Web服務(wù)器安全性

1、Web服務(wù)器安全性 Web服務(wù)器的安全性 Web服務(wù)器安全性 1HTTP協(xié)議及Web服務(wù) vHTTP協(xié)議是通用的，無(wú)狀態(tài)的，其系統(tǒng)建設(shè) 與傳輸?shù)臄?shù)據(jù)無(wú)關(guān)。HTTP也是面向?qū)ο蟮膮f(xié) 議，可用于各種任務(wù)，包括名字服務(wù)、分布 式對(duì)象管理、請(qǐng)求方法的擴(kuò)展、命令等。 vWeb帳戶(hù)的快速訪(fǎng)問(wèn)、開(kāi)放及無(wú)狀態(tài)的特性， 使得其控制和保護(hù)變的非常困難。 Web服務(wù)器安全性 2 Web服務(wù)器的創(chuàng)建 v安裝IIS v控制面板添加/刪除程序添加/刪除 Windows組件IIS Web服務(wù)器安全性 2.1 IIS安全安裝 v 要構(gòu)建一個(gè)安全的IIS服務(wù)器，必須從安裝時(shí) 就充分考慮安全問(wèn)題。 1. 不要將IIS安裝在系統(tǒng)分

2、區(qū)上。 2. 修改IIS的安裝默認(rèn)路徑 3. 打上Windows和IIS的最新補(bǔ)丁。 Web服務(wù)器安全性 2.2 IIS的安全配置 v1. 刪除不必要的虛擬目錄 IIS安裝完成后在下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、 IISSamples、MSADC等，這些目錄都沒(méi)有什么實(shí)際的作用，可直接 刪除。 v2. 刪除危險(xiǎn)的IIS組件 默認(rèn)安裝后的有些IIS組件可能會(huì)造成安全威脅，例如 Internet服務(wù)管 理器(HTML)、SMTP Service和NNTP Service、樣本頁(yè)面和腳本， 大家可以根據(jù)自己的需要決定是否刪除。 v3. 為IIS中的文件分類(lèi)設(shè)置權(quán)限 除了在

3、操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器 中為它們?cè)O(shè)置權(quán)限。一個(gè)好的設(shè)置策略是：為Web 站點(diǎn)上不同類(lèi)型 的文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如：靜態(tài)文件文 件夾允許讀、拒絕寫(xiě)，ASP腳本文件夾允許執(zhí)行、拒絕寫(xiě)和讀取， EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫(xiě)。 Web服務(wù)器安全性 2.2 IIS的安全配置 v4. 刪除不必要的應(yīng)用程序映射 ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè) 程序映射，其他的文件在網(wǎng)站上都很少用到。 在 “Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬 性”，在網(wǎng)站目錄屬性對(duì)話(huà)框的“主目錄”頁(yè)面中，點(diǎn) 擊配置按鈕，彈出“應(yīng)用程

4、序配置”對(duì)話(huà)框，在“應(yīng)用 程序映射”頁(yè)面，刪除無(wú)用的程序映射。如果需要這一 類(lèi)文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相 應(yīng)的程序映射，再點(diǎn)擊編輯按鈕，在“添加/編輯應(yīng)用程 序擴(kuò)展名映射”對(duì)話(huà)框中勾選“檢查文件是否存在”選 項(xiàng)。這樣當(dāng)客戶(hù)請(qǐng)求這類(lèi)文件時(shí)，IIS會(huì)先檢查文件是否 存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈 接庫(kù)來(lái)解析。 Web服務(wù)器安全性 2.2 IIS的安全配置 v5. 保護(hù)日志安全 日志是系統(tǒng)安全策略的一個(gè)重要 環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑 默認(rèn)情況下，IIS的日志 存放在%WinDir%System32LogFiles，

5、黑客當(dāng)然非常 清楚，所以最好修改一下其存放路徑。在“Internet服務(wù) 管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目 錄屬性對(duì)話(huà)框的“Web站點(diǎn)”頁(yè)面中，在選中“啟用日 志記錄”的情況下，點(diǎn)擊旁邊的屬性按鈕，在“常規(guī)屬 性”頁(yè)面，點(diǎn)擊瀏覽按鈕或者直接在輸入框中輸入日志 存放路徑即可。 修改日志訪(fǎng)問(wèn)權(quán)限，設(shè)置只有管理員才能訪(fǎng)問(wèn)。 Web服務(wù)器安全性 3 Web服務(wù)器與操作系統(tǒng) v要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要 實(shí)現(xiàn)Windows 2000和IIS的雙重安全，因?yàn)?IIS的用戶(hù)同時(shí)也是Windows 2000的用戶(hù)， 并且IIS目錄的權(quán)限依賴(lài)Windows的NTFS文 件系統(tǒng)的權(quán)限

6、控制，所以保護(hù)IIS安全的第一 步就是確保Windows 2000操作系統(tǒng)的安全 Web服務(wù)器安全性 3 Web服務(wù)器與操作系統(tǒng) v1. 使用NTFS文件系統(tǒng)，以便對(duì)文件和目錄 進(jìn)行管理。 v2. 關(guān)閉默認(rèn)共享 v3. 修改共享權(quán)限 建立新的共享后立即修改Everyone的缺省權(quán)限， 不讓W(xué)eb服務(wù)器訪(fǎng)問(wèn)者得到不必要的權(quán)限。 v4. 為系統(tǒng)管理員賬號(hào)更名，避免非法用戶(hù)攻 擊。 Web服務(wù)器安全性 3 Web服務(wù)器與操作系統(tǒng) v5. 禁用TCP/IP 上的NetBIOS v6. TCP/IP上對(duì)進(jìn)站連接進(jìn)行控制 鼠標(biāo)右擊桌面上網(wǎng)絡(luò)鄰居 屬性 本地連接 屬 性，打開(kāi)“本地連接屬性”對(duì)話(huà)框。選擇In

7、ternet協(xié)議 (TCP/IP)屬性高級(jí)選項(xiàng)，在列表中單擊選中 “TCP/IP篩選”選項(xiàng)。單擊屬性按鈕，選擇“只允許”， 再單擊添加按鈕，只填入80端口。 v7. 修改注冊(cè)表，減小拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。 打開(kāi)注冊(cè)表：將 HKLMSystemCurrentControlSetServicesTcpipPar ameters下的SynAttackProtect的值修改為2，使連接對(duì)超 時(shí)的響應(yīng)更快。 Web服務(wù)器安全性 4 SSL安全機(jī)制 vIIS的身份認(rèn)證除了匿名訪(fǎng)問(wèn)、基本驗(yàn)證和 Windows NT請(qǐng)求/響應(yīng)方式外，還有一種安 全性更高的認(rèn)證：通過(guò)SSL（Security Socket Lay

8、er）安全機(jī)制使用數(shù)字證書(shū)。 Web服務(wù)器安全性 4.1 SSL的概念 v SSL（加密套接字協(xié)議層）位于HTTP層和TCP層 之間，建立用戶(hù)與服務(wù)器之間的加密通信，確保所 傳遞信息的安全性。SSL是工作在公共密鑰和私人 密鑰基礎(chǔ)上的，任何用戶(hù)都可以獲得公共密鑰來(lái)加 密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。 使用SSL安全機(jī)制時(shí)，首先客戶(hù)端與服務(wù)器建立連 接，服務(wù)器把它的數(shù)字證書(shū)與公共密鑰一并發(fā)送給 客戶(hù)端，客戶(hù)端隨機(jī)生成會(huì)話(huà)密鑰，用從服務(wù)器得 到的公共密鑰對(duì)會(huì)話(huà)密鑰進(jìn)行加密，并把會(huì)話(huà)密鑰 在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話(huà)密鑰只有在服務(wù)器 端用私人密鑰才能解密，這樣，客戶(hù)端和服務(wù)器端 就建立了

9、一個(gè)惟一的安全通道。 Web服務(wù)器安全性 4.2 SSL建立的步驟 v啟動(dòng)ISM并打開(kāi)Web站點(diǎn)的屬性頁(yè)； v選擇“目錄安全性”選項(xiàng)卡； v單擊“密鑰管理器”按鈕； v通過(guò)密鑰管理器生成密鑰對(duì)文件和請(qǐng)求文件； v從身份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書(shū)； v通過(guò)密鑰管理器在服務(wù)器上安裝證書(shū)； v激活Web站點(diǎn)的SSL安全性。 Web服務(wù)器安全性 4.3 SSL的安全性能評(píng)價(jià) v 建立了SSL安全機(jī)制后，只有SSL允許的客 戶(hù)才能與SSL允許的Web站點(diǎn)進(jìn)行通信，并 且在使用URL資源定位器時(shí)，輸入https:/ ， 而不是http:/ 。SSL安全機(jī)制的實(shí)現(xiàn)，將增 大系統(tǒng)開(kāi)銷(xiāo)，增加了服務(wù)器CPU的額外負(fù)擔(dān)

10、， 從而降低了系統(tǒng)性能，在規(guī)劃時(shí)建議僅考慮 為高敏感度的Web目錄使用。另外，SSL客 戶(hù)端需要使用IE 3.0及以上版本才能使用。 Web服務(wù)器安全性 5 使用IIS Lockdown v 一、注意事項(xiàng) IIS Lockdown會(huì)改變IIS的運(yùn)行方式，因此很可能 與依賴(lài)IIS某些功能的應(yīng)用沖突。另外，在正式應(yīng) 用IIS Lockdown或URLScan之前，務(wù)必搜索微 軟的知識(shí)庫(kù)，收集可能出現(xiàn)問(wèn)題的最新資料。掌 握這些資料并了解其建議之后，再在測(cè)試服務(wù)器 上安裝IISLockdown，全面測(cè)試Web應(yīng)用需要的 IIS功能是否受到影響。最后，做一次全面的系統(tǒng) 備份，以便在系統(tǒng)功能受到嚴(yán)重影響時(shí)

11、迅速恢復(fù)。 Web服務(wù)器安全性 5.2 安裝 v將iislockd.exe下載到一個(gè)臨時(shí)目錄。 v打開(kāi)控制臺(tái)窗口，進(jìn)入臨時(shí)目錄，執(zhí)行命令 “iislockd.exe /q /c /t:c:IISLockdown”解開(kāi)壓 縮，/q要求以“安靜”模式操作，/c要求IIS Lockdown只執(zhí)行提取文件的操作，和-t選項(xiàng) 一起使用，-t選項(xiàng)指定了要把文件解壓縮到哪 一個(gè)目錄 Web服務(wù)器安全性 6 Web客戶(hù)安全 vIE插件安全 vJava與JavaScript安全 vCookies安全 vActiveX安全 Web服務(wù)器安全性 7 網(wǎng)絡(luò)釣魚(yú) v發(fā)送電子郵件，以虛假信息引誘用戶(hù)中圈套。 v二是建立假

12、冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶(hù) 賬號(hào)密碼實(shí)施盜竊。 v利用虛假的電子商務(wù)進(jìn)行詐騙。 v利用木馬和黑客技術(shù)等手段竊取用戶(hù)信息后實(shí)施盜 竊活動(dòng)。 v跨站釣魚(yú) vWindows特性惹的禍：危險(xiǎn)的HOSTS文件 v系統(tǒng)升級(jí)補(bǔ)?。候_子的魚(yú)餌 Web服務(wù)器安全性 7.1 遠(yuǎn)離釣魚(yú) v一、針對(duì)電子郵件欺詐， 一是偽造發(fā)件人信息，如； 二是問(wèn)候語(yǔ)或開(kāi)場(chǎng)白往往模仿被假冒單位的口吻和語(yǔ)氣， 如“親愛(ài)的用戶(hù)”； 三是郵件內(nèi)容多為傳遞緊迫的信息，如以賬戶(hù)狀態(tài)將影 響到正常使用或宣稱(chēng)正在通過(guò)網(wǎng)站更新賬號(hào)資料信息等； 四是索取個(gè)人信息，要求用戶(hù)提供密碼、賬號(hào)等信息。 還有一類(lèi)郵件是以超低價(jià)或海關(guān)查沒(méi)品等為誘餌誘騙消

13、費(fèi)者。 Web服務(wù)器安全性 7.1 遠(yuǎn)離釣魚(yú) v二、針對(duì)假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站的情況 一是核對(duì)網(wǎng)址，看是否與真正網(wǎng)址一致； 二是選妥和保管好密碼， 三是做好交易記錄， 四是管好數(shù)字證書(shū)， 五是對(duì)異常動(dòng)態(tài)提高警惕，如不小心在陌生的網(wǎng)址上輸 入了賬戶(hù)和密碼，并遇到類(lèi)似“系統(tǒng)維護(hù)”之類(lèi)提示時(shí)， 應(yīng)立即撥打有關(guān)客服熱線(xiàn)進(jìn)行確認(rèn) 六是通過(guò)正確的程序登錄支付網(wǎng)關(guān)，通過(guò)正式公布的網(wǎng) 站進(jìn)入，不要通過(guò)搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站 的鏈接進(jìn)入。 Web服務(wù)器安全性 7.1 遠(yuǎn)離釣魚(yú) v針對(duì)虛假電子商務(wù)信息的情況， 一是虛假購(gòu)物、拍賣(mài)網(wǎng)站看上去都比較“正規(guī)”， 二是交易方式單一，消費(fèi)者只能通過(guò)銀行匯款的方

14、式購(gòu) 買(mǎi)，且收款人均為個(gè)人，而非公司，訂貨方法一律采用 先付款后發(fā)貨的方式； 三是詐取消費(fèi)者款項(xiàng)的手法如出一轍，當(dāng)消費(fèi)者匯出第 一筆款后，騙子會(huì)來(lái)電以各種理由要求匯款人再匯余款、 風(fēng)險(xiǎn)金、押金或稅款之類(lèi)的費(fèi)用，否則不會(huì)發(fā)貨， 四是在進(jìn)行網(wǎng)絡(luò)交易前，要對(duì)交易網(wǎng)站和交易對(duì)方的資 質(zhì)進(jìn)行全面了解 Web服務(wù)器安全性 7.1 遠(yuǎn)離釣魚(yú) v其他網(wǎng)絡(luò)安全防范措施。 一是安裝防火墻和防病毒軟件，并經(jīng)常升級(jí)； 二是注意經(jīng)常給系統(tǒng)打補(bǔ)丁，堵塞軟件漏洞； 三是禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼； 四是不要上一些不太了解的網(wǎng)站，不要執(zhí)行從網(wǎng)上下載 后未經(jīng)殺毒處理的軟件，不要打開(kāi)msn或者QQ上傳

15、送過(guò) 來(lái)的不明文件等； 五是提高自我保護(hù)意識(shí)，注意妥善保管自己的私人信息， 如本人證件號(hào)碼、賬號(hào)、密碼等，不向他人透露；盡量 避免在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)上電子商務(wù)服務(wù) Web服務(wù)器安全性 8 間諜軟件 v當(dāng)瀏覽器關(guān)閉時(shí)(有時(shí)候甚至都沒(méi)有連接到互 聯(lián)網(wǎng))，會(huì)出現(xiàn)彈出廣告。當(dāng)打開(kāi)瀏覽器時(shí)， 一個(gè)像HotO的網(wǎng)站出現(xiàn)了，而不是 我們內(nèi)部網(wǎng)的主頁(yè)。 v有最新的殺毒軟件，并且沒(méi)有發(fā)現(xiàn)病毒。使 用查殺間諜軟件的工具“SpyBot Search & Destroy ”進(jìn)行掃描之后，發(fā)現(xiàn)一些不熟悉的 文件，刪除這些文件。但是，這樣并沒(méi)有解 決這些問(wèn)題。 Web服務(wù)器安全性 8.1 如何防范間諜軟件 vWind

16、ows補(bǔ)丁一發(fā)布就要立即使用。 v企業(yè)防火墻和基于本地軟件的防火墻必須能夠保護(hù)每一臺(tái) 計(jì)算機(jī)。 vIE瀏覽器的設(shè)置必須是非常安全的。 v每臺(tái)計(jì)算機(jī)至少安裝兩種間諜軟件清除工具，如Spybot - Search & Destroy和Ad-Aware。 Web服務(wù)器安全性 8.1 如何防范間諜軟件 v應(yīng)該安裝Javacool軟件公司的SpywareBlaster軟件，以阻止 已知的惡意ActiveX控件在每一臺(tái)計(jì)算機(jī)上運(yùn)行。 v 每一臺(tái)計(jì)算機(jī)應(yīng)該安裝一個(gè)好的殺毒軟件。 v殺毒軟件、SpywareBlaster和間諜軟件清除程序必須不斷更 新新的惡意軟件的定義。 v創(chuàng)建一個(gè)互聯(lián)網(wǎng)安全使用行為規(guī)范的指

17、南。例如，用戶(hù)永遠(yuǎn) 不要點(diǎn)擊彈出式廣告，永遠(yuǎn)不要打開(kāi)來(lái)源不明的電子郵件的 附件，一定要閱讀要安裝的軟件中的細(xì)則。 Web服務(wù)器安全性 FTP服務(wù)的安全性能 Web服務(wù)器安全性 1 IIS中的FTP服務(wù) v Windows 2000系統(tǒng)的IIS5.0提供 了FTP服務(wù) 功能，由于它的簡(jiǎn)單易用，與Windows系統(tǒng) 本身結(jié)合緊密，深受廣大用戶(hù)的喜愛(ài)。但使 用IIS5.0架設(shè)的FTP服務(wù)器真的安全嗎？它的 默認(rèn)設(shè)置其實(shí)存在很多安全隱患，很容易成 為黑客們的攻擊目標(biāo)。 Web服務(wù)器安全性 FTP安全性能的一些簡(jiǎn)單控制 v一 取消匿名訪(fǎng)問(wèn)功能 v二 啟用日志記錄 v三 正確設(shè)置用戶(hù)訪(fǎng)問(wèn)權(quán)限 v 四 啟用磁盤(pán)配額 v五 TCP/IP訪(fǎng)問(wèn)限制 v六 合理設(shè)置組策略 1. 審核賬戶(hù)登錄事件 v在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置本地策略審核策略”， 然后在右側(cè)的框體中找到“審核賬戶(hù)登錄事件”項(xiàng)目 2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性 賬戶(hù)鎖定 Web服務(wù)器安全性 Web服務(wù)器安全性 v創(chuàng)建SSL證書(shū)