))，會出現(xiàn)彈出廣告。當打開瀏覽器時，一個像HotO的網(wǎng)站出現(xiàn)了，而不是我們內(nèi)部網(wǎng)的主頁。 有最新的殺毒軟件，并且沒有發(fā)現(xiàn)病毒。使用查殺間諜軟件的工具“SpyBot Search & Destroy ”進行掃描之后，發(fā)現(xiàn)一些不熟悉的文件，刪除這些文件。但是，這樣并沒有解決這些問題。,8.1 如何防范間諜軟件,Windows補丁一發(fā)布就要立即使用。 企業(yè)防火墻和基于本地軟件的防火墻必須能夠保護每一臺計算機。 IE瀏覽器的設置必須是非常安全的。 每臺計算機至少安裝兩種間諜軟件清除工具，如Spybot - Search & Destroy和Ad-Aware。,8.1 如何防范間諜軟件,應該安裝Javacool軟件公司的SpywareBlaster軟件，以阻止已知的惡意ActiveX控件在每一臺計算機上運行。 每一臺計算機應該安裝一個好的殺毒軟件。 殺毒軟件、SpywareBlaster和間諜軟件清除程序必須不斷更新新的惡意軟件的定義。 創(chuàng)建一個互聯(lián)網(wǎng)安全使用行為規(guī)范的指南。例如，用戶永遠不要點擊彈出式廣告，永遠不要打開來源不明的電子郵件的附件，一定要閱讀要安裝的軟件中的細則。,FTP服務的安全性能,1 IIS中的FTP服務,Windows 2000系統(tǒng)的IIS5.0提供 了FTP服務功能，由于它的簡單易用，與Windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶的喜愛。但使用IIS5.0架設的FTP服務器真的安全嗎？它的默認設置其實存在很多安全隱患，很容易成為黑客們的攻擊目標。,FTP安全性能的一些簡單控制,一 取消匿名訪問功能 二 啟用日志記錄 三 正確設置用戶訪問權限 四 啟用磁盤配額 五 TCP/IP訪問限制 六 合理設置組策略 1. 審核賬戶登錄事件 在本地安全設置窗口中，依次展開“安全設置本地策略審核策略”，然后在右側(cè)的框體中找到“審核賬戶登錄事件”項目 2. 增強賬號密碼的復雜性 賬戶鎖定,創(chuàng)建SSL證書 要想使用Serv-U的SSL功能，當然需要SSL證書的支持才行。雖然Serv-U 在安裝之時就已經(jīng)自動生成了一個SSL證書，但