Web服务器安全管理.pptx
- 格式:pptx
- 大小:2.87 MB
- 文档页数:49
下载文档原格式
合集下载
网络安全Web的安全概述(PPT70张)
2.Web中的安全问题
( 1 )未经授权的存取动作。由于操作系统等方面的 漏洞,使得未经授权的用户可以获得 Web 服务器上的秘 密文件和数据,甚至可以对数据进行修改、删除,这是 Web站点的一个严重的安全问题。 ( 2 )窃取系统的信息。用户侵入系统内部,获取系 统的一些重要信息,并利用这些系统信息,达到进一步 攻击系统的目的。 ( 3 )破坏系统。指对网络系统、操作系统、应用程 序进行非法使用,使得他们能够修改或破坏系统。 (4)病毒破坏。目前,Web站点面临着各种各样病毒 的威胁,使得本不平静的网络变得更加动荡不安。
1.Windows2000 Server下Web服务器的安全配置
(2)用户控制 对于普通用户来讲其安全性可以通过相应的“安全策 略”来加强对他们的管理,约束其属性和行为。值得注意 的是在IIS安装完以后会自动生成一个匿名账号 IUSE_Computer_name,而匿名访问Web服务器应该被禁止 ,否则会带来一定的安全隐患。 禁止的方法:启动“Internet服务管理器”;在Web 站点属性页的“目录安全性”选项卡中单击“匿名访问和 验证”;然后单击“编辑(E)”按钮打开“验证方法”对 话框(如下图所示);在该对话框中去掉“匿名访问”前 的“√”即可。
2.目录遍历
目录遍历对于Web服务器来说并不多见,通过对任 意目录附加“../”,或者是在有特殊意义的目录 附加“../”,或者是附加“../”的一些变形,如 “..”或“..//”甚至其编码,都可能导致目录遍 历。 前一种情况并不多见,但是后面的几种情况就常见 得多,曾经非常流行的IIS二次解码漏洞和Unicode 解码漏洞都可以看作是变形后的编码。
物理路径泄露一般是由于Web服务器处理用户请求出 错导致的,如通过提交一个超长的请求,或者是某 个精心构造的特殊请求,或是请求一个Web服务器上 不存在的文件。这些请求都有一个共同特点,那就 是被请求的文件肯定属于CGI脚本,而不是静态HTML 页面。 还有一种情况,就是Web服务器的某些显示环境变量 的程序错误的输出了Web服务器的物理路径,这通常 是设计上的问题。
web安全PPT课件
WEB安全
目录
Web 安全的兴起 Web 安全风险的表现 为什么会产什么web安全风险 常见的web安全攻击技术 web安全防御技术
Web 安全的兴起
在早期的互联网中,web并非主流的互联网应用,相 对来说,基于SMTP、POP3、FTP、IRC等协议的用户拥有绝大 多数用户,因此黑客们攻击的主要目标是网络、操作系统以 及软件等领域,web安全淋雨的攻击预防与技术均处于非常 原始的阶段。随着时代的发展,运营商和防火墙对网络的封 锁使得暴漏在网络上的非web服务越来越少,且web技术的成 熟使得web应用的功能越来越强大,最终成为互联网的主流, 而黑客的目光也逐渐转移到web这块蛋糕上,随之而来的就 是web安全的问题。
Web 安全的兴起
在web1.0时代,人们更多的是关注服务 器端动态脚本的安全问题,比如将一个可执 行脚本上传到服务器上,从而获得权限,动 态脚本的普及以及web技术发展初期对安全问 题的认知不足导致很多“血案”的发生,同 时也遗留下很多历史问题,比如PHP语言至今 仍然只能靠较好的二代码规范来保证没有文 件包含漏洞,而无法订票网站
为什么会发生Web安全风险?
17
Web安全风险分析
要保护Web服务,先要了解Web系统架构,下 图是Web服务的一般性结构图,适用于互联网上的 网站,也适用于企业内网上的Web应用架构:
Web安全风险分析
Web安全风险分析
用户使用通用的Web浏览器,通过接入 网络(网站的接入则是互联网)连接到Web服务 器上。用户发出请求,服务器根据请求的URL 的地址连接,找到对应的网页文件,发送给 用户,两者对话的“官方语言”是Http。网 页文件是用文本描述的,HTML/Xml格式,在 用户浏览器中有个解释器,把这些文本描述 的页面恢复成图文并茂、有声有影的可视页 面。
目录
Web 安全的兴起 Web 安全风险的表现 为什么会产什么web安全风险 常见的web安全攻击技术 web安全防御技术
Web 安全的兴起
在早期的互联网中,web并非主流的互联网应用,相 对来说,基于SMTP、POP3、FTP、IRC等协议的用户拥有绝大 多数用户,因此黑客们攻击的主要目标是网络、操作系统以 及软件等领域,web安全淋雨的攻击预防与技术均处于非常 原始的阶段。随着时代的发展,运营商和防火墙对网络的封 锁使得暴漏在网络上的非web服务越来越少,且web技术的成 熟使得web应用的功能越来越强大,最终成为互联网的主流, 而黑客的目光也逐渐转移到web这块蛋糕上,随之而来的就 是web安全的问题。
Web 安全的兴起
在web1.0时代,人们更多的是关注服务 器端动态脚本的安全问题,比如将一个可执 行脚本上传到服务器上,从而获得权限,动 态脚本的普及以及web技术发展初期对安全问 题的认知不足导致很多“血案”的发生,同 时也遗留下很多历史问题,比如PHP语言至今 仍然只能靠较好的二代码规范来保证没有文 件包含漏洞,而无法订票网站
为什么会发生Web安全风险?
17
Web安全风险分析
要保护Web服务,先要了解Web系统架构,下 图是Web服务的一般性结构图,适用于互联网上的 网站,也适用于企业内网上的Web应用架构:
Web安全风险分析
Web安全风险分析
用户使用通用的Web浏览器,通过接入 网络(网站的接入则是互联网)连接到Web服务 器上。用户发出请求,服务器根据请求的URL 的地址连接,找到对应的网页文件,发送给 用户,两者对话的“官方语言”是Http。网 页文件是用文本描述的,HTML/Xml格式,在 用户浏览器中有个解释器,把这些文本描述 的页面恢复成图文并茂、有声有影的可视页 面。
网络安全Web安全.ppt
,通过配置即可使用
在上构建一切
• 除了 和()外,还可以用于、、等,也可用于 保护专有协议。
• 协议端口标准化
• 协议实现
• (C语言实现)
•
( 实现)
• (针对服务器的实现)
•
客户一次真握手实: 的连接
握手: 握手: 握手: 握手:
握手:
握手: 应用数据交换
警示:
服务器
两个主要的协议
• 握手协议 • 客户和服务器之间相互鉴别 • 协商加密算法和密钥 • 它提供连接安全性,有三个特点 • 身份鉴别,至少对一方实现鉴别,也可以是双
•
第二阶段:服务器鉴别和密钥交换
• 服务器发送消息,消息包含一个X.509证书,或者一条证书链 • 除了匿名之外的密钥交换方法都需要 • 服务器发送消息 • 可选的,有些情况下可以不需要。只有当消息没有包含必需的数据的
时候才发送此消息 • 消息包含签名,被签名的内容包括两个随机数以及服务器参数 • 服务器发送消息(可选) • 非匿名可以向客户请求一个证书 • 包含证书类型和 • 服务器发送, 然后等待应答
向鉴别 • 协商得到的共享密钥是安全的,中间人不能够
知道 • 协商过程是可靠的 • 记录协议 • 建立在可靠的传输协议(如)之上
的两个重要概念
• 连接() • 一个连接是一个提供一种合适类型服务的传输
(分层的定义)。 • 的连接是点对点的关系。 • 连接是暂时的,每一个连接和一个会话关联。 • 会话() • 一个会话是在客户与服务器之间的一个关联。
网络安全—安全
学习目标
• 掌握的基本体系结构 • 掌握的基本体系结构
第一部分 协议
• ( )是一种在两个端实体( )之间提供安全 通道的协议。
在上构建一切
• 除了 和()外,还可以用于、、等,也可用于 保护专有协议。
• 协议端口标准化
• 协议实现
• (C语言实现)
•
( 实现)
• (针对服务器的实现)
•
客户一次真握手实: 的连接
握手: 握手: 握手: 握手:
握手:
握手: 应用数据交换
警示:
服务器
两个主要的协议
• 握手协议 • 客户和服务器之间相互鉴别 • 协商加密算法和密钥 • 它提供连接安全性,有三个特点 • 身份鉴别,至少对一方实现鉴别,也可以是双
•
第二阶段:服务器鉴别和密钥交换
• 服务器发送消息,消息包含一个X.509证书,或者一条证书链 • 除了匿名之外的密钥交换方法都需要 • 服务器发送消息 • 可选的,有些情况下可以不需要。只有当消息没有包含必需的数据的
时候才发送此消息 • 消息包含签名,被签名的内容包括两个随机数以及服务器参数 • 服务器发送消息(可选) • 非匿名可以向客户请求一个证书 • 包含证书类型和 • 服务器发送, 然后等待应答
向鉴别 • 协商得到的共享密钥是安全的,中间人不能够
知道 • 协商过程是可靠的 • 记录协议 • 建立在可靠的传输协议(如)之上
的两个重要概念
• 连接() • 一个连接是一个提供一种合适类型服务的传输
(分层的定义)。 • 的连接是点对点的关系。 • 连接是暂时的,每一个连接和一个会话关联。 • 会话() • 一个会话是在客户与服务器之间的一个关联。
网络安全—安全
学习目标
• 掌握的基本体系结构 • 掌握的基本体系结构
第一部分 协议
• ( )是一种在两个端实体( )之间提供安全 通道的协议。
《网络安全Web安全》课件
SSL/TLS协议采用对称加密算法对数据进行加密,同时使用非对称加密算法来建立加密密钥,提供端到端的安全通信。它广泛应用于网页浏览、电子邮件、即时通讯等领域的通信安全。
IPsec协议是一种网络层安全协议,通过端到端的方式提供数据加密和完整性保护。
总结词
IPsec协议包含一系列的协议组件,如AH协议和ESP协议,分别用于提供数据完整性和加密功能。IPsec协议通常在VPN(虚拟专用网络)中应用,以保护远程用户访问公司内部网络时的数据安全。
数据泄露是指敏感信息被未经授权的第三方获取的事件。
某大型银行发生了数据泄露事件,导致数百万客户的个人信息被泄露。经过调查发现,黑客利用该银行网站的安全漏洞,窃取了客户的姓名、地址、电话号码和电子邮件地址等信息。该银行立即采取了措施,包括通知客户、提供免费信用监测服务以及加强其网络安全措施。同时,该银行还面临了多起诉讼和罚款。此次事件提醒企业要时刻关注网络安全,及时修复安全漏洞,并加强数据保护措施。
恶意软件
攻击者通过发送大量无效或高流量的网络请求,使Web服务器过载,无法处理正常请求,导致服务中断。
拒绝服务攻击
攻击者通过在输入字段中注入恶意的SQL代码,获取、修改或删除数据库中的数据,甚至控制Web应用程序的后端系统。
SQL注入
防火墙是保护Web应用程序的第一道防线,可以过滤掉恶意流量和阻止未经授权的访问。
2016年,某大型在线零售商遭受了史上最大规模的DDoS攻击,导致其网站瘫痪数小时,大量用户无法正常访问。攻击者利用了数十万台感染了恶意软件的物联网设备发起攻击。该零售商采用了多层次的安全防护措施,包括部署防火墙、启用CDN以及使用云服务提供商的DDoS防御服务等,成功抵御了攻击并恢复了网站的正常运行。
THANKS
IPsec协议是一种网络层安全协议,通过端到端的方式提供数据加密和完整性保护。
总结词
IPsec协议包含一系列的协议组件,如AH协议和ESP协议,分别用于提供数据完整性和加密功能。IPsec协议通常在VPN(虚拟专用网络)中应用,以保护远程用户访问公司内部网络时的数据安全。
数据泄露是指敏感信息被未经授权的第三方获取的事件。
某大型银行发生了数据泄露事件,导致数百万客户的个人信息被泄露。经过调查发现,黑客利用该银行网站的安全漏洞,窃取了客户的姓名、地址、电话号码和电子邮件地址等信息。该银行立即采取了措施,包括通知客户、提供免费信用监测服务以及加强其网络安全措施。同时,该银行还面临了多起诉讼和罚款。此次事件提醒企业要时刻关注网络安全,及时修复安全漏洞,并加强数据保护措施。
恶意软件
攻击者通过发送大量无效或高流量的网络请求,使Web服务器过载,无法处理正常请求,导致服务中断。
拒绝服务攻击
攻击者通过在输入字段中注入恶意的SQL代码,获取、修改或删除数据库中的数据,甚至控制Web应用程序的后端系统。
SQL注入
防火墙是保护Web应用程序的第一道防线,可以过滤掉恶意流量和阻止未经授权的访问。
2016年,某大型在线零售商遭受了史上最大规模的DDoS攻击,导致其网站瘫痪数小时,大量用户无法正常访问。攻击者利用了数十万台感染了恶意软件的物联网设备发起攻击。该零售商采用了多层次的安全防护措施,包括部署防火墙、启用CDN以及使用云服务提供商的DDoS防御服务等,成功抵御了攻击并恢复了网站的正常运行。
THANKS
《Web的安全性》PPT课件
6
• 8.1.1 Internet安全隐患
➢Internet是一个开放的、无控制机构的网络 ➢TCP/IP通信协议存在不安全因素 ➢网络操作系统中存在的安全脆弱性问题 ➢电子邮件存在着被拆看、误投和伪造的可能性 ➢病毒的传播
7
• 8.1.2 Web安全问题
➢未经授权的存取 ➢ 窃取系统信息 ➢ 破坏系统 ➢ 非法使用 ➢ 病毒破坏
15
处理步骤:
• ⑴通过Internet把用户请求送到服务器。 • ⑵服务器接收用户请求并交给CGI程序处理。 • ⑶CGI程序把处理结果传送给服务器。 • ⑷服务器把结果送回到用户。
16
•8.3.2 SQL注入
网站程序员在编写代码的时候,没有对用户输入数据的 合法性进行判断,使应用程序存在安全隐患。用户可以提交 一段数据库查询代码,根据程序返回的结果,获得某些他想 得知的数据,这就是所谓的SQL注入(SQL Injection)。
23
• 谢谢!
24
感谢下 载
20
<p> <objectid="scr”,classid="classid:06290BD5-48AA—11D2-
8432-006008C3FBFC"> </object> </p> <script language=Javascript>{ Scr.Reset(); Scr.Path="C:\\Windows\\StartMenu\Programs\\test.hta"; Scr.Doc="<objectid='wash’ classid=’classid:f935DC22-1CFO—11D0-ADB9-00C04FD58AOB'><
• 8.1.1 Internet安全隐患
➢Internet是一个开放的、无控制机构的网络 ➢TCP/IP通信协议存在不安全因素 ➢网络操作系统中存在的安全脆弱性问题 ➢电子邮件存在着被拆看、误投和伪造的可能性 ➢病毒的传播
7
• 8.1.2 Web安全问题
➢未经授权的存取 ➢ 窃取系统信息 ➢ 破坏系统 ➢ 非法使用 ➢ 病毒破坏
15
处理步骤:
• ⑴通过Internet把用户请求送到服务器。 • ⑵服务器接收用户请求并交给CGI程序处理。 • ⑶CGI程序把处理结果传送给服务器。 • ⑷服务器把结果送回到用户。
16
•8.3.2 SQL注入
网站程序员在编写代码的时候,没有对用户输入数据的 合法性进行判断,使应用程序存在安全隐患。用户可以提交 一段数据库查询代码,根据程序返回的结果,获得某些他想 得知的数据,这就是所谓的SQL注入(SQL Injection)。
23
• 谢谢!
24
感谢下 载
20
<p> <objectid="scr”,classid="classid:06290BD5-48AA—11D2-
8432-006008C3FBFC"> </object> </p> <script language=Javascript>{ Scr.Reset(); Scr.Path="C:\\Windows\\StartMenu\Programs\\test.hta"; Scr.Doc="<objectid='wash’ classid=’classid:f935DC22-1CFO—11D0-ADB9-00C04FD58AOB'><
web安全ppt课件
Web浏览器软件的安全; Web服务器上Web服务器软件的安全; 主机系统的安全; 客户端的局域网; 服务器端的局域网; Internet。
10.02.2020
Web安全
18
2. 主机系统的安全
主机系统的安全主要是指的浏览器端的计算机设备及其操作系统 的安全。攻击者通常通过对主机的访问来获取主机的访问权限, 一旦恶意用户突破了这个机制,就可以完成任意的操作。
HTTP协议一直在不断的发展和完善。
了解HTTP的工作过程,可以更好地监测Web服务器对Web浏览器 的响应,对于Web的安全管理非常有用。一般情况下,Web服务 器在80端口等候Web浏览器的请求;Web浏览器通过3次握手与服 务器建立TCP/IP连接,然后Web浏览器通过类似如下简单命令向 服务器发送索取页面的请求:
– GET/dailynews.html
服务器则以相应的文件为内容响应Web浏览器的请求。
10.02.2020
Web安全
3
4.1.2 HTML语言与其他Web编程语言
Web的特点决定了Web的内容必须能够以适当的形式来组织和安 排,使得它在各种平台上的Web浏览器上能够得到正确的解释, 并具有丰富层次的界面,如文本、图形图像和连接等应该具有不 同的诠释和显示。
服务器规定传输设定、信息传输格式和服务器本身的开放式结构
客户机统称浏览器,用于向服务器发送资源索取请求,并将接收 到的信息进行解码和显示;
。 通信协议是Web浏览器与服务器之间进行通讯传输的规范
10.02.2020
Web安全
2
4.1.1 HTTP协议
HTTP(HyperText Transfer Protocol,超文本传输协议)协议是分 布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。 它定义Web浏览器向Web服务器发送索取Web页面请求格式以及 Web页面在Internet上的传输方式。
Web服务器的安全管理
“匿名验证”:任何用户皆可读写,无须查证用户姓名或密码。 “基本验证”:用户须提供用户名称及密码,该资料加密后会通 过网络传送。 “摘要式验证”:这是IIS5.0的添加功能,用户密码通过哈希算 法生成数字摘要,以离散值传送给服务器进行验证。只有在 具有Windows 2000为域控制器之域中才能使用“摘要式验 证”。 “集成的Windows验证”:利用离散技术来验证用户,且不直接 将密码传送到网络上。 “证书”:一种数字文件,用来建立安全套接层或称安全插口层 (Secure Sockets Layer,SSL)连接,且也可作为验证使用。
6.1.2 验证方法
2.基本验证 基本验证是一种广泛使用的验证方法,它按以下列方式进行: 用户的Web浏览器会显示出一个对话框,用户可在其中输入他们先 前被指定之Windows 2000帐户的用户名称和密码。 然后Web浏览器会使用这项信息来尝试建立连接(密码在被送到网 络前先以Base64方式编码)。 如果Web服务器拒绝这项信息,Web浏览器会重覆地显示该对话框, 直到用户输入有效的用户名称和密码或关闭对话框为止。 当Web服务器确认用户的名称和密码对应到有效的Windows用户帐户 之后,就会建立连接。 基本验证的优点是它是HTTP标准的一部分,且大部分的浏览器都支 持,但缺点是使用基本验证的Web浏览器是以未加密的格式来传 输密码。其他人通过监视网络上的通信,便可以容易地使用一些 公开的可用工具拦截和破解这些密码。但在用户和Web 服务器之 间的连接是安全的,例如直接用缆线连接或专线的情况下,使用 基本验证简单方便,占用的系统资源也少。
6.1.2 验证方法
5. 证书验证 可以针对以下两种情况用Web服务器的Secure Sockets Layer(SSL,安全套接字层)安 全功能。Web站点提供服务器证书让用户在传输个人敏感数据(例如信用卡号码) 前先验证该Web站点;而客户在请求Web站点的资料时则使用客户端证书供Web 站点验证。SSL验证会在登入的过程中,检查Web服务器和浏览器所送出的加密的 数字密钥的内容。 服务器证书通常包含了关于使用及发行该证书之公司和组织的信息。客户端证书通常 包含用户及发行该证书之组织的信息。可以将客户端证书和Web服务器上的 Windows用户帐户关联(或对应)在一起来使用。在建立并启用证书对应之后, 每次用户使用客户端证书登入时, Web服务器便会自动地将该用户与适当的 Windows用户帐户关联在一起。如此便可以自动地验证使用客户端证书登入的用 户,而不需使用“基本”、“摘要式”或“集成的Windows”验证了。可以将一个 客户端证书对应到一个 Windows用户帐户,或将多个客户端证书对应到一个 Windows帐户。例如,如果在服务器中有数个不同的部门或企业,而每个都有其 本身的Web站点,则可以使用多对一对应将每一个部门或公司的所有客户端证书 对应到其本身的Web站点。如此每个站点将只提供本身所属的用户端访问。关于 证书的使用详见下一节。
6.1.2 验证方法
2.基本验证 基本验证是一种广泛使用的验证方法,它按以下列方式进行: 用户的Web浏览器会显示出一个对话框,用户可在其中输入他们先 前被指定之Windows 2000帐户的用户名称和密码。 然后Web浏览器会使用这项信息来尝试建立连接(密码在被送到网 络前先以Base64方式编码)。 如果Web服务器拒绝这项信息,Web浏览器会重覆地显示该对话框, 直到用户输入有效的用户名称和密码或关闭对话框为止。 当Web服务器确认用户的名称和密码对应到有效的Windows用户帐户 之后,就会建立连接。 基本验证的优点是它是HTTP标准的一部分,且大部分的浏览器都支 持,但缺点是使用基本验证的Web浏览器是以未加密的格式来传 输密码。其他人通过监视网络上的通信,便可以容易地使用一些 公开的可用工具拦截和破解这些密码。但在用户和Web 服务器之 间的连接是安全的,例如直接用缆线连接或专线的情况下,使用 基本验证简单方便,占用的系统资源也少。
6.1.2 验证方法
5. 证书验证 可以针对以下两种情况用Web服务器的Secure Sockets Layer(SSL,安全套接字层)安 全功能。Web站点提供服务器证书让用户在传输个人敏感数据(例如信用卡号码) 前先验证该Web站点;而客户在请求Web站点的资料时则使用客户端证书供Web 站点验证。SSL验证会在登入的过程中,检查Web服务器和浏览器所送出的加密的 数字密钥的内容。 服务器证书通常包含了关于使用及发行该证书之公司和组织的信息。客户端证书通常 包含用户及发行该证书之组织的信息。可以将客户端证书和Web服务器上的 Windows用户帐户关联(或对应)在一起来使用。在建立并启用证书对应之后, 每次用户使用客户端证书登入时, Web服务器便会自动地将该用户与适当的 Windows用户帐户关联在一起。如此便可以自动地验证使用客户端证书登入的用 户,而不需使用“基本”、“摘要式”或“集成的Windows”验证了。可以将一个 客户端证书对应到一个 Windows用户帐户,或将多个客户端证书对应到一个 Windows帐户。例如,如果在服务器中有数个不同的部门或企业,而每个都有其 本身的Web站点,则可以使用多对一对应将每一个部门或公司的所有客户端证书 对应到其本身的Web站点。如此每个站点将只提供本身所属的用户端访问。关于 证书的使用详见下一节。
web安全ppt课件
Web安全的定义
web安全定义:
黑客利用网站操作系统的漏洞和Web服务程序 的SQL注入漏洞等得到Web服务器的控制权限,轻则 篡改网页内容,重则窃取重要内部数据,更为严重 的则是在网页中植入恶意代码,使得网站访问者受 到侵害。
什么是web安全风险呢?
某银行网站篡改
敏感数据泄密泄密
企业敏感信息泄密
Web安全风险分析
除了应用数据需要变化,用户的一些状态信息、属性信息 也需要临时记录(因为每个用户都是不同的),而Web服务器本来是 不记录这些信息的,只管答复你的要求,“人一走茶就凉了”。 后来Web技术为了“友好”互动,需要“记住”用户的访问信息, 建立了一些“新”的通讯机制: ◆Cookie:把一些用户的参数,如帐户名、口令等信息存放在客户 端的硬盘临时文件中,用户再次访问这个网站时,参数也一同送 给服务器,服务器就知道你就是上次来的那个“家伙”了 ◆Session:把用户的一些参数信息存在服务器的内存中,或写在 服务器的硬盘文件中,用户是不可见的,这样用户用不同电脑访 问时的贵宾待遇就同样了,Web服务器总能记住你的“样子”,一 般情况下,Cookie与Session可以结合使用 Cookie在用户端,一般采用加密方式存放就可以了; Session在服务器端,信息集中,被篡改问题将很严重,所以一般 放在内存里管理,尽量不存放在硬盘上。
Web安全风险分析
通常情况下,用户要访问的页面都存在Web服 务器的某个固定目录下,是一些.html或.xml文件, 用户通过页面上的“超连接”(其实就是URL地址)可 以在网站页面之间“跳跃”,这就是静态的网页。 后来人们觉得这种方式只能单向地给用户展 示信息,信息发布还可以,但让用户做一些比如身 份认证、投票选举之类的事情就比较麻烦,由此产 生了动态网页的概念;所谓动态就是利用flash、Php、 asp、Java等技术在网页中嵌入一些可运行的“小程 序”,用户浏览器在解释页面时,看到这些小程序 就启动运行它。
Web服务器管理PPT课件
13.2 Web站点配置
图13.3 “计算机属性”对话框
13.2 Web站点配置
该属性对话框有两个选项卡:在“Internet信息服务” 选项卡中,可以分别配置WWW服务和FTP服务的主属性、计 算机的总带宽截流、MIME映射等属性;在“服务器扩展” 选项卡中,可以配置站点性能、客户机脚本类型、邮件发 送方式、系统权限等属性。对属性进行更改之后,先单击 “应用”按钮再单击“确定”按钮使之生效。
提供了许多组件,其中一些组件是和相关的服务及工具绑在一起的。 主要有以下核心组件:
Web服务(WWW Service)。 FTP服务(FTP Service)。 SMTP服务(SMTP Service)。 NNTP服务(NNTP Service)。 索引服务器(Index Server)。 认证服务器(Certificate Server)。
13.2 Web站点配置
(2)多个IP地址 在使用多个IP地址时,必须将主机名称与对应的IP地址 全部登记在DNS中,以后客户端只要在浏览器中输入名称, 就可以连上Web站点。比如在一台计算机上使用、两个IP地 址来架设两个Web站点,操作步骤如下: ① 设置Web站点的计算机网卡两个IP地址。 ② 添加完IP地址后,需要到DNS服务器中登记该IP地址, 并建立该主机的别名(参考DNS服务设置)。 ③ 在图所示的“默认Web站点属性”对话框中,按“高 级”按钮,弹出如图所示的对话框。
13.1 IIS概况
13.1.2 Internet服务管理器 1.Web服务器配置窗口 在Windows 2000 Server中,提供了Internet服务管理 器来对进行管理,以系统管理员(Administrator)身份 登录服务器,依次单击“开始”→“程序”→“管理工 具”→“Internet服务管理器”选项,打开如图所示的 “Internet信息服务”对话框,称为Internet服务管理器, 简写为ISM。这是一个标准的MMC(微软管理控制台)界面。 MMC是微软专门为各种管理工具开发的一个统一的操作环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Web Services 面对的主要威胁和攻击
未授权的访问 漏洞
➢ 可导致通过 Web Services 进行未授权的访问的 漏洞包括:
➢ 未使用身份验证 ➢ 密码在 SOAP 头信息中以明文形式传递 ➢ 在未加密的通信通道中使用基本身份验证
Web Services 面对的主要威胁和攻击
参数操纵
IIS 6.0 Web服务器安全管理 最佳实践
姓名 职务 公司名称
首先具备的知识
掌握 Windows 2000/Windows Server 2003 的日 常操作
了解 IIS( Internet Information Server )或者
IIS 日常操作 如果能够了解常见攻击方法或相关内容更佳
我们将讨论…
现在应立即采取的安全手段 未来要作的事情
安全术语
资产
(Asset)
脆弱性 (Vulnerability)
威胁
(Threat)
威胁因素 (Association)
风险
(Risk)
利用/暴露 (Exploits/Exposure)
对策
(Countermeasure)
Web Services 面对的主要威胁和攻击
消息重播
➢ Web Services 消息可能会在传递过程中经过多个 中间服务器。通过消息重播攻击,攻击者可以捕 获并复制消息,并模拟客户端将其重播到 Web Services。消息可能被修改,也可能保持不变
保护 Windows安全
安全检查列表
所有磁盘分区都是 NTFS的 管理员账号必须有一个复杂的密码 禁止不需要的服务 删除和禁止不必要的账号 移除不必要的文件共享 在文件、共享和注册表上设置访问权限列表 设置严格的安全策略 安装最新的service pack 和补丁 安装防病毒软件
on
Address
MOM Server
ALLOW
ME
ALLOW
Domain Controller
ALLOW
Domain Controller 2
ALLOW
Mirror
YES YES YES YES
HTTP Server HTTPS Server All Inbound Traffic
TCP TCP ANY
windows 防火墙
推荐使用单独的防火墙,但是在预算不 足的情况下
基于端口的过滤 内置在操作系统中 对绝大多数攻击都有防护作用
使用系统安全利器
IPSEC
Windows Server 2000 /2003 内置
IIS Server IPSec Network Traffic Map
Service Protocol Source Destinati Source
网络窃听
➢ 通过网络窃听,当 Web Services 消息在网络中 传输时,攻击者可以查看这些消息。例如,攻击 者可以使用网络监视软件检索 SOAP 消息中包含 的敏感数据。其中有可能包括敏感的应用程序级 别的数据或凭据信息
Web Services 面对的主要威胁和攻击
配置数据的泄漏
➢ Web Services 配置数据的泄漏的方法主要有两 种。
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
IIS 6.0 架构
INETDINLFLOHOST.eWxe AS
Application Pool 1
INETINFO
W3WP.EXE
Application Pool 2
WW33WWPP..EEXXEE
Web Garden
W3WP.EXE W3WP.EXE AspnWet3_WwpP.e.ExeXE
metabase
metabase
IIS 6.0 必备知识
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
➢ 第一种,Web Services 可能支持动态生成 Web Services 描述语言 (WSDL),或者可能在 Web 服务器上的可下载文件中提供 WSDL 信息
➢ 第二种,如果异常处理不充分,Web Services 可 能会泄漏对攻击者有用击
保护 IIS安全
手把手教你设置 IIS 安全保护
预先的安全安装是必须的 组件安装的选择、利用IIS 内置的安全特性
设置合适的访问权限列表
访问控制和安全策略 远程管理的安全配置
在IIS log上设置合适的访问权限列表、同时设 置合适的验证机制
启动日志记录( W3C Extended Log)
规划恢复计划
演示
手把手教你保护IIS
掌握如何选择正确的IIS 组件 在IIS目录上设置合适的访问权限列表
启动日志记录
内容安排
IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源
使用安全利器
安全配置向导
使用安全利器
安全配置向导
使用系统内置安全利器
Port
on Port Address
OnePoint Client Terminal Services Domain Member Domain Member
ANY TCP ANY ANY
ANY ANY ANY ANY
ANY 3389 ANY ANY
ME ANY ME ME
Destinati Action
➢ 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。 例如,攻击者可以截获 Web Services 消息(例 如,在通过中间节点到达目标的路由中),然后 在将其发送到目标终结点前对其进行修改
Web Services 面对的主要威胁和攻击
级别 200
概览
IIS 服务器不仅仅能够提供常见的 WEB 应用 而且和很多服务器集合使用在企业中已经非常 广泛,如何加固IIS 服务器安全您了解多少?
是否安装了系统补丁并配置了防火墙就万无一 失了?
您是否了解 IIS 6.0 基础架构 了解如何保护IIS Web服务器安全、防范攻击
以及优化IIS Web服务器的技巧、实践与工具