Web服務(wù)器的安全性.ppt

1、Web服務(wù)器的安全性,1HTTP協(xié)議及Web服務(wù),HTTP協(xié)議是通用的，無(wú)狀態(tài)的，其系統(tǒng)建設(shè)與傳輸?shù)臄?shù)據(jù)無(wú)關(guān)。HTTP也是面向?qū)ο蟮膮f(xié)議，可用于各種任務(wù)，包括名字服務(wù)、分布式對(duì)象管理、請(qǐng)求方法的擴(kuò)展、命令等。 Web帳戶(hù)的快速訪問(wèn)、開(kāi)放及無(wú)狀態(tài)的特性，使得其控制和保護(hù)變的非常困難。,2 Web服務(wù)器的創(chuàng)建,安裝IIS 控制面板添加/刪除程序添加/刪除Windows組件IIS,2.1 IIS安全安裝,要構(gòu)建一個(gè)安全的IIS服務(wù)器，必須從安裝時(shí)就充分考慮安全問(wèn)題。 1. 不要將IIS安裝在系統(tǒng)分區(qū)上。 2. 修改IIS的安裝默認(rèn)路徑 3. 打上Windows和IIS的最新補(bǔ)丁。,2.2 IIS的安

2、全配置,1. 刪除不必要的虛擬目錄 IIS安裝完成后在wwwroot下默認(rèn)生成了一些目錄，包括IISHelp、IISAdmin、IISSamples、MSADC等，這些目錄都沒(méi)有什么實(shí)際的作用，可直接刪除。 2. 刪除危險(xiǎn)的IIS組件 默認(rèn)安裝后的有些IIS組件可能會(huì)造成安全威脅，例如 Internet服務(wù)管理器(HTML)、SMTP Service和NNTP Service、樣本頁(yè)面和腳本，大家可以根據(jù)自己的需要決定是否刪除。 3. 為IIS中的文件分類(lèi)設(shè)置權(quán)限 除了在操作系統(tǒng)里為IIS的文件設(shè)置必要的權(quán)限外，還要在IIS管理器中為它們?cè)O(shè)置權(quán)限。一個(gè)好的設(shè)置策略是：為Web 站點(diǎn)上不同類(lèi)型的

3、文件都建立目錄，然后給它們分配適當(dāng)權(quán)限。例如：靜態(tài)文件文件夾允許讀、拒絕寫(xiě)，ASP腳本文件夾允許執(zhí)行、拒絕寫(xiě)和讀取，EXE等可執(zhí)行程序允許執(zhí)行、拒絕讀寫(xiě)。,2.2 IIS的安全配置,4. 刪除不必要的應(yīng)用程序映射 ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè)程序映射，其他的文件在網(wǎng)站上都很少用到。 在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁(yè)面中，點(diǎn)擊配置按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁(yè)面，刪除無(wú)用的程序映射。如果需要這一類(lèi)文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點(diǎn)擊編輯按鈕，在“添加/編

4、輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶(hù)請(qǐng)求這類(lèi)文件時(shí)，IIS會(huì)先檢查文件是否存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫(kù)來(lái)解析。,2.2 IIS的安全配置,5. 保護(hù)日志安全 日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。 修改IIS日志的存放路徑 默認(rèn)情況下，IIS的日志存放在%WinDir%System32LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。在“Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁(yè)面中，在選中“啟用日志記錄”的情況下，點(diǎn)擊旁邊的屬性按

5、鈕，在“常規(guī)屬性”頁(yè)面，點(diǎn)擊瀏覽按鈕或者直接在輸入框中輸入日志存放路徑即可。 修改日志訪問(wèn)權(quán)限，設(shè)置只有管理員才能訪問(wèn)。,3 Web服務(wù)器與操作系統(tǒng),要?jiǎng)?chuàng)建一個(gè)安全可靠的Web服務(wù)器，必須要實(shí)現(xiàn)Windows 2000和IIS的雙重安全，因?yàn)镮IS的用戶(hù)同時(shí)也是Windows 2000的用戶(hù)，并且IIS目錄的權(quán)限依賴(lài)Windows的NTFS文件系統(tǒng)的權(quán)限控制，所以保護(hù)IIS安全的第一步就是確保Windows 2000操作系統(tǒng)的安全,3 Web服務(wù)器與操作系統(tǒng),1. 使用NTFS文件系統(tǒng)，以便對(duì)文件和目錄進(jìn)行管理。 2. 關(guān)閉默認(rèn)共享 3. 修改共享權(quán)限 建立新的共享后立即修改Everyone的

6、缺省權(quán)限，不讓W(xué)eb服務(wù)器訪問(wèn)者得到不必要的權(quán)限。 4. 為系統(tǒng)管理員賬號(hào)更名，避免非法用戶(hù)攻擊。,3 Web服務(wù)器與操作系統(tǒng),5. 禁用TCP/IP 上的NetBIOS 6. TCP/IP上對(duì)進(jìn)站連接進(jìn)行控制 鼠標(biāo)右擊桌面上網(wǎng)絡(luò)鄰居 屬性 本地連接 屬性，打開(kāi)“本地連接屬性”對(duì)話框。選擇Internet協(xié)議(TCP/IP)屬性高級(jí)選項(xiàng)，在列表中單擊選中“TCP/IP篩選”選項(xiàng)。單擊屬性按鈕，選擇“只允許”，再單擊添加按鈕，只填入80端口。 7. 修改注冊(cè)表，減小拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。 打開(kāi)注冊(cè)表：將HKLMSystemCurrentControlSetServicesTcpipParamete

7、rs下的SynAttackProtect的值修改為2，使連接對(duì)超時(shí)的響應(yīng)更快。,4 SSL安全機(jī)制,IIS的身份認(rèn)證除了匿名訪問(wèn)、基本驗(yàn)證和Windows NT請(qǐng)求/響應(yīng)方式外，還有一種安全性更高的認(rèn)證：通過(guò)SSL（Security Socket Layer）安全機(jī)制使用數(shù)字證書(shū)。,4.1 SSL的概念,SSL（加密套接字協(xié)議層）位于HTTP層和TCP層之間，建立用戶(hù)與服務(wù)器之間的加密通信，確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的，任何用戶(hù)都可以獲得公共密鑰來(lái)加密數(shù)據(jù)，但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí)，首先客戶(hù)端與服務(wù)器建立連接，服務(wù)器把它的數(shù)字

8、證書(shū)與公共密鑰一并發(fā)送給客戶(hù)端，客戶(hù)端隨機(jī)生成會(huì)話密鑰，用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器，而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密，這樣，客戶(hù)端和服務(wù)器端就建立了一個(gè)惟一的安全通道。,4.2 SSL建立的步驟,啟動(dòng)ISM并打開(kāi)Web站點(diǎn)的屬性頁(yè)； 選擇“目錄安全性”選項(xiàng)卡； 單擊“密鑰管理器”按鈕； 通過(guò)密鑰管理器生成密鑰對(duì)文件和請(qǐng)求文件； 從身份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書(shū)； 通過(guò)密鑰管理器在服務(wù)器上安裝證書(shū)； 激活Web站點(diǎn)的SSL安全性。,4.3 SSL的安全性能評(píng)價(jià),建立了SSL安全機(jī)制后，只有SSL允許的客戶(hù)才能與SSL允許的Web站點(diǎn)進(jìn)行通信

9、，并且在使用URL資源定位器時(shí)，輸入https:/ ，而不是http:/ 。SSL安全機(jī)制的實(shí)現(xiàn)，將增大系統(tǒng)開(kāi)銷(xiāo)，增加了服務(wù)器CPU的額外負(fù)擔(dān)，從而降低了系統(tǒng)性能，在規(guī)劃時(shí)建議僅考慮為高敏感度的Web目錄使用。另外，SSL客戶(hù)端需要使用IE 3.0及以上版本才能使用。,5 使用IIS Lockdown,一、注意事項(xiàng) IIS Lockdown會(huì)改變IIS的運(yùn)行方式，因此很可能與依賴(lài)IIS某些功能的應(yīng)用沖突。另外，在正式應(yīng)用IIS Lockdown或URLScan之前，務(wù)必搜索微軟的知識(shí)庫(kù)，收集可能出現(xiàn)問(wèn)題的最新資料。掌握這些資料并了解其建議之后，再在測(cè)試服務(wù)器上安裝IISLockdown，全面測(cè)

10、試Web應(yīng)用需要的IIS功能是否受到影響。最后，做一次全面的系統(tǒng)備份，以便在系統(tǒng)功能受到嚴(yán)重影響時(shí)迅速恢復(fù)。,5.2 安裝,將iislockd.exe下載到一個(gè)臨時(shí)目錄。 打開(kāi)控制臺(tái)窗口，進(jìn)入臨時(shí)目錄，執(zhí)行命令“iislockd.exe /q /c /t:c:IISLockdown”解開(kāi)壓縮，/q要求以“安靜”模式操作，/c要求IIS Lockdown只執(zhí)行提取文件的操作，和-t選項(xiàng)一起使用，-t選項(xiàng)指定了要把文件解壓縮到哪一個(gè)目錄,6 Web客戶(hù)安全,IE插件安全 Java與JavaScript安全 Cookies安全 ActiveX安全,7 網(wǎng)絡(luò)釣魚(yú),發(fā)送電子郵件，以虛假信息引誘用戶(hù)中圈套

11、。 二是建立假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站，騙取用戶(hù)賬號(hào)密碼實(shí)施盜竊。 利用虛假的電子商務(wù)進(jìn)行詐騙。 利用木馬和黑客技術(shù)等手段竊取用戶(hù)信息后實(shí)施盜竊活動(dòng)。 跨站釣魚(yú) Windows特性惹的禍：危險(xiǎn)的HOSTS文件 系統(tǒng)升級(jí)補(bǔ)?。候_子的魚(yú)餌,7.1 遠(yuǎn)離釣魚(yú),一、針對(duì)電子郵件欺詐， 一是偽造發(fā)件人信息，如ABC； 二是問(wèn)候語(yǔ)或開(kāi)場(chǎng)白往往模仿被假冒單位的口吻和語(yǔ)氣，如“親愛(ài)的用戶(hù)”； 三是郵件內(nèi)容多為傳遞緊迫的信息，如以賬戶(hù)狀態(tài)將影響到正常使用或宣稱(chēng)正在通過(guò)網(wǎng)站更新賬號(hào)資料信息等； 四是索取個(gè)人信息，要求用戶(hù)提供密碼、賬號(hào)等信息。 還有一類(lèi)郵件是以超低價(jià)或海關(guān)查沒(méi)品等為誘餌誘騙消費(fèi)者。,7.1 遠(yuǎn)離釣

12、魚(yú),二、針對(duì)假冒網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站的情況 一是核對(duì)網(wǎng)址，看是否與真正網(wǎng)址一致； 二是選妥和保管好密碼， 三是做好交易記錄， 四是管好數(shù)字證書(shū)， 五是對(duì)異常動(dòng)態(tài)提高警惕，如不小心在陌生的網(wǎng)址上輸入了賬戶(hù)和密碼，并遇到類(lèi)似“系統(tǒng)維護(hù)”之類(lèi)提示時(shí)，應(yīng)立即撥打有關(guān)客服熱線進(jìn)行確認(rèn) 六是通過(guò)正確的程序登錄支付網(wǎng)關(guān)，通過(guò)正式公布的網(wǎng)站進(jìn)入，不要通過(guò)搜索引擎找到的網(wǎng)址或其他不明網(wǎng)站的鏈接進(jìn)入。,7.1 遠(yuǎn)離釣魚(yú),針對(duì)虛假電子商務(wù)信息的情況， 一是虛假購(gòu)物、拍賣(mài)網(wǎng)站看上去都比較“正規(guī)”， 二是交易方式單一，消費(fèi)者只能通過(guò)銀行匯款的方式購(gòu)買(mǎi)，且收款人均為個(gè)人，而非公司，訂貨方法一律采用先付款后發(fā)貨的方式；

13、三是詐取消費(fèi)者款項(xiàng)的手法如出一轍，當(dāng)消費(fèi)者匯出第一筆款后，騙子會(huì)來(lái)電以各種理由要求匯款人再匯余款、風(fēng)險(xiǎn)金、押金或稅款之類(lèi)的費(fèi)用，否則不會(huì)發(fā)貨， 四是在進(jìn)行網(wǎng)絡(luò)交易前，要對(duì)交易網(wǎng)站和交易對(duì)方的資質(zhì)進(jìn)行全面了解,7.1 遠(yuǎn)離釣魚(yú),其他網(wǎng)絡(luò)安全防范措施。 一是安裝防火墻和防病毒軟件，并經(jīng)常升級(jí)； 二是注意經(jīng)常給系統(tǒng)打補(bǔ)丁，堵塞軟件漏洞； 三是禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼； 四是不要上一些不太了解的網(wǎng)站，不要執(zhí)行從網(wǎng)上下載后未經(jīng)殺毒處理的軟件，不要打開(kāi)msn或者QQ上傳送過(guò)來(lái)的不明文件等； 五是提高自我保護(hù)意識(shí)，注意妥善保管自己的私人信息，如本人證件號(hào)碼、賬號(hào)、密碼等，不向他

14、人透露；盡量避免在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)上電子商務(wù)服務(wù),8 間諜軟件,當(dāng)瀏覽器關(guān)閉時(shí)(有時(shí)候甚至都沒(méi)有連接到互聯(lián)網(wǎng))，會(huì)出現(xiàn)彈出廣告。當(dāng)打開(kāi)瀏覽器時(shí)，一個(gè)像HotO的網(wǎng)站出現(xiàn)了，而不是我們內(nèi)部網(wǎng)的主頁(yè)。 有最新的殺毒軟件，并且沒(méi)有發(fā)現(xiàn)病毒。使用查殺間諜軟件的工具“SpyBot Search & Destroy ”進(jìn)行掃描之后，發(fā)現(xiàn)一些不熟悉的文件，刪除這些文件。但是，這樣并沒(méi)有解決這些問(wèn)題。,8.1 如何防范間諜軟件,Windows補(bǔ)丁一發(fā)布就要立即使用。 企業(yè)防火墻和基于本地軟件的防火墻必須能夠保護(hù)每一臺(tái)計(jì)算機(jī)。 IE瀏覽器的設(shè)置必須是非常安全的。 每臺(tái)計(jì)算機(jī)至少安裝兩種間諜軟件清除工具，如S

15、pybot - Search & Destroy和Ad-Aware。,8.1 如何防范間諜軟件,應(yīng)該安裝Javacool軟件公司的SpywareBlaster軟件，以阻止已知的惡意ActiveX控件在每一臺(tái)計(jì)算機(jī)上運(yùn)行。 每一臺(tái)計(jì)算機(jī)應(yīng)該安裝一個(gè)好的殺毒軟件。 殺毒軟件、SpywareBlaster和間諜軟件清除程序必須不斷更新新的惡意軟件的定義。 創(chuàng)建一個(gè)互聯(lián)網(wǎng)安全使用行為規(guī)范的指南。例如，用戶(hù)永遠(yuǎn)不要點(diǎn)擊彈出式廣告，永遠(yuǎn)不要打開(kāi)來(lái)源不明的電子郵件的附件，一定要閱讀要安裝的軟件中的細(xì)則。,FTP服務(wù)的安全性能,1 IIS中的FTP服務(wù),Windows 2000系統(tǒng)的IIS5.0提供 了FTP

16、服務(wù)功能，由于它的簡(jiǎn)單易用，與Windows系統(tǒng)本身結(jié)合緊密，深受廣大用戶(hù)的喜愛(ài)。但使用IIS5.0架設(shè)的FTP服務(wù)器真的安全嗎？它的默認(rèn)設(shè)置其實(shí)存在很多安全隱患，很容易成為黑客們的攻擊目標(biāo)。,FTP安全性能的一些簡(jiǎn)單控制,一 取消匿名訪問(wèn)功能 二 啟用日志記錄 三 正確設(shè)置用戶(hù)訪問(wèn)權(quán)限 四 啟用磁盤(pán)配額 五 TCP/IP訪問(wèn)限制 六 合理設(shè)置組策略 1. 審核賬戶(hù)登錄事件 在本地安全設(shè)置窗口中，依次展開(kāi)“安全設(shè)置本地策略審核策略”，然后在右側(cè)的框體中找到“審核賬戶(hù)登錄事件”項(xiàng)目 2. 增強(qiáng)賬號(hào)密碼的復(fù)雜性 賬戶(hù)鎖定,創(chuàng)建SSL證書(shū) 要想使用Serv-U的SSL功能，當(dāng)然需要SSL證書(shū)的支持才行。雖然Serv-U 在安裝之時(shí)就已經(jīng)自動(dòng)生成了一個(gè)SSL證書(shū)，但這