Web服务器的安全性.ppt

Web服务器的安全性 1 HTTP协议及 Web服务 HTTP协议是通用的，无状态的，其系统建设 与传输的数据无关。 HTTP也是面向对象的协 议，可用于各种任务，包括名字服务、分布 式对象管理、请求方法的扩展、命令等。 Web帐户的快速访问、开放及无状态的特性， 使得其控制和保护变的非常困难。 2 Web服务器的创建 安装 IIS 控制面板添加 /删除程序添加 /删除 Windows组件 IIS 2.1 IIS安全安装 要构建一个安全的 IIS服务器，必须从安装时 就充分考虑安全问题。 1. 不要将 IIS安装在系统分区上。 2. 修改 IIS的安装默认路径 3. 打上 Windows和 IIS的最新补丁。 2.2 IIS的安全配置 1. 删除不必要的虚拟目录 IIS安装完成后在 wwwroot下默认生成了一些目录，包括 IISHelp、 IISAdmin、 IISSamples、 MSADC等，这些目录都没有什么实际的作 用，可直接删除。 2. 删除危险的 IIS组件 默认安装后的有些 IIS组件可能会造成安全威胁，例如 Internet服务管 理器 (HTML)、 SMTP Service和 NNTP Service、样本页面和脚本， 大家可以根据自己的需要决定是否删除。 3. 为 IIS中的文件分类设置权限 除了在操作系统里为 IIS的文件设置必要的权限外，还要在 IIS管理器 中为它们设置权限。一个好的设置策略是：为 Web 站点上不同类型 的文件都建立目录，然后给它们分配适当权限。例如：静态文件文 件夹允许读、拒绝写， ASP脚本文件夹允许执行、拒绝写和读取， EXE等可执行程序允许执行、拒绝读写。 2.2 IIS的安全配置 4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射，除了 ASP的这个 程序映射，其他的文件在网站上都很少用到。 在 “ Internet服务管理器”中，右击网站目录，选择“属 性”，在网站目录属性对话框的“主目录”页面中，点 击 配置 按钮，弹出“应用程序配置”对话框，在“应用 程序映射”页面，删除无用的程序映射。如果需要这一 类文件时，必须安装最新的系统修补补丁，并且选中相 应的程序映射，再点击 编辑 按钮，在“添加 /编辑应用程 序扩展名映射”对话框中勾选“检查文件是否存在”选 项。这样当客户请求这类文件时， IIS会先检查文件是否 存在，文件存在后才会去调用程序映射中定义的动态链 接库来解析。 2.2 IIS的安全配置 5. 保护日志安全 日志是系统安全策略的一个重要 环节，确保日志的安全能有效提高系统整体安全性。 修改 IIS日志的存放路径 默认情况下， IIS的日志 存放在 %WinDir%System32LogFiles，黑客当然非常 清楚，所以最好修改一下其存放路径。在“ Internet服务 管理器”中，右击网站目录，选择“属性”，在网站目 录属性对话框的“ Web站点”页面中，在选中“启用日 志记录”的情况下，点击旁边的 属性 按钮，在“常规属 性”页面，点击 浏览 按钮或者直接在输入框中输入日志 存放路径即可。 修改日志访问权限，设置只有管理员才能访问。 3 Web服务器与操作系统 要创建一个安全可靠的 Web服务器，必须要 实现 Windows 2000和 IIS的双重安全，因为 IIS的用户同时也是 Windows 2000的用户， 并且 IIS目录的权限依赖 Windows的 NTFS文 件系统的权限控制，所以保护 IIS安全的第一 步就是确保 Windows 2000操作系统的安全 3 Web服务器与操作系统 1. 使用 NTFS文件系统，以便对文件和目录进 行管理。 2. 关闭默认共享 3. 修改共享权限 建立新的共享后立即修改 Everyone的缺省权限， 不让 Web服务器访问者得到不必要的权限。 4. 为系统管理员账号更名，避免非法用户攻 击。 3 Web服务器与操作系统 5. 禁用 TCP/IP 上的 NetBIOS 6. TCP/IP上对进站连接进行控制 鼠标右击桌面上 网络邻居 属性 本地连接 属 性 ，打开“本地连接属性”对话框。选择 Internet协议 (TCP/IP) 属性 高级 选项 ，在列表中单击选中 “ TCP/IP筛选”选项。单击 属性 按钮，选择“只允许”， 再单击 添加 按钮，只填入 80端口。 7. 修改注册表，减小拒绝服务攻击的风险。 打开注册表：将 HKLMSystemCurrentControlSetServicesTcpipPar ameters下的 SynAttackProtect的值修改为 2，使连接对超 时的响应更快。 4 SSL安全机制 IIS的身份认证除了匿名访问、基本验证和 Windows NT请求 /响应方式外，还有一种安 全性更高的认证：通过 SSL（ Security Socket Layer）安全机制使用数字证书。 4.1 SSL的概念 SSL（加密套接字协议层）位于 HTTP层和 TCP层 之间，建立用户与服务器之间的加密通信，确保所 传递信息的安全性。 SSL是工作在公共密钥和私人 密钥基础上的，任何用户都可以获得公共密钥来加 密数据，但解密数据必须要通过相应的私人密钥。 使用 SSL安全机制时，首先客户端与服务器建立连 接，服务器把它的数字证书与公共密钥一并发送给 客户端，客户端随机生成会话密钥，用从服务器得 到的公共密钥对会话密钥进行加密，并把会话密钥 在网络上传递给服务器，而会话密钥只有在服务器 端用私人密钥才能解密，这样，客户端和服务器端 就建立了一个惟一的安全通道。 4.2 SSL建立的步骤 启动 ISM并打开 Web站点的属性页； 选择“目录安全性”选项卡； 单击“密钥管理器”按钮； 通过密钥管理器生成密钥对文件和请求文件； 从身份认证权限中申请一个证书； 通过密钥管理器在服务器上安装证书； 激活 Web站点的 SSL安全性。 4.3 SSL的安全性能评价 建立了 SSL安全机制后，只有 SSL允许的客 户才能与 SSL允许的 Web站点进行通信，并 且在使用 URL资源定位器时，输入 https:/ ， 而不是 http:/ 。 SSL安全机制的实现，将增 大系统开销，增加了服务器 CPU的额外负担， 从而降低了系统性能，在规划时建议仅考虑 为高敏感度的 Web目录使用。另外， SSL客 户端需要使用 IE 3.0及以上版本才能使用。 5 使用 IIS Lockdown 一、注意事项 IIS Lockdown会改变 IIS的运行方式，因此很可能 与依赖 IIS某些功能的应用冲突。另外，在正式应 用 IIS Lockdown或 URLScan之前，务必搜索微 软的知识库，收集可能出现问题的最新资料。掌 握这些资料并了解其建议之后，再在测试服务器 上安装 IISLockdown，全面测试 Web应用需要的 IIS功能是否受到影响。最后，做一次全面的系统 备份，以便在系统功能受到严重影响时迅速恢复。 5.2 安装 将 iislockd.exe下载到一个临时目录。 打开控制台窗口，进入临时目录，执行命令 “ iislockd.exe /q /c /t:c:IISLockdown”解开压 缩， /q要求以“安静”模式操作， /c要求 IIS Lockdown只执行提取文件的操作，和 -t选项 一起使用， -t选项指定了要把文件解压缩到哪 一个目录 6 Web客户安全 IE插件安全 Java与 JavaScript安全 Cookies安全 ActiveX安全 7 网络钓鱼 发送电子邮件，以虚假信息引诱用户中圈套。 二是建立假冒网上银行、网上证券网站，骗取用户 账号密码实施盗窃。 利用虚假的电子商务进行诈骗。 利用木马和黑客技术等手段窃取用户信息后实施盗 窃活动。 跨站钓鱼 Windows特性惹的祸：危险的 HOSTS文件 系统升级补丁：骗子的鱼饵 7.1 远离钓鱼 一、针对电子邮件欺诈， 一是伪造发件人信息， 如 ABC； 二是问候语或开场白往往模仿被假冒单位的口吻和语气， 如“亲爱的用户”； 三是邮件内容多为传递紧迫的信息，如以账户状态将影 响到正常使用或宣称正在通过网站更新账号资料信息等； 四是索取个人信息，要求用户提供密码、账号等信息。 还有一类邮件是以超低价或海关查没品等为诱饵诱骗消 费者。 7.1 远离钓鱼 二、针对假冒网上银行、网上证券网站的情况 一是核对网址，看是否与真正网址一致； 二是选妥和保管好密码， 三是做好交易记录， 四是管好数字证书， 五是对异常动态提高警惕，如不小心在陌生的网址上输 入了账户和密码，并遇到类似“系统维护”之类提示时， 应立即拨打有关客服热线进行确认 六是通过正确的程序登录支付网关，通过正式公布的网 站进入，不要通过搜索引擎找到的网址或其他不明网站 的链接进入。 7.1 远离钓鱼 针对虚假电子商务信息的情况， 一是虚假购物、拍卖网站看上去都比较“正规”， 二是交易方式单一，消费者只能通过银行汇款的方式购 买，且收款人均为个人，而非公司，订货方法一律采用 先付款后发货的方式； 三是诈取消费者款项的手法如出一辙，当消费者汇出第 一笔款后，骗子会来电以各种理由要求汇款人再汇余款、 风险金、押金或税款之类的费用，否则不会发货， 四是在进行网络交易前，要对交易网站和交易对方的资 质进行全面了解 7.1 远离钓鱼 其他网络安全防范措施。 一是安装防火墙和防病毒软件，并经常升级； 二是注意经常给系统打补丁，堵塞软件漏洞； 三是禁止浏览器运行 JavaScript和 ActiveX代码； 四是不要上一些不太了解的网站，不要执行从网上下载 后未经杀毒处理的软件，不要打开 msn或者 QQ上传送过 来的不明文件等； 五是提高自我保护意识，注意妥善保管自己的私人信息， 如本人证件号码、账号、密码等，不向他人透露；尽量 避免在网吧等公共场所使用网上电子商务服务 8 间谍软件 当浏览器关闭时 (有时候甚至都没有连接到互 联网 )，会出现弹出广告。当打开浏览器时， 一个像 HotO的网站出现了，而不是 我们内部网的主页。 有最新的杀毒软件，并且没有发现病毒。使 用查杀间谍软件的工具“ SpyBot Search & Destroy ”进行扫描之后，发现一些不熟悉的 文件，删除这些文件。但是，这样并没有解 决这些问题。 8.1 如何防范间谍软件 Windows补丁一发布就要立即使用。 企业防火墙和基于本地软件的防火墙必须能够保护每一台 计算机。 IE浏览器的设置必须是非常安全的。 每台计算机至少安装两种间谍软件清除工具，如 Spybot - Search & Destroy和 Ad-Aware。 8.1 如何防范间谍软件 应该安装 Javacool软件公司的 SpywareBlaster软件，以阻止 已知的恶意 ActiveX控件在每一台计算机上运行。 每一台计算机应该安装一个好的杀毒软件。 杀毒软件、 SpywareBlaster和间谍软件清除程序必须不断更 新新的恶意软件的定义。 创建一个互联网安全使用行为规范的指南。例如，用户永远 不要点击弹出式广告，永远不要打开来源不明的电子邮件的 附件，一定要阅读要安装的软件中的细则。 FTP服务的安全性能 1 IIS中的 FTP服务 Windows 2000系统的 IIS5.0提供 了 FTP服务 功能，由于它的简单易用，与 Windows系统 本身结合紧密，深受广大用户的喜爱。但使 用 IIS5.0架设的 FTP服务器真的安全吗？它的 默认设置其实存在很多安全隐患，很容易成 为黑客们的攻击目标。 FTP安全性能的一些简单控制 一 取消匿名访问功能 二 启用日志记录 三 正确设置用户访问权限 四 启用磁盘配额 五 TCP/IP访问限制 六 合理设置组策略 1. 审核账户登录事件 在本地安全设置窗口中，依次展开“安全设置 本地策略 审核策略”， 然后在右侧的框体中找到“审核账户登录事件”项目 2. 增强账号密码的复杂性 账户锁定 创建 SSL证书 要想使用 Serv-U的 SSL功能，当然需要 SSL 证书的支持才行。虽然 Serv-U 在安装之时就 已经自动生成了一个 SSL证书，但这个默认 生成的 SSL证书在所有的 Serv-U服务器中都 是一样的，非常不安全，所以我们需要手工 创建一个新的 SSL证书。 启用 SSL功能 虽然为 Serv-U服务器创建了新的 SSL证书， 但默认情况下， Serv-U是没有启用 SSL功能 的，要想利用该 SSL证书，首先要启用 Serv- U的 SSL功能才行。 启用了 SSL功能后， Serv-U服务器使用的默 认端口号就不再是“ 21”了，而是“ 990” SSL应用 启用 Serv-U服务器的 SSL功能后，就可以利 用此功能安全传输数据了，但 FTP客户端程 序必须支持 SSL功能才行。