網(wǎng)絡操作系統(tǒng)項目教程-項目6 Web服務器的安全管理

1、-1-項目名稱：項目名稱： Web服務器的安全管理服務器的安全管理-2-教學目標教學目標n 理解Web服務器的安全措施n 掌握Web服務器的安全設置方法n 掌握身份驗證的設置方法n 掌握訪問控制的設置方法n 掌握證書驗證的設置方法-3-IIS安全措施安全措施 在在WebWeb服務器上采取恰當?shù)陌踩雷o措施，可以減服務器上采取恰當?shù)陌踩雷o措施，可以減少和消除各種意外事件的發(fā)生。少和消除各種意外事件的發(fā)生。 Internet Internet 服務管理器所提供之安全功能可以和服務管理器所提供之安全功能可以和WindowsWindows完全整合在一起。完全整合在一起。IISIIS目前共支持五種驗證

2、目前共支持五種驗證方式，用以確認請求訪問方式，用以確認請求訪問WebWeb站點的用戶身份。站點的用戶身份。-4-身份驗證方式身份驗證方式l匿名驗證：任何用戶皆可讀寫，無須查證用戶姓名或密匿名驗證：任何用戶皆可讀寫，無須查證用戶姓名或密碼。碼。l基本驗證：用戶須提供用戶名及密碼，該資料僅僅編碼基本驗證：用戶須提供用戶名及密碼，該資料僅僅編碼而不加密而不加密通過網(wǎng)絡傳送。通過網(wǎng)絡傳送。l摘要式驗證：這是摘要式驗證：這是IIS5.0的添加功能，用戶密碼通過哈的添加功能，用戶密碼通過哈希算法生成數(shù)字摘要，以離散值傳送給服務器進行驗證。希算法生成數(shù)字摘要，以離散值傳送給服務器進行驗證。只有在域控制器中才

3、能使用只有在域控制器中才能使用“摘要式驗證摘要式驗證”。l集成的集成的Windows驗證：利用離散技術來驗證用戶，且驗證：利用離散技術來驗證用戶，且不直接將密碼傳送到網(wǎng)絡上。不直接將密碼傳送到網(wǎng)絡上。l證書：一種數(shù)字文件，用來建立安全套接層證書：一種數(shù)字文件，用來建立安全套接層SSL連接，連接，且也可作為驗證使用。且也可作為驗證使用。-5-匿名驗證身份驗證匿名驗證身份驗證IISIIS使用使用“IUSR_IUSR_計算機名稱計算機名稱”帳戶訪問帳戶訪問WebWeb的過程如下：的過程如下：(1)(1)當收到請求時，當收到請求時，IISIIS在執(zhí)行任何程序碼或訪問之前，會先模擬在執(zhí)行任何程序碼或訪問

4、之前，會先模擬“IUSR_IUSR_計算機名稱計算機名稱”帳戶。帳戶。 (2)(2)傳回網(wǎng)頁給用戶端之前，傳回網(wǎng)頁給用戶端之前，IISIIS檢查檢查NTFSNTFS文件和目錄的權限，看是否允許文件和目錄的權限，看是否允許“IUSR_ IUSR_ 計算機名稱帳戶計算機名稱帳戶”訪問這個文件。訪問這個文件。(3)(3)若允許訪問，則驗證完成，且用戶可使用資源。若允許訪問，則驗證完成，且用戶可使用資源。 (4)(4)若不允許訪問，則若不允許訪問，則IISIIS會嘗試使用其他的驗證方法。如果沒有選擇使用會嘗試使用其他的驗證方法。如果沒有選擇使用任何其他驗證方法，任何其他驗證方法，IISIIS會傳回一個

5、會傳回一個“HTTP 403HTTP 403拒絕訪問拒絕訪問”的錯誤信息的錯誤信息給瀏覽器。給瀏覽器。 (5)(5)若啟用若啟用“匿名匿名”驗證的同時啟用了其他的授權方法，驗證的同時啟用了其他的授權方法，IISIIS會先使用會先使用“匿匿名名”驗證。驗證。-6-基本身份驗證基本身份驗證基本驗證工作過程：基本驗證工作過程：（1 1）用戶的）用戶的WebWeb瀏覽器會顯示出一個對話框，用戶可在其瀏覽器會顯示出一個對話框，用戶可在其中輸入他們先前被指定之中輸入他們先前被指定之Windows 2000Windows 2000帳戶的用戶名稱帳戶的用戶名稱和密碼。和密碼。（2 2）然后）然后WebWeb瀏

6、覽器會使用這項信息來嘗試建立連接。瀏覽器會使用這項信息來嘗試建立連接。（3 3）如果）如果WebWeb服務器拒絕這項信息，服務器拒絕這項信息，WebWeb瀏覽器會重覆地瀏覽器會重覆地顯示該對話框，直到用戶輸入有效的用戶名稱和密碼或顯示該對話框，直到用戶輸入有效的用戶名稱和密碼或關閉對話框為止。關閉對話框為止。 （4 4）當）當WebWeb服務器確認用戶的名稱和密碼對應到有效的服務器確認用戶的名稱和密碼對應到有效的WindowsWindows用戶帳戶之后，就會建立連接。用戶帳戶之后，就會建立連接。-7-集成的集成的Windows身份驗證身份驗證 集成的集成的WindowsWindows驗證是一種

7、安全的驗證形式，當啟用集驗證是一種安全的驗證形式，當啟用集成的成的WindowsWindows驗證時，用戶的瀏覽器會通過一種加密機制驗證時，用戶的瀏覽器會通過一種加密機制來驗證計算機的來驗證計算機的WindowsWindows帳戶密碼。用戶的瀏覽器會通過帳戶密碼。用戶的瀏覽器會通過一種加密機制一種加密機制( (kerberoskerberos ) )來驗證計算機的來驗證計算機的WindowsWindows帳戶密碼。帳戶密碼。-8-Kerberros加密機制簡述加密機制簡述 如何進行認證？我們采用這樣的方法：如果一個秘如何進行認證？我們采用這樣的方法：如果一個秘密（密（secretsecret）

8、僅僅存在于）僅僅存在于A A和和B B，那么有個人對，那么有個人對B B聲稱自聲稱自己就是己就是 A A，B B通過讓通過讓A A提供這個秘密來證明這個人就提供這個秘密來證明這個人就是他或她所聲稱的是他或她所聲稱的A A。這個過程實際上涉及到。這個過程實際上涉及到3 3個重個重要的關于認證的方面：要的關于認證的方面：l SecretSecret如何表示如何表示l A A如何向如何向B B提供提供SecretSecretl B B如何識別如何識別SecretSecret-9- 整個過程涉及到整個過程涉及到ClientClient和和ServerServer，他們之間的這個，他們之間的這個Secr

9、etSecret我們用一個我們用一個 KeyKey來表示。來表示。ClientClient為了讓為了讓ServerServer對對自己進行有效的認證，向?qū)Ψ教峁┤缦聝山M信息：自己進行有效的認證，向?qū)Ψ教峁┤缦聝山M信息：(1)(1)代表代表ClientClient自身自身IdentityIdentity的信息，為了簡便，它以的信息，為了簡便，它以明明文文的形式傳遞。的形式傳遞。(2)(2)將將ClientClient的的IdentityIdentity使用使用KeyKey作為作為Public KeyPublic Key、并采用對、并采用對稱加密算法進行加密。稱加密算法進行加密。Kerberros

10、加密機制簡述加密機制簡述-10- 由于由于KeyKey僅僅被僅僅被ClientClient和和ServerServer知曉，所以被知曉，所以被 ClientClient使用使用KeyKey加密過的加密過的Client IdentityClient Identity只能被只能被ClientClient和和ServerServer解密。同理，解密。同理，ServerServer接收到接收到ClientClient傳送的這兩組信息，先通過傳送的這兩組信息，先通過KeyKey對后者對后者進行解密，隨后將機密的數(shù)據(jù)同前者進行比較，如果完進行解密，隨后將機密的數(shù)據(jù)同前者進行比較，如果完全一樣，則可以證明全

11、一樣，則可以證明ClientClient能過提供正確的能過提供正確的KeyKey，而這個，而這個世界上，僅僅只有真正的世界上，僅僅只有真正的ClientClient和自己知道和自己知道KeyKey，所以可，所以可以對方就是他所聲稱的那個人。以對方就是他所聲稱的那個人。Kerberros加密機制簡述加密機制簡述-11-訪問控制流程訪問控制流程-12-安全性總結安全性總結 當客戶機訪問網(wǎng)站時，服務器驗證步驟當客戶機訪問網(wǎng)站時，服務器驗證步驟l客戶機客戶機IP地址是否授權地址是否授權l(xiāng)用戶帳戶和密碼是否正確用戶帳戶和密碼是否正確l主目錄是否設置了主目錄是否設置了“讀取讀取”權限權限l網(wǎng)站文件的網(wǎng)站文

12、件的NTFS權限權限 只有以上檢查都通過，才可以訪問網(wǎng)站內(nèi)容只有以上檢查都通過，才可以訪問網(wǎng)站內(nèi)容 -13-IIS證書驗證證書驗證1 1為什么要使用證書驗證？為什么要使用證書驗證？ （1 1）信息泄漏）信息泄漏 （2 2）篡改）篡改 （3 3）偽造）偽造 （4 4）信用威脅）信用威脅2 2公鑰基礎架構公鑰基礎架構 Public Key InfrastructurePublic Key Infrastructure，公鑰基礎結構。，公鑰基礎結構。PKIPKI由公鑰加密由公鑰加密技術、數(shù)字證書、證書頒發(fā)機構（技術、數(shù)字證書、證書頒發(fā)機構（CACA），注冊機構），注冊機構（RARA）等共同組成。）等

13、共同組成。PKIPKI體系能夠?qū)崿F(xiàn)的功能有體系能夠?qū)崿F(xiàn)的功能有 l身份認證身份認證l數(shù)據(jù)完整性數(shù)據(jù)完整性l數(shù)據(jù)機密性數(shù)據(jù)機密性l操作的不可否認性操作的不可否認性-14-公鑰加密技術公鑰加密技術 公鑰（公鑰（Public KeyPublic Key）和私鑰（）和私鑰（Private KeyPrivate Key） l密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密密鑰可以互相加密和解密l不能根據(jù)一個密鑰來推算得出另一個密鑰不能根據(jù)一個密鑰來推算得出另一個密鑰l公鑰對外公開；私鑰只有私鑰的持有人才知道公鑰對外公開；私鑰只有私鑰的持有人才知道

14、l私鑰應該由密鑰的持有人妥善保管私鑰應該由密鑰的持有人妥善保管 -15-數(shù)據(jù)加密數(shù)據(jù)加密 發(fā)送方使用接收方的公鑰加密數(shù)據(jù)發(fā)送方使用接收方的公鑰加密數(shù)據(jù)當接收方使用自己的私鑰解密這些數(shù)據(jù)當接收方使用自己的私鑰解密這些數(shù)據(jù)數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機密性 -16-數(shù)字簽名數(shù)字簽名 發(fā)送方使用自己的私鑰加密發(fā)送方使用自己的私鑰加密接收方使用發(fā)送方的公鑰解密接收方使用發(fā)送方的公鑰解密 身份驗證、數(shù)據(jù)的完整性 、操作的不可否認性 -17-證書通信的配置過程證書通信的配置過程 (1) (1) 在服務器上安裝證書頒發(fā)機構在服務器上安裝證書頒發(fā)機構CACA(2) Web(2) Web服務器服務器SWebSWeb上向上向CACA提交證書申請?zhí)峤蛔C書申請(3) CA(3) CA頒發(fā)證書頒發(fā)證書(4) (4) 在在SWebSWeb上安裝數(shù)字證書，配站安全通信上安裝數(shù)字證書，配站安全通信(5) (5) 在客戶機上在客戶機上C1C1上的瀏覽器信任認證中心上的瀏覽器信任認證中心CACA-18-配置配置Web安全訪問網(wǎng)站