版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
局域網組建、管理與維護楊威山西師范大學網絡信息中心電子工業(yè)出版社新編計算機類本科規(guī)劃教材(第2版)第5章Web網站安全設置與管理
1山西師范大學網絡信息中心問題思考回顧使用Internet的經歷,思考Web網站安全弱點有哪些?
聯想Internet安全,思考如何保護Web網站安全?學習目標(1)理解Web系統安全弱點及產生原因,理解操作系統服務包和安全補丁的作用。掌握WindowsServer2008的系統帳號安全設置、文件系統安全,以及安全模板創(chuàng)建與使用。會使用安全配置與分析與安全配置向導,加固操作系統的安全。(2)理解IIS的安全機制。掌握WindowsServer2008的IP地址限制、用戶身份驗證、授權規(guī)則、SSL證書驗證、文件的NTFS權限設置的方法。了解IIS日志記錄內容,學會IIS日志審核方法。(3)理解WindowsServer2008高級安全防火墻作用,會使用高級安全防火墻保護服務器的安全。理解使用路由器、防火墻協同保護內網及服務器安全的方法,掌握使用路由器的ACL建立防火墻,保護內網及服務器安全的配置方法。第5章Web網站安全設置與管理
重點知識:Web系統安全弱點及產生原因WindowsServer2008的系統帳號安全設置、文件系統安全,以及安全模板創(chuàng)建與使用WindowsServer2008的IP地址限制、用戶身份驗證、授權規(guī)則、SSL證書驗證、文件的NTFS權限設置的方法WindowsServer2008高級安全防火墻保護服務器的安全使用路由器、防火墻協同保護內網及服務器安全的方法,使用路由器ACL建立防火墻,保護內網及服務器安全的配置方法難點知識:使用路由器、防火墻協同保護內網及服務器安全的方法,使用路由器的ACL建立防火墻,保護內網及服務器安全的配置方法第5章Web網站安全設置與管理
Web系統安全弱點加固操作系統的安全設置Web服務器的安全高級安全Windows防火墻保護網絡邊界安全設置邊界路由器的ACL第5章Web網站安全設置與管理
5.1Web系統的安全弱點
操作系統和應用程序的默認安裝使用弱口令或空口令的賬號
無備份或者備份不完整
大量打開的端口
沒有用于更正輸入和輸出地址的報文篩選無日志或者日志不完善
易受攻擊的CGI程序
惡意代碼網站掛馬從“掛馬”這個詞中可以知道,這和木馬脫離不了關系。掛馬就是黑客入侵了一些網站后,將自己編寫的網頁木馬嵌入被黑網站的主頁中,利用被黑網站的流量將自己的網頁木馬傳播開去,以達到自己不可告人的目的。掛馬使用的木馬大致可以分為兩類。一類是以遠程控制為目的的木馬,黑客使用這種木馬進行掛馬攻擊,其目的是對某些網站實施拒絕服務攻擊或達到其他目的。另一類是鍵盤記錄木馬,通常稱其為盜號木馬,這類木馬用于盜取用戶的游戲賬號或者銀行賬號。源碼類目標碼類一對一攻擊兌變式攻擊非法權限類蠕蟲類(侵占資源)傳染類操作系統類文件類攻擊手段一對一攻擊兌變式攻擊蠕蟲類(侵占資源)源碼類操作系統類文件類傳染類目標碼類系統欺騙拒絕服務入侵特洛伊木馬竊取非法權限類系統欺騙特洛伊木馬拒絕服務入侵竊取安全攻擊基本手段非法權限類特洛伊木馬系統欺騙拒絕服務入侵竊取
一種未經授權的程序,或在合法程序中有一段未經授權的程序代碼,或在合法程序中包含有一段用戶不了解的程序功能。上述程序對用戶來說具有惡意的行為。PKZIP300特洛伊木馬非法權限類信息竊取類邏輯炸彈類陷阱入口類功能欺騙類信息竊取類
攻擊系統權限對任意用戶進行FINGER請求對一般用戶正常響應,保持原功能wldfingerD對FANG用戶進行FINGER請求識別是用戶FANG,將之賦予ROOT權限wldfingerD擁有ROOT權限信息竊取類—攻擊系統權限-1LOGOUT前釋放權限wldfingerDLOGOUTLOGOUTLOGOUTFANG在退出前注銷ROOT權限,以免被系統人員查出取消ROOT權限信息竊取類—攻擊系統權限-2攻擊口令信息竊取類偽造登錄現場LOGIN特洛伊木馬指示輸入錯誤,重輸入捕獲口令退出LOGIN特洛伊木馬信息竊取類——攻擊口令-1真實登錄現場PaleRider密碼被竊取采用TSR技術也可達到同樣的目的輸入正確進入系統信息竊取類——攻擊口令-2偽造ATM是典型的欺騙類特洛伊木馬案件。信息竊取類——攻擊口令-3邏輯炸彈
邏輯炸彈是程序中的一部分,滿足一定條件時激活某種特定的程序,并產生系統自毀,并附帶破壞。邏輯炸彈-1潛伏代碼滿足條件否?監(jiān)視滿足而爆炸滿足而爆炸危害程序陷阱正常正常正常正常正常陷阱入口正常路徑限制路徑5.2加固操作系統的安全
操作系統是Web服務器的基礎,雖然操作系統本身在不斷完善,對攻擊的抵抗能力日益提高,但是要提供完整的系統安全保證,仍然有許多安全配置和管理工作要做。
5.2加固操作系統的安全系統服務包和安全補丁系統賬戶安全配置文件系統安全設置安全模板創(chuàng)建與使用使用安全配置和分析使用安全配置向導5.2.1系統服務包和安全補丁微軟提供的安全補丁有兩類:服務包(ServicePack)和熱補?。℉otfixes)。服務包已經通過回歸測試,能夠保證安全安裝。每一個Windows的服務包都包含著在此之前所有的安全補丁。微軟公司建議用戶及時安裝服務包的最新版。安裝服務包時,應仔細閱讀其自帶的Readme文件并查找已經發(fā)現的問題,最好先安裝一個測試系統,進行試驗性安裝。安全熱補丁的發(fā)布更及時,只是沒有經過回歸測試。
在安裝之前,應仔細評價每一個補丁,以確定是否應立即安裝還是等待更完整的測試之后再使用。在Web服務器上正式使用熱補丁之前,最好在測試系統上對其進行測試。
使用360安全衛(wèi)士修復漏洞5.2.2系統賬戶安全配置
禁止或刪除不必要的賬戶(如Guest)設置增強的密碼策略·密碼長度至少9個字符。·設置一個與系統或網絡相適應的最短密碼存留期(典型的為1~7天)。·設置一個與系統或網絡相適應的最長密碼存留期(典型的不超過42天)?!ぴO置密碼歷史至少6個。這樣可強制系統記錄最近使用過的幾個密碼。設置賬戶鎖定策略
(1)復位賬戶鎖定計數器。用來設置連續(xù)嘗試的時限。(2)賬戶鎖定時間。用于定義賬戶被鎖定之后,保持鎖定狀態(tài)的時間。(3)賬戶鎖定閾閥值。用于設置允許用戶連續(xù)嘗試登錄的次數。
加強管理員賬戶的安全性(1)將Administrator重命名,改為一個不易猜測的名字。(2)為Administrator賬戶設置一個復雜密碼,由多種字符類型(字母、數字和標點符號等)構成,密碼長度不能少于9個字符。(3)建立一個偽賬戶,其名字雖然是Administrator,但是沒有任何權限。定期審查事件日志,查找對該賬戶的攻擊企圖。(4)使用Passprop.exe工具設置管理員賬戶的鎖定閥值。(5)除管理員賬戶外,有必要再增加一個屬于管理員組(Administrators)的賬戶,作為備用賬戶??墒褂帽镜匕踩呗裕ɑ蛴虬踩呗裕┕芾砥鱽碓O置用戶權限指派,檢查、授予或刪除用戶賬戶特權、組成員以及組特權。Web服務器的用戶賬戶盡可能少
嚴格控制賬戶特權
4.2.3文件系統安全設置確保使用NTFS文件系統
安裝Windows2000服務器時,最好將硬盤的所有分區(qū)設置為NTFS分區(qū),而不要先使用FAT分區(qū),再轉換為NTFS分區(qū)。Web服務器軟件應該安裝在NTFS分區(qū)上。設置NTFS權限保護文件和目錄
要使用NTFS權限來保護目錄或文件,必須具備兩個條件。①要設置權限的目錄或文件必須位于NTFS分區(qū)中。②對于要授予權限的用戶或用戶組,應設立有效的Windows賬戶。
禁用NTFS的8.3文件名生成
禁用某項系統服務操作:在“計算機管理”控制臺中打開“服務”項目,停止某項系統服務,并更改啟動類型,最好設置為“已禁用”。刪除某組件操作:
要徹底清除某些服務,可通過刪除Windows組件的方式來實現。從控制面板中選擇“添加/刪除程序”→“添加/刪除Windows組件”,啟動Windows組件向導來刪除某些組件禁止或刪除不必要的網絡協議
Web服務器系統只保留TCP/IP協議,刪除NetBEUI、IPX/SPX協議。卸載“Microsoft網絡的文件和打印機共享”。從“網絡和撥號連接”文件夾中打開任一連接的屬性設置對話框,鼠標單擊“卸載”按鈕刪除該組件。
卸載“文件和打印機共享”禁用TCP/IP上的NetBIOS盡可能減少不必要的應用程序如果不是絕對需要,就應該避免在服務器上安裝應用程序。例如,不要安裝E-mail客戶端、Office產品及工具;或者對于服務器正常運行并不必需的工具。如果已經計劃用服務器提供Web服務,那么不必為服務器添加外部應用程序。然而,當配置Web服務器以及開發(fā)Web站點時,為了實現其功能,可能會為其添加必要的工具。
刪除不必要的OS/2和POSIX子系統OS/2和POSIX子系統分別支持為OS/2和POSIX開發(fā)的應用程序。在安裝Windows2000的同時這些子系統也會被安裝,應刪除這些子系統。操作系統的任何部分都存在弱點,可能被攻擊,刪除這些額外的部分可以堵住可能出現的漏洞。
5.2.4安全模板創(chuàng)建與使用WindowsServer2008的安全模板是一種用文件形式定義安全策略的方法。安全模板能夠配置賬戶策略、本地策略、事件日志、受限制的組、文件系統、注冊表和系統服務等項目的安全設置。安全模板采用.inf格式的文件,將操作系統安全屬性集合成文檔。管理員可以方便地復制、粘貼、導入和導出安全模板,以及快速批量修改安全選項。1.添加安全配置管理單元單擊“開始”→“運行”→“打開”→“MMC”,進入操作系統管理控制臺(MMC),如圖5.5所示。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”,打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置”項,單擊“添加”按鈕,將“安全配置”添加到“所選管理單元”列表中,接著單擊“確定”按鈕。返回控制臺界面,可看到在MMC中已經添加了“安全配置”管理單元。2.創(chuàng)建與保存安全模板在MMC中展開“安全模板”項,右鍵單擊準備創(chuàng)建安全模板的路徑“C:\Users\Administrator\Documents\Security\Templantes”,在彈出菜單中選擇“新添模板”命令,打開創(chuàng)建模板對話框,在對話框內輸入模板名稱(如anquan_1)和描述,單擊“確定”按鈕,完成安全模板的創(chuàng)建,如圖5.6所示。5.2.5使用安全配置和分析“安全配置和分析”是配置與分析本地計算機系統安全性的一個工具。該工具可以將“安全模板”應用效果與本地計算機定義的安全設置進行比較。該工具允許管理員進行快速安全分析。在安全分析過程中,在其視窗中顯示當前配置與建議,包括不安全區(qū)域。也可以使用該工具配置本地計算機系統的安全。1.添加安全配置和分析管理單元單擊“開始”→“運行”→“打開”→“MMC”,進入操作系統管理控制臺(MMC)。單擊MMC菜單欄中的“文件”→“添加/刪除管理單元”,打開“添加/刪除管理單元”對話框。選擇“可用的管理單元”列表中的“安全配置和分析”項,單擊“添加”按鈕,將“安全配置”添加到“所選管理單元”列表中,接著單擊“確定”按鈕。2.安全分析與配置計算機(1)打開數據庫,導入安全模板。在MMC中,右鍵單擊“安全配置與分析”項,在彈出菜單中選擇“打開數據庫”命令,出現“打開數據庫”對話框。在默認路徑“C:\Users\Administrator\Documents\Security\Database”下創(chuàng)建數據庫“aqsjk_1”。單擊“打開”按鈕,出現“導入模板”對話框。再次選擇安全模板文件“anquan_1”,單擊“打開”按鈕,導入模板,如圖5.8所示。計算機系統安全分析結果(2)安全分析,查看結果。在MMC中,右鍵單擊“安全配置和分析”項,在彈出菜單中選擇“立即分析計算機”命令。打開“進行分析”對話框,指定錯誤文件保存位置。單擊“確定”按鈕,開始分析計算機系統的安全配置。分析內容包括用戶權限配置、受限的組、注冊表、文件系統、系統服務及安全策略等。(3)配置計算機右鍵單擊“安全配置和分析”項,在彈出菜單中選擇“立即配置計算機”命令。打開“配置系統”對話框,指定錯誤日志文件保存位置。單擊“確定”按鈕,開始配置計算機系統的安全。該配置內容包括用戶權限配置、受限制的組、文件系統、系統服務及安全策略等。5.2.6使用安全配置向導1.使用安全配置向導應注意的問題使用SCW可禁用不需要的服務,支持高安全性的Windows防火墻。SCW創(chuàng)建的安全策略與安全模板不同,SCW不會安裝或卸載服務器執(zhí)行角色需要的組件。運行SCW時,所有使用IP協議和端口的應用程序必須在服務器上運行。使用安全配置向導(SCW)創(chuàng)建、編輯、應用安全策略后,如果安全策略無法正常工作,可以回滾上一次應用的安全策略。2.啟動安全配置向導(1)配置操作。單擊“開始”→“管理工具”→“安全配置向導”,出現“歡迎使用安全配置向導”頁面,單擊“下一步”按鈕,進入“配置操作”頁面。在該頁面中選擇“新建安全策略”單選鈕,在計算機上創(chuàng)建新的安全策略,如圖5.10所示。(2)選擇服務器單擊“下一步”按鈕,出現“選擇服務器”頁面,在其中指定一臺服務器作為安全策略的基準。在“服務器”文本框中輸入服務器主機名,如圖5.11所示。(3)處理安全配置數據庫單擊“下一步”按鈕,開始處理安全配置數據庫。對服務器進行掃描,確定服務器上已經安裝的角色、服務器正在執(zhí)行的角色,以及服務器配置的IP地址和子網掩碼等內容。如圖5.12所示。(4)查看安全配置數據庫處理安全配置數據庫完成后,單擊“查看配置數據庫”按鈕,打開SCW查看器,查看安全配置數據庫,可以查看服務器角色、客戶端功能、管理和其他選項、服務及Windows防火墻設置信息等內容,如圖5.13所示。3.基于角色的服務配置基于角色的服務配置功能項,可以依據所選服務器的角色和功能配置服務器。配置內容包括服務器角色、客戶端功能、管理選項和其他選項、其他服務器,以及處理未指定的服務器及確認服務更改等。(1)服務器角色關閉SCW查看器,單擊“下一步”按鈕,進入“基于角色的服務器配置”頁面。接著單擊“下一步”按鈕,進入“選擇服務器角色”頁面,如圖5.14所示(2)客戶端功能進入“選擇客戶端功能”頁面,如圖5.15所示。該服務器可以是其他服務器的客戶端,客戶端功能必須啟用角色特定服務。安全配置向導(SCW)啟用所選服務器,執(zhí)行在此頁面上選擇的客戶端功能時所需的服務,禁用不需要的服務。(3)管理項和其他選項此頁面上,可以選擇管理選項(如遠程管理和備份)及使用服務和端口的其他應用程序選項與Windows功能。安全配置向導根據管理員在“選擇服務器角色”頁面中選擇的角色啟用服務器所需的服務,將禁用不需要的服務。如果在SCW的“網絡安全”部分配置了設置,將刪除不需要的防火墻規(guī)則。任何依賴于以前未選擇的角色的選項將自動從列表中排除,并且不會出現。(4)選擇其他服務所選服務器執(zhí)行的角色可能在安全配置數據庫中找不到已安裝服務。如果出現這種情況,安全配置向導將在“選擇其他服務”頁面上提供已安裝服務的列表。(5)處理未指定的服務未指定的服務是指未出現在安全配置數據庫中的服務,這些服務當前未安裝在所選服務器上,但是可能已安裝在要應用安全策略的其他服務器上。這些服務也可能在以后安裝在所選服務器上。任何未知服務均將出現在安全配置向導的“處理未指定的服務”頁面上。在繼續(xù)操作之前,要決定如何處理這些服務??捎眠x項說明如下。①不更改此服務的啟動模式。如果選擇此選項,要應用此安全策略的服務器上已啟用的未指定服務仍會啟用,已禁用的未指定服務仍會禁用。②禁用此服務。如果選擇此選項,未在安全配置數據庫中或未安裝在所選服務器上的所有服務均將禁用。(6)確認服務變更在“確認服務更改”頁面上,可以看到此安全策略將對所選服務器上的服務進行的所有更改的列表。該列表將所選服務器上的服務的當前啟動模式與策略中定義的啟動模式進行比較。啟動模式可以是“禁用”、“手動”或“自動”。在應用安全策略之前,不會對所選服務器進行任何更改。4.設置網絡安全在安全配置向導(SCW)的“網絡安全”部分,可以添加、刪除或編輯與具有高級安全性的Windows防火墻有關的規(guī)則。具有高級安全性的Windows防火墻將主機防火墻和Internet協議安全性(IPSec)組合在一起,運行于Windows
Server
2008服務器上,并對可能穿越外圍網絡或源于組織內部的網絡攻擊提供本地保護。它還可要求對通信進行身份驗證和數據保護,從而幫助保護計算機到計算機的連接。(1)網絡安全網絡安全規(guī)則5.注冊表設置(1)要求SMB安全簽名。在此頁面中提供有關所選服務器,以及與其進行通信的客戶端的信息。SMB協議為Microsoft文件和打印共享及許多其他網絡操作(如遠程Windows管理)提供基礎。為了避免受到修改傳輸中的SMB數據包的攻擊,SMB協議支持SMB數據包的數字簽名。此策略設置確定在允許與SMB客戶端進行進一步通信之前,是否必須協商SMB數據包簽名。(2)要求LDAP簽名。LDAP是輕量目錄訪問協議。在“選擇服務器角色”頁面上選擇“域控制器(ActiveDirectory)”角色時,將出現此頁面。在“要求LDAP簽名”頁面上,收集域控制器的域中其他計算機的有關信息。(3)出站/入站身份驗證方法。在此頁面上,收集有關用戶可能嘗試從其所選服務器進行身份驗證的計算機的信息。這些安全設置將確定用于網絡登錄的質詢/響應身份驗證協議。此選擇將影響客戶端使用的身份驗證協議級別、協商的會話安全級別,以及服務器接受的身份驗證級別。(4)注冊表設置摘要。通過“注冊表設置摘要”頁面可以查看此安全策略應用于所選服務器時,對特定注冊表設置進行的所有更改。SCW顯示每個注冊表值的當前設置及策略定義的設置值。在應用安全策略之前,不會對所選服務器進行任何更改。如果一個或多個注冊表設置更改不正確,可以通過在此部分的前面幾頁更改選擇,修改這些設置。要確定需要修改哪個選擇以獲得所需的結果,可查看“注冊表值”列。通過選擇修改的注冊表值將列在此部分的各頁面中。返回配置該設置的頁面并進行相應的更改。6.設置審核策略(1)系統審核策略??梢允褂么隧撁鏋榻M織中的服務器創(chuàng)建審核策略。審核是跟蹤用戶活動并在安全日志中記錄所選類型的事件的過程。審核策略定義要收集的事件類型。(2)審核策略摘要。此頁面提供在應用策略后,將對所選服務器上的審核策略進行的所有更改的列表。其中顯示每個審核策略設置的當前設置及策略定義的設置。在應用安全策略之前,不會對所選服務器進行任何更改。7.保存并應用安全策略(1)安全策略文件名。為保存安全策略選擇位置以及擴展名為.xml的文件名。應將安全策略保存在將通過運行SCW應用該策略的管理員可以訪問的位置。(2)查看安全策略??梢詥螕簟安榭窗踩呗浴表棿蜷_SCW查看器。通過SCW查看器可以在保存之前瀏覽策略的詳細信息。(3)包括安全模板。除了使用SCW創(chuàng)建的策略設置之外,還可以在安全策略中(包括其他策略)設置。單擊“包括安全模板”項可以包含其他策略設置的安全模板。如果任何模板設置與SCW中創(chuàng)建的策略設置發(fā)生沖突,則SCW優(yōu)先。(4)應用安全策略??梢栽趧?chuàng)建或編輯策略之后,通過單擊此頁面上的“現在應用”項立即應用安全策略。如果希望更改策略,或不希望將安全策略應用于所選服務器,則單擊“稍后應用”項。如果選擇稍后應用策略,則不會對所選服務器進行任何更改。如果希望應用安全策略,運行SCW,并在“配置操作”頁面上單擊“應用現有安全策略”項。問題時間5.3設置Web服務器的安全IIS的安全機制設置IP地址限制設置用戶身份驗證設置授權規(guī)則設置SSL證書驗證設置文件的NTFS權限審核IIS日志記錄5.3.1IIS的安全機制IIS7.0是一種應用級的安全機制,它以WindowsServer2008和NTFS文件系統安全性為基礎的,與WindowsServer系統安全性的緊密集成,從而提供了強大的安全管理和控制功能。訪問控制可以說是IIS安全機制中最主要內容,從用戶和資源(站點、目錄、文件)兩個方面來限制訪問。當用戶訪問Web服務器時,IIS利用其本身及Windows操作系統的多層安全檢查和控制,來實現有效的訪問控制。Web服務器訪問控制過程如圖5.20所示。5.3.2設置IP地址限制通常,Web網站允許匿名訪問時,IIS7.0設置為允許所有IP地址、計算機和域均可訪問該網站。為了增強網站的安全性,有些Web網站不允許匿名訪問,如基于Web的身份認證、工作流計劃系統等。使用“IPv4地址和域限制”功能頁,可以為特定IP地址、IP地址范圍或域名設置允許或拒絕訪問內容的規(guī)則IPv4地址和域限制5.3.3設置用戶身份驗證IIS7.0支持匿名訪問、基本驗證、摘要式驗證,以及Windows驗證等多種身份驗證方法。此外,還支持證書驗證。
5.3.4設置授權規(guī)則(1)模式,表示規(guī)則的類型。其值可以是“允許”和“拒絕”?!澳J健敝当砻髟撘?guī)則是允許對內容的訪問,還是拒絕對它的訪問。如果某個角色、用戶或組已經被某條規(guī)則明確拒絕了訪問權限,則它不能由另一條規(guī)則授予訪問權限。(2)用戶,表示規(guī)則應用于的用戶類型(可選擇所有用戶、所有匿名用戶、指定用戶或角色三種類型其中之一)、用戶名或用戶組。(3)角色,表示規(guī)則應用于的MicrosoftWindows角色,如管理員角色或用戶角色。(4)謂詞,表示該規(guī)則應用于的HTTP謂詞,例如,GET或POST。(5)條目類型,表示項目是本地項目還是繼承的項目。本地項目是從當前配置文件中讀取的,繼承的項目是從父配置文件中讀取的。5.3.5設置SSL證書驗證5.3.6設置文件的NTFS權限IIS利用NTFS文件系統的安全特性來為特定用戶設置Web服務器目錄和文件的訪問權限,以確保特定的目錄或文件不被未經授權的用戶訪問。NTFS權限Web服務器權限用于擁有Windows賬戶的特定用戶或用戶組面向所有用戶,用于所有訪問Web站點的用戶控制對服務器物理目錄的訪問控制對Web站點虛擬目錄的訪問由Windows操作系統設置由Internet服務管理器設置5.3.7審核IIS日志記錄日志格式和字段設置2.日志審核日志文件摘錄,如圖5.26所示。由#Software開始的一行是IIS版本,#Version表示日志使用的是W3C日志文件格式,#Date是日志創(chuàng)建日期。s-ip表示服務器IP地址,cs-method表示客戶端要求通過HTTP協議連接到服務器上,cs-uri-stem表示訪問的資源,其他字段內容參見圖5.25中的“W3C日志記錄字段”列表框。問題時間5.4高級安全Windows防火墻高級安全Windows防火墻概述設置入站規(guī)則保護Web站點5.4.1高級安全Windows防火墻概述高級安全Windows防火墻是一種狀態(tài)防火墻,檢查并篩選IPv4和IPv6流量的所有數據包。在默認情況下阻止傳入流量,除非是對主機請求(請求的流量)的響應,或者被特別允許(即創(chuàng)建了防火墻規(guī)則允許該流量)。通過配置高級安全Windows防火墻的指定端口號、應用程序名稱、服務名稱或其他標準,數據流允許通過。1.Windows防火墻工作原理規(guī)則配置時,可以從各種“入站”或“出站”的“訪問控制”屬性頁中進行選擇,例如,應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規(guī)則中的訪問控制對象組合在一起,形成一條控制策略,如圖5.27所示。訪問控制對象組合得越多,高級安全Windows防火墻控制網絡行為越精細。2.防火墻配置文件防火墻配置文件是一種分組設置的方法,如防火墻規(guī)則和連接安全規(guī)則,根據服務器連接到的位置,將其應用于該服務器。在運行WindowsServer2008的服務器上,高級安全Windows防火墻有三個配置文件(域、專用、公用)。一次只能應用其中一個配置文件。配置文件中的“域”表示當服務器連接到其域賬戶所在的網絡?!皩S谩北硎井敺掌鬟B接到不包括其域賬戶的網絡時,如家庭網絡。專用配置文件設置,比域配置文件設置更為嚴格。“公用”表示當服務器通過公用網絡(如Internet)連接到域時的應用。由于服務器所連接到的公用網絡無法像IT環(huán)境中一樣嚴格控制安全,因此,公用配置文件設置應該最為嚴格。3.防火墻規(guī)則高級安全Windows防火墻規(guī)則,支持服務器向程序、系統服務、服務器及用戶發(fā)送通信,或者從程序、系統服務、服務器及用戶接收通信。防火墻規(guī)則,支持匹配“訪問控制(標準)”行為的所有連接。執(zhí)行以下三個操作之一:允許連接、只允許通過Internet協議安全(IPSec)保護的連接,或者明確阻止連接。4.連接安全規(guī)則連接安全規(guī)則與單方面操作的防火墻規(guī)則不同,連接安全規(guī)則要求通信雙方計算機均采用連接安全規(guī)則的策略或其他兼容的IPSec策略。連接安全包括:在兩臺計算機開始通信之前,對它們進行身份驗證,并確保在兩臺計算機之間正在發(fā)送信息的安全性。高級安全Windows防火墻包含了Internet協議安全(IPSec)技術,通過使用密鑰交換、身份驗證、數據完整性和數據加密(可選)來實現連接安全。5.監(jiān)視高級安全Windows防火墻Windows防火墻“監(jiān)視”功能頁,顯示活動的配置文件(域、專用或公用)及該配置文件的設置。使用“監(jiān)視”功能可以監(jiān)視高級安全Windows防火墻管理單元創(chuàng)建的防火墻規(guī)則和連接安全規(guī)則,但無法查看使用IP安全策略管理單元創(chuàng)建的策略。5.4.2設置入站規(guī)則保護Web站點一個Web網站安裝就緒后,會有一些服務端口處于開放狀態(tài),例如,允許匿名訪問Web網站的HTTP服務端口80處于開放狀態(tài)。合法用戶和攻擊者都使用這些開放端口連接系統。Web網站開放的端口越多,意味著Web網站系統存在更多的安全威脅。為了最大限度地避免黑客攻擊Web網站,可以使用安全高級Windows防火墻,建立一條允許訪問HTTP匿名訪問的“入站”規(guī)則,使客戶機只能訪問Web網站的80端口。(1)設置入站規(guī)則類型(2)設置協議和端口(3)設置允許連接(4)設置配置文件類型(5)指定該規(guī)則的名稱和描述(6)設置禁止出站規(guī)則問題時間5.5保護網絡邊界安全網絡邊界防火墻和路由器應用使用網絡DMZ構建入侵檢測系統路由器認證技術及應用
防火墻和路由器應用-1邊界安全設備叫做防火墻。防火墻阻止試圖對組織內部網絡進行掃描,阻止企圖闖入網絡的活動,防止外部進行拒絕服務(DoS,DenialofService)攻擊,禁止一定范圍內黑客利用Internet來探測用戶內部網絡的行為。阻塞和篩選規(guī)則由網管員所在機構的安全策略來決定。防火墻也可以用來保護在Intranet中的資源不會受到攻擊。不管在網絡中每一段用的是什么類型的網絡(公共的或私有的)或系統,防火墻都能把網絡中的各個段隔離開并進行保護。
雙防火墻體系結構
防火墻和路由器應用-2防火墻通常與連接兩個圍繞著防火墻網絡中的邊界路由器一起協同工作(下圖),邊界路由器是安全的第一道屏障。通常的做法是,將路由器設置為執(zhí)報文篩選和NAT,而讓防火墻來完成特定的端口阻塞和報文檢查,這樣的配置將整體上提高網絡的性能。根據這個網絡結構設置防火墻,最安全也是最簡單的方法就是:首先阻塞所有的端口號并且檢查所有的報文,然后對需要提供的服務有選擇地開放其端口號。通常來說,要想讓一臺Web服務器在Internet上僅能夠被匿名訪問,只開放80端口(http協議)或443端口(https–SSL協議)即可。使用網絡DMZ
把Web服務器放在DMZ中,必須保證Web服務器與的Intranet處于不同的子網。這樣當網絡流量進入路由器時,連接到Internet上的路由器和防火墻就能對網絡流量進行篩選和檢查了。這樣,就證實了DMZ是一種安全性較高的措施;所以除了Web服務器,還應該考慮把E-mail(SMTP/POP)服務器和FTP服務器等,也一同放在DMZ中。5.6ACL的作用與分類ACL概述ACL配置擴展ACLACL應用什么是ACL?ACL是針對路由器處理數據報轉發(fā)的一組規(guī)則,路由器利用這組規(guī)則來決定數據報允許轉發(fā)還是拒絕轉發(fā)如果不設置ACL路由器將轉發(fā)網絡鏈路上所有數據報,當網絡管理設置了ACL以后可以決定哪些數據報可以轉發(fā)那些不可以可以利用下列參數允許或拒絕發(fā)送數據報:源地址目的地址上層協議(例如:TCP&UDP端口號)ACL可以應用于該路由器上所有的可路由協議,對于一個接口上的不同網絡協議需要配置不同的ACL使用ACL檢測數據報為了決定是轉發(fā)還是拒絕數據報,路由器按照ACL中各條語句的順序來依次匹配該數據報當數據報與一條語句的條件匹配了,則將忽略ACL中的剩余所有語句的匹配處理,該數據報將按照當前語句的設定來進行轉發(fā)或拒絕轉發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上,那么將匹配這條缺省的語句ACL可以實時的創(chuàng)建,即實時有效的;因此不能單獨修改其中的任何一條或幾條,只能全部重寫因此,不要在路由器上直接編寫一個大型的ACL,最好使用文字編輯器編寫好整個ACL后傳送到路由器上,傳送的方法有多種:TFTP、HyperTerm軟件的“PastetoHost”功能路由器如何使用ACL(出站)檢查數據報是否可以被路由,可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL,將數據報交換到出站的接口如果有ACL,按照ACL語句的次序檢測數據報直至有了匹配條件,按照匹配條件的語句對數據報進行數據報的允許轉發(fā)或拒絕轉發(fā)如果沒有任何語句匹配,將怎樣?——使用缺省的“denyany”(拒絕所有)語句出站標準ACL處理流程出站數據報進行路由表的查詢接口有ACL?源地址匹配?列表中的下一項更多的項目?執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉發(fā)數據報在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number
{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group
access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個基本的步驟(標準ACL)access-list-number參數ACL有多種類型,access-list-number與ACL的類型有關下表顯示了主要的一些ACL類型與access-list-number的關系ACL類型access-list-number標準IP1to99擴展IP100to199AppleTalk600to699標準IPX800to899擴展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number
{permit/deny}{test-conditions}permit/deny參數在輸入了access-list命令并選擇了正確的
access-list-number后,需要使用permit或
deny參數來選擇希望路由器采取的動作PermitDeny向源站發(fā)送ICMP消息轉發(fā)數據報Router(config)#access-listaccess-list-number
{permit/deny}{test-conditions}{test-conditions}參數在ACL的{testconditions}部分,需要根據存取列表的不同輸入不同的參數使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網、一組地址或單一節(jié)點地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number
{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼通配符掩碼通配符掩碼指定了路由器在匹配地址時檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位,為“1”的位表示忽略檢查的位,這與子網掩碼中的意義是完全不同的0二進制方式的表示如下:11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)通配符掩碼之后若干張幻燈片中將練習處理通配符掩碼,類似于子網掩碼,這需要一段時間掌握計算表示下列網絡中的所有節(jié)點的通配符掩碼:
答案:55這個通配符掩碼與C類地址的子網掩碼正好相反注意:針對整個網絡或子網中所有節(jié)點的通配符掩碼一般都是這樣的通配符掩碼練習計算表示下列子網中所有節(jié)點的通配符掩碼:224答案是:211與24正好相反二進制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作,請看.32子網中的節(jié)點地址——511000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習在下面的例子中,藍色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記:通配符掩碼中為“0”的位表示需要檢查的位,為“1”的位表示忽略檢查的位在本例中,根據通配符掩碼中為0的位,比較數據報的源地址和控制的IP地址中相關的各個位,當每位都相同時,說明兩者匹配針對掩碼為92的4子網的控制IP地址和通配符掩碼?答案:43通配符掩碼練習針對掩碼為的子網的控制IP地址和通配符掩碼?答案:55針對掩碼為的子網的控制IP地址和通配符掩碼?答案:55針對掩碼為的子網的控制IP地址和通配符掩碼?答案:55通配符掩碼練習計算控制的IP地址和通配符掩碼是比較復雜的,尤其是控制網絡中的一部分節(jié)點時為了控制網絡中一部分節(jié)點往往需要在二進制方式下進行計算例如:學生使用到27地址范圍,教師使用28到55地址范圍。這些地址處在相同的網絡中/24怎樣來計算?控制一段地址范圍內的節(jié)點對于學生使用的地址范圍首先,以二進制方式寫出第一個和最后一個節(jié)點地址。由于前三個8位組是相同的,所以可以忽略它們,在通配符掩碼中相應的位必須為“0”第一個地址:00000000最后一個地址:01111111其次,查找前面的兩者相同的位(下圖的藍色部分)0000000001111111這些相同的位將與前面的網絡地址部分(192.5.5)一樣進行匹配檢驗例子:地址區(qū)域到.127和.128到.255控制一段地址范圍內的節(jié)點第三,計算剩余節(jié)點地址部分的十進制值(127)最后,決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內的任何一個節(jié)點地址,但約定俗成的使用所控制范圍的第一個節(jié)點地址相對于上述相同的位在通配符掩碼中為“0”27對于教師部分地址:28(10000000)到55(11111111)答案:2827請思考兩者的不同例子:地址區(qū)域到.127和.128到.255控制一段地址范圍內的節(jié)點控制網絡/24中的所有偶數地址的控制IP地址和通配符掩碼?答案:54控制網絡/24中的所有奇數地址的控制IP地址和通配符掩碼?答案:54控制一段地址范圍內的節(jié)點由于ACL末尾都有一個隱含的“denyany”語句,需要在ACL前面部分寫入其他“允許”的語句使用上面的例子,如果不允許學生訪問而其他的訪問都允許,需要如下兩條語句:Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網絡功能失效,為了方便輸入,可以使用any
命令:Lab-A(config)#access-list1permitanyany命令眾多情況下,網絡管理員需要在ACL處理單獨節(jié)點的情況,可以使用兩種命令:Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令標準ACL不處理目的地相關參數,因此,標準ACL應該放置在最接近目的地的地點請參考下圖來考慮上述放置地點的原因,如果將語句“deny55”放置在Lab-A路由器的E0接口上時,網絡中的數據通訊情況這樣所有網絡向外的通訊數據全部被拒絕標準ACL的正確放置位置在全局配置模式下逐條輸入ACL語句Router(config)#access-list
access-list-number
{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個ACL中(與標準ACL的語法一樣)Router(config-if)#{protocol}access-group
access-list-number
{in/out}Lab-A(config-if)#ipaccess-group101out兩個步驟(擴展ACL)access-list-number
從100到199中選擇一個{protocol|protocol-number}
對于CCNA,僅僅需要了解ip和tcp——實際上有更多的參數選項{sourcesource-wildcard}與標準ACL相同{destinationdestination-wildcard}與標準ACL相同,但是是指定傳輸的目的[protocol-specificoptions]本參數用來指定需要過濾的協議擴展的參數請復習TCP和UDP的端口號也可以使用名稱來代替端口號,例如:使用telnet來代替端口號23端口號協議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號由于擴展ACL可以控制目的地地址,所以應該放置在盡量接近數據發(fā)送源放置擴展ACL的正確位置放置擴展ACL的正確位置在下圖中,需要設定網絡中的所有節(jié)點不能訪問地址為4服務器在哪個路由器的哪個接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機器訪問4,但是他們可以繼續(xù)訪問InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL;當在一個路由器上使用多于99個ACL時這個功能特別有用當輸入一個命名的ACL,不需要緊接著輸入access-list和access-list-number參數下例中,ACL的名字是over_and,并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當前的路由器的整個配置驗證ACLACL不檢查路由器本身自己產生的數據報ACL只檢查其他來源的數據報ACL的特點5.6.4擴展ACL的應用
某企業(yè)網絡信息中心拓撲結構下圖所示。非軍事區(qū)(DMZ)包括交換機、企業(yè)WWW服務器、E-Mail服務器、防火墻、路由器(Cisco2651)和Internet專線連接設施。企業(yè)內網包括認證和計費系統(RADIUS)、網絡OA系統、ERP系統、核心交換機(Catalyst4506)和匯聚交換機(Catalyst2950G)等設施。外網擴展訪問控制列表/*僅允許DMZ區(qū)服務器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 廣告大棚銷售合同范例
- 綠化栽種勞務合同范例
- 海南光伏發(fā)電合同范例
- 宣傳標識合同范例
- 正規(guī)外加工合同范例
- 機械車位出租合同范例
- 房貸購房合同范例
- 養(yǎng)狗家庭采購合同范例
- 夜場裝修工程合同范例
- 同濟大學《數字繪畫基礎》2023-2024學年第一學期期末試卷
- 西方二十世紀文論
- 醫(yī)院關于成立DRG-s管理領導小組通知
- 部編版語文四年級上冊作文歸納整理總復習課件
- 【新教材】蘇教版小學科學三年級上冊:12河流與湖泊課件
- 配電項目工程重點、難點及解決措施
- 充氨安全安全操作規(guī)程20某0310
- 風力發(fā)電項目報價清單 (風機基礎等)
- DB41∕T 2001-2020 金銀花扦插育苗技術規(guī)程
- 會務合同模板
- 校園超市經營服務方案
- 臨床路徑及在麻醉科的應用
評論
0/150
提交評論