《Web服务器的安全性》由会员分享,可在线阅读,更多相关《Web服务器的安全性(32页珍藏版)》请在金锄头文库上搜索。
1、Web服务器的安全性1 HTTP协议及Web服务vHTTP协议是通用的,无状态的,其系统建设 与传输的数据无关。HTTP也是面向对象的协 议,可用于各种任务,包括名字服务、分布 式对象管理、请求方法的扩展、命令等。vWeb帐户的快速访问、开放及无状态的特性 ,使得其控制和保护变的非常困难。2 Web服务器的创建v安装IISv控制面板添加/删除程序添加/删除 Windows组件IIS2.1 IIS安全安装v 要构建一个安全的IIS服务器,必须从安装时 就充分考虑安全问题。 1. 不要将IIS安装在系统分区上。 2. 修改IIS的安装默认路径3. 打上Windows和IIS的最新补丁。2.2 II
2、S的安全配置 v1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、 IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作 用,可直接删除。 v2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管 理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本, 大家可以根据自己的需要决定是否删除。 v3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器 中为它们设置权限。一个好的设置策略是:为W
3、eb 站点上不同类型 的文件都建立目录,然后给它们分配适当权限。例如:静态文件文 件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取, EXE等可执行程序允许执行、拒绝读写。2.2 IIS的安全配置v4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射,除了ASP的这个 程序映射,其他的文件在网站上都很少用到。 在 “Internet服务管理器”中,右击网站目录,选择“属性”,在 网站目录属性对话框的“主目录”页面中,点击配置按钮 ,弹出“应用程序配置”对话框,在“应用程序映射”页面, 删除无用的程序映射。如果需要这一类文件时,必须安 装最新的系统修补补丁,并且选中相应的
4、程序映射,再 点击编辑按钮,在“添加/编辑应用程序扩展名映射”对话 框中勾选“检查文件是否存在”选项。这样当客户请求这类 文件时,IIS会先检查文件是否存在,文件存在后才会去 调用程序映射中定义的动态链接库来解析。 2.2 IIS的安全配置v 5. 保护日志安全 日志是系统安全策略的一个重要 环节,确保日志的安全能有效提高系统整体安全性 。 修改IIS日志的存放路径 默认情况下,IIS的日志存 放在%WinDir%System32LogFiles,黑客当然非常清 楚,所以最好修改一下其存放路径。在“Internet服务管理 器”中,右击网站目录,选择“属性”,在网站目录属性对 话框的“Web站
5、点”页面中,在选中“启用日志记录”的情况 下,点击旁边的属性按钮,在“常规属性”页面,点击浏 览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限,设置只有管理员才能访问。3 Web服务器与操作系统v要创建一个安全可靠的Web服务器,必须要 实现Windows 2000和IIS的双重安全,因为 IIS的用户同时也是Windows 2000的用户, 并且IIS目录的权限依赖Windows的NTFS文 件系统的权限控制,所以保护IIS安全的第一 步就是确保Windows 2000操作系统的安全3 Web服务器与操作系统v1. 使用NTFS文件系统,以便对文件和目录 进行管理。 v2.
6、关闭默认共享 v3. 修改共享权限 建立新的共享后立即修改Everyone的缺省权限, 不让Web服务器访问者得到不必要的权限。v4. 为系统管理员账号更名,避免非法用户攻 击。 3 Web服务器与操作系统v5. 禁用TCP/IP 上的NetBIOS v6. TCP/IP上对进站连接进行控制 鼠标右击桌面上网络邻居 属性 本地连接 属性 ,打开“本地连接属性”对话框。选择Internet协议 (TCP/IP)属性高级选项,在列表中单击选中 “TCP/IP筛选”选项。单击属性按钮,选择“只允许”,再 单击添加按钮,只填入80端口。 v7. 修改注册表,减小拒绝服务攻击的风险。 打开注册表:将 H
7、KLMSystemCurrentControlSetServicesTcpipPar ameters下的SynAttackProtect的值修改为2,使连接对超 时的响应更快。4 SSL安全机制v IIS的身份认证除了匿名访问、基本验证和 Windows NT请求/响应方式外,还有一种安 全性更高的认证:通过SSL(Security Socket Layer)安全机制使用数字证书。4.1 SSL的概念v SSL(加密套接字协议层)位于HTTP层和TCP层 之间,建立用户与服务器之间的加密通信,确保所 传递信息的安全性。SSL是工作在公共密钥和私人 密钥基础上的,任何用户都可以获得公共密钥来加
8、密数据,但解密数据必须要通过相应的私人密钥。 使用SSL安全机制时,首先客户端与服务器建立连 接,服务器把它的数字证书与公共密钥一并发送给 客户端,客户端随机生成会话密钥,用从服务器得 到的公共密钥对会话密钥进行加密,并把会话密钥 在网络上传递给服务器,而会话密钥只有在服务器 端用私人密钥才能解密,这样,客户端和服务器端 就建立了一个惟一的安全通道。4.2 SSL建立的步骤v启动ISM并打开Web站点的属性页; v选择“目录安全性”选项卡; v单击“密钥管理器”按钮; v通过密钥管理器生成密钥对文件和请求文件 ; v从身份认证权限中申请一个证书; v通过密钥管理器在服务器上安装证书; v激活W
9、eb站点的SSL安全性。 4.3 SSL的安全性能评价v 建立了SSL安全机制后,只有SSL允许的客 户才能与SSL允许的Web站点进行通信,并 且在使用URL资源定位器时,输入https:/ , 而不是http:/ 。 SSL安全机制的实现,将增 大系统开销,增加了服务器CPU的额外负担 ,从而降低了系统性能,在规划时建议仅考 虑为高敏感度的Web目录使用。另外,SSL 客户端需要使用IE 3.0及以上版本才能使用 。 5 使用IIS Lockdownv 一、注意事项 IIS Lockdown会改变IIS的运行方式,因此很可能 与依赖IIS某些功能的应用冲突。另外,在正式应 用IIS Loc
10、kdown或URLScan之前,务必搜索微 软的知识库,收集可能出现问题的最新资料。掌 握这些资料并了解其建议之后,再在测试服务器 上安装IISLockdown,全面测试Web应用需要的 IIS功能是否受到影响。最后,做一次全面的系统 备份,以便在系统功能受到严重影响时迅速恢复 。 5.2 安装 v将iislockd.exe下载到一个临时目录。 v打开控制台窗口,进入临时目录,执行命令 “iislockd.exe /q /c /t:c:IISLockdown”解开压 缩,/q要求以“安静”模式操作,/c要求IIS Lockdown只执行提取文件的操作,和-t选项 一起使用,-t选项指定了要把文
11、件解压缩到哪 一个目录6 Web客户安全vIE插件安全vJava与JavaScript安全vCookies安全vActiveX安全7 网络钓鱼v发送电子邮件,以虚假信息引诱用户中圈套。v二是建立假冒网上银行、网上证券网站,骗取用户 账号密码实施盗窃。v利用虚假的电子商务进行诈骗。 v利用木马和黑客技术等手段窃取用户信息后实施盗 窃活动。 v跨站钓鱼 vWindows特性惹的祸:危险的HOSTS文件v系统升级补丁:骗子的鱼饵 7.1 远离钓鱼v一、针对电子邮件欺诈,一是伪造发件人信息,如ABC;二是问候语或开场白往往模仿被假冒单位的口吻和语气 ,如“亲爱的用户”;三是邮件内容多为传递紧迫的信息,
12、如以账户状态将影 响到正常使用或宣称正在通过网站更新账号资料信息等 ;四是索取个人信息,要求用户提供密码、账号等信息。还有一类邮件是以超低价或海关查没品等为诱饵诱骗消 费者。7.1 远离钓鱼v二、针对假冒网上银行、网上证券网站的情况一是核对网址,看是否与真正网址一致;二是选妥和保管好密码,三是做好交易记录,四是管好数字证书,五是对异常动态提高警惕,如不小心在陌生的网址上输 入了账户和密码,并遇到类似“系统维护”之类提示时,应 立即拨打有关客服热线进行确认六是通过正确的程序登录支付网关,通过正式公布的网 站进入,不要通过搜索引擎找到的网址或其他不明网站 的链接进入。7.1 远离钓鱼v针对虚假电子
13、商务信息的情况,一是虚假购物、拍卖网站看上去都比较“正规”,二是交易方式单一,消费者只能通过银行汇款的方式购 买,且收款人均为个人,而非公司,订货方法一律采用 先付款后发货的方式;三是诈取消费者款项的手法如出一辙,当消费者汇出第 一笔款后,骗子会来电以各种理由要求汇款人再汇余款 、风险金、押金或税款之类的费用,否则不会发货,四是在进行网络交易前,要对交易网站和交易对方的资 质进行全面了解7.1 远离钓鱼v其他网络安全防范措施。一是安装防火墙和防病毒软件,并经常升级;二是注意经常给系统打补丁,堵塞软件漏洞;三是禁止浏览器运行JavaScript和ActiveX代码;四是不要上一些不太了解的网站,
14、不要执行从网上下载 后未经杀毒处理的软件,不要打开msn或者QQ上传送过 来的不明文件等;五是提高自我保护意识,注意妥善保管自己的私人信息 ,如本人证件号码、账号、密码等,不向他人透露;尽 量避免在网吧等公共场所使用网上电子商务服务8 间谍软件v当浏览 器关闭时 (有时候甚至都没有连接到 互联网),会出现弹 出广告。当打开浏览 器 时,一个像HotO的网站出现了,而 不是我们内部网的主页。v有最新的杀毒软件,并且没有发现 病毒。使 用查杀间谍软 件的工具“SpyBot Search & Destroy ”进行扫描之后,发现 一些不熟悉的 文件,删除这些文件。但是,这样 并没有解 决这些问题 。
15、8.1 如何防范间谍软件vWindows补丁一发布就要立即使用。v企业防火墙和基于本地软件的防火墙必须能够保护每一台 计算机。vIE浏览器的设置必须是非常安全的。v每台计算机至少安装两种间谍软 件清除工具,如Spybot - Search & Destroy和Ad-Aware。8.1 如何防范间谍软件v应该安装Javacool软件公司的SpywareBlaster软件,以阻 止已知的恶意ActiveX控件在每一台计算机上运行。v 每一台计算机应该安装一个好的杀毒软件。v杀毒软件、SpywareBlaster和间谍软 件清除程序必须不断 更新新的恶意软件的定义。v创建一个互联网安全使用行为规范的
16、指南。例如,用户永 远不要点击弹出式广告,永远不要打开来源不明的电子邮 件的附件,一定要阅读要安装的软件中的细则。FTP服务的安全性能1 IIS中的FTP服务v Windows 2000系统的IIS5.0提供 了FTP服务 功能,由于它的简单易用,与Windows系统 本身结合紧密,深受广大用户的喜爱。但使 用IIS5.0架设的FTP服务器真的安全吗?它的 默认设置其实存在很多安全隐患,很容易成 为黑客们的攻击目标。FTP安全性能的一些简单控制v一 取消匿名访问功能 v二 启用日志记录v三 正确设置用户访问权限v 四 启用磁盘配额v五 TCP/IP访问限制 v六 合理设置组策略1. 审核账户登录事件 v在本地安全设置窗口中,依次
