WEB服務(wù)安全配置與SSL協(xié)議ppt課件

1、WEB服務(wù)安全配置與服務(wù)安全配置與SSL協(xié)議協(xié)議1)IIS的安全配置的安全配置2)利用利用SSL實(shí)現(xiàn)安全的實(shí)現(xiàn)安全的WEB傳輸服務(wù)傳輸服務(wù)實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)?zāi)康?、掌握、掌握IIS的安全配置的安全配置2、了解、了解windows CA證書服務(wù)器的配置與功能證書服務(wù)器的配置與功能3、掌握、掌握SSL的原理和安裝配置的原理和安裝配置SSL站點(diǎn)的操作站點(diǎn)的操作實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)內(nèi)容一、一、IIS-web服務(wù)的安全配置服務(wù)的安全配置:1)安裝安裝IIS，默認(rèn)目錄改為，默認(rèn)目錄改為e:/myweb，并創(chuàng)建主頁(yè)文檔，并創(chuàng)建主頁(yè)文檔index.htm;2)設(shè)置本設(shè)置本web站點(diǎn)只能由站點(diǎn)只能由/2

2、4的主機(jī)訪問的主機(jī)訪問;3)設(shè)置本設(shè)置本web站點(diǎn)或站點(diǎn)子目錄只能由用戶站點(diǎn)或站點(diǎn)子目錄只能由用戶student訪問訪問;4)設(shè)置設(shè)置web日志為日志為w3c格式，擴(kuò)充屬性增加主機(jī)、發(fā)送和接格式，擴(kuò)充屬性增加主機(jī)、發(fā)送和接收字節(jié)等；收字節(jié)等； 另設(shè)置另設(shè)置web日志為日志為ncsa格式，比較與格式，比較與w3c格式有何不同。格式有何不同。二、配置二、配置ssl站點(diǎn)站點(diǎn),實(shí)現(xiàn)安全的實(shí)現(xiàn)安全的web傳輸傳輸:1)安裝配置好安裝配置好Windows2000 證書服務(wù)證書服務(wù)A (ip地址地址: ipa);2)在在IIS-web服務(wù)器服務(wù)器B上上(ip為為ipb),準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求

3、信息(certreq.txt): Internet 服務(wù)管理器服務(wù)管理器web站點(diǎn)屬性站點(diǎn)屬性目錄安全性目錄安全性 服服務(wù)器證書務(wù)器證書3)訪問訪問ipa/certsrv/， 提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)(申請(qǐng)證書申請(qǐng)證書 高級(jí)申高級(jí)申請(qǐng)請(qǐng));4)由證書服務(wù)器由證書服務(wù)器A審查證書申請(qǐng)和頒發(fā)證書；審查證書申請(qǐng)和頒發(fā)證書；5)訪問訪問ipa/certsrv/，下載已頒發(fā)的證書，下載已頒發(fā)的證書(certnew.cer) 6)在在IIS-web服務(wù)器服務(wù)器B上安裝證書上安裝證書,使該站點(diǎn)變?yōu)槭乖撜军c(diǎn)變?yōu)镾SL站點(diǎn)站點(diǎn)7)用用https協(xié)議實(shí)現(xiàn)協(xié)議實(shí)現(xiàn)web數(shù)據(jù)的安全瀏覽數(shù)據(jù)的安全瀏覽(httpsipb

4、)8)嘗試使用網(wǎng)絡(luò)監(jiān)視器、嘗試使用網(wǎng)絡(luò)監(jiān)視器、sniffer等抓包工具捕獲等抓包工具捕獲 www通訊通訊的數(shù)據(jù)包，注意觀察的數(shù)據(jù)包，注意觀察ssl web站點(diǎn)與普通站點(diǎn)與普通web站點(diǎn)的不同站點(diǎn)的不同思考問題思考問題1)IIS的日志文件一般存在什么地方，有什么作用？的日志文件一般存在什么地方，有什么作用？2)簡(jiǎn)述簡(jiǎn)述ssl的原理，的原理，ssl的端口號(hào)一般為多少？的端口號(hào)一般為多少？3)比較比較ssl的的web站點(diǎn)與普通站點(diǎn)與普通web站點(diǎn)的區(qū)別，可從站點(diǎn)的區(qū)別，可從服務(wù)器設(shè)置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。服務(wù)器設(shè)置、客戶端訪問、數(shù)據(jù)傳輸安全等方面敘述。4)想一想想一想windows

5、2000證書服務(wù)器的主要功能。證書服務(wù)器的主要功能。5)IIS6.0與與IIS5.0比較在安全方面有那些增強(qiáng)比較在安全方面有那些增強(qiáng)?參考資料用用SSL加密增強(qiáng)加密增強(qiáng)FTP服務(wù)器的安全性服務(wù)器的安全性在在IIS上面布置上面布置SSL實(shí)現(xiàn)實(shí)現(xiàn)web安全通信安全通信用用SSL增強(qiáng)增強(qiáng)IIS安全性的原理和實(shí)現(xiàn)過程安全性的原理和實(shí)現(xiàn)過程 資料在網(wǎng)上查找應(yīng)用應(yīng)用NTFS文件系統(tǒng)文件系統(tǒng),合理配置權(quán)限合理配置權(quán)限修改默認(rèn)目錄修改默認(rèn)目錄C:/Inetpub共享權(quán)限的修改共享權(quán)限的修改 為系統(tǒng)管理員賬號(hào)更名為系統(tǒng)管理員賬號(hào)更名 廢止廢止TCP/IP上的上的NetBIOS 善用安全策略和善用安全策略和web

6、日志審計(jì)日志審計(jì)定期打補(bǔ)丁升級(jí)定期打補(bǔ)丁升級(jí) 設(shè)置設(shè)置IIS的安全機(jī)制：的安全機(jī)制：安裝時(shí)應(yīng)注意的安全問題安裝時(shí)應(yīng)注意的安全問題避免安裝在主域控制器上避免安裝在主域控制器上 避免安裝在系統(tǒng)分區(qū)上避免安裝在系統(tǒng)分區(qū)上 用戶控制的安全性用戶控制的安全性匿名用戶匿名用戶 一般用戶一般用戶 登錄認(rèn)證的安全性登錄認(rèn)證的安全性匿名訪問匿名訪問 基本驗(yàn)證基本驗(yàn)證Windows集成驗(yàn)證集成驗(yàn)證 設(shè)置設(shè)置IIS的安全機(jī)制：的安全機(jī)制：訪問權(quán)限控制訪問權(quán)限控制 文件夾和文件的訪問權(quán)限文件夾和文件的訪問權(quán)限 WWW目錄的訪問權(quán)限目錄的訪問權(quán)限 IP地址的控制地址的控制 端口安全性的實(shí)現(xiàn)端口安全性的實(shí)現(xiàn)IP轉(zhuǎn)發(fā)的安全

7、性轉(zhuǎn)發(fā)的安全性 SSL安全機(jī)制安全機(jī)制 日志所在目錄：日志所在目錄： C:WINNTsystem32LogFilesW3SVC1 通用日志格式針對(duì)每一個(gè)通用日志格式針對(duì)每一個(gè)Web請(qǐng)求生成一行請(qǐng)求生成一行紀(jì)錄，記錄以空格作為分隔，包括如下內(nèi)容：紀(jì)錄，記錄以空格作為分隔，包括如下內(nèi)容： remotehos rfc931 authuserdate requeststatusbytesvSSL作為作為Web安全性解決方案安全性解決方案2019年由年由Netscape公司提出公司提出vSSL已經(jīng)作為事實(shí)上的標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納已經(jīng)作為事實(shí)上的標(biāo)準(zhǔn)被眾多網(wǎng)絡(luò)產(chǎn)品提供商采納v SSLSecurit

8、y Socket Layer全稱是加密套接字協(xié)全稱是加密套接字協(xié)議層，它位于議層，它位于HTTP協(xié)議層和協(xié)議層和TCP協(xié)議層之間，用于建立用戶協(xié)議層之間，用于建立用戶與服務(wù)器之間的加密通信，確保所傳遞信息的安全性，同時(shí)與服務(wù)器之間的加密通信，確保所傳遞信息的安全性，同時(shí)SSL安全機(jī)制是依靠數(shù)字證書來實(shí)現(xiàn)的。安全機(jī)制是依靠數(shù)字證書來實(shí)現(xiàn)的。SSL基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密基于公用密鑰和私人密鑰，用戶使用公用密鑰來加密數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應(yīng)的私人密鑰。使用數(shù)據(jù)，但解密數(shù)據(jù)必須使用相應(yīng)的私人密鑰。使用SSL安全機(jī)安全機(jī)制的通信過程如下：用戶與制的通信過程如下：用戶與IIS服

9、務(wù)器建立連接后，服務(wù)器會(huì)服務(wù)器建立連接后，服務(wù)器會(huì)把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會(huì)話密鑰，并把數(shù)字證書與公用密鑰發(fā)送給用戶，用戶端生成會(huì)話密鑰，并用公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器用公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了一端用私人密鑰進(jìn)行解密，這樣，用戶端和服務(wù)器端就建立了一條安全通道，只有條安全通道，只有SSL允許的用戶才能與允許的用戶才能與IIS服務(wù)器進(jìn)行通信。服務(wù)器進(jìn)行通信。 SSL網(wǎng)站不同于一般的網(wǎng)站不同于一般的Web站點(diǎn)，它使用的是站點(diǎn)，它使用的是“HTTPS協(xié)協(xié)議，而不是普通的議，而不

10、是普通的“協(xié)議。因此它的協(xié)議。因此它的URL統(tǒng)一資源定位器統(tǒng)一資源定位器格式為格式為“https網(wǎng)站域名網(wǎng)站域名”。SSLSSL原理原理SSLSSL原理原理瀏覽器請(qǐng)求與瀏覽器請(qǐng)求與WWW服務(wù)器建立安全會(huì)話服務(wù)器建立安全會(huì)話WWW服務(wù)器將自己的公鑰發(fā)給瀏覽器服務(wù)器將自己的公鑰發(fā)給瀏覽器WWW服務(wù)器與瀏覽器協(xié)商密鑰位數(shù)服務(wù)器與瀏覽器協(xié)商密鑰位數(shù)40位或位或128位）位）瀏覽器產(chǎn)生會(huì)話使用的秘密密鑰，并用瀏覽器產(chǎn)生會(huì)話使用的秘密密鑰，并用WWW服務(wù)器的公鑰加密傳給服務(wù)器的公鑰加密傳給WWW服務(wù)器服務(wù)器WWW服務(wù)器用自己的私鑰解密服務(wù)器用自己的私鑰解密WWW服務(wù)器和瀏覽器用會(huì)話密鑰加密和解密，實(shí)現(xiàn)加密

11、傳輸服務(wù)器和瀏覽器用會(huì)話密鑰加密和解密，實(shí)現(xiàn)加密傳輸利用利用SSL實(shí)現(xiàn)安全的實(shí)現(xiàn)安全的WEB傳輸服務(wù)傳輸服務(wù)1)安裝證書服務(wù)器安裝證書服務(wù)器 2)申請(qǐng)證書申請(qǐng)證書(準(zhǔn)備請(qǐng)求信息準(zhǔn)備請(qǐng)求信息提交申請(qǐng)?zhí)峤簧暾?qǐng))3)審查頒發(fā)證書審查頒發(fā)證書 4)下載頒發(fā)的證書下載頒發(fā)的證書5)在在IIS-WEB服務(wù)器上安裝證書服務(wù)器上安裝證書,使該站點(diǎn)變?yōu)槭乖撜军c(diǎn)變?yōu)镾SL站點(diǎn)站點(diǎn)6)用用https協(xié)議實(shí)現(xiàn)協(xié)議實(shí)現(xiàn)web數(shù)據(jù)的安全瀏覽數(shù)據(jù)的安全瀏覽安裝證書管理軟件和服務(wù)安裝證書管理軟件和服務(wù)1 1）windows2000windows2000公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKIPKI和認(rèn)證機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)CA CA 圖中給

12、出了組成圖中給出了組成Windows 2000 PKI的基本邏輯組件，其中最的基本邏輯組件，其中最核心的為微軟證書服務(wù)系統(tǒng)核心的為微軟證書服務(wù)系統(tǒng)Microsoft Certificate Services），），它允許用戶配置一個(gè)或多個(gè)企業(yè)它允許用戶配置一個(gè)或多個(gè)企業(yè)CA，這些，這些CA支持證書的發(fā)放和廢支持證書的發(fā)放和廢除，并與活動(dòng)目錄和策略配合，共同完成證書和廢除信息的發(fā)布。除，并與活動(dòng)目錄和策略配合，共同完成證書和廢除信息的發(fā)布。 windows2000windows2000公鑰基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKIPKI和認(rèn)證機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)CACAWindows 2000 PKI其基本組件包括如

13、下幾種：其基本組件包括如下幾種： 1)證書服務(wù)證書服務(wù)(Certificate Services）:證書服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)證書服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，允許組織和企業(yè)建立自己的服務(wù)，允許組織和企業(yè)建立自己的CA系統(tǒng)，并發(fā)布和管理數(shù)字證書。系統(tǒng)，并發(fā)布和管理數(shù)字證書。 2) 活動(dòng)目錄活動(dòng)目錄:活動(dòng)目錄服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，提供了查找活動(dòng)目錄服務(wù)作為一項(xiàng)核心的操作系統(tǒng)級(jí)服務(wù)，提供了查找網(wǎng)絡(luò)資源的唯一位置，在網(wǎng)絡(luò)資源的唯一位置，在PKI中為證書和中為證書和CRL等信息提供發(fā)布服務(wù)。等信息提供發(fā)布服務(wù)。 3) 基于基于PKI的應(yīng)用的應(yīng)用:Windows 本身提供了許多基于

14、本身提供了許多基于PKI的應(yīng)用，如的應(yīng)用，如Internet Explorer、Microsoft Money、Internet Information Server、Outlook和和Outlook Express等。另外，一些其它第三方等。另外，一些其它第三方PKI應(yīng)用也同樣可以建立應(yīng)用也同樣可以建立在在Windows 2000 PKI基礎(chǔ)之上?；A(chǔ)之上。 4) Exchange密鑰管理服務(wù)密鑰管理服務(wù)KMSExchange Key Management ServiceKMS是是Microsoft Exchange提供的一項(xiàng)服務(wù)，允許應(yīng)用存儲(chǔ)和獲取用于提供的一項(xiàng)服務(wù)，允許應(yīng)用存儲(chǔ)和獲取用于

15、加密加密e-mail的密鑰。在將來版本的的密鑰。在將來版本的Windows系統(tǒng)中，系統(tǒng)中，KMS將作為將作為Windows操作系統(tǒng)的一部分來提供企業(yè)級(jí)的操作系統(tǒng)的一部分來提供企業(yè)級(jí)的KMS服務(wù)。服務(wù)。 Windows 2000中的集成中的集成PKI系統(tǒng)提供了證書服務(wù)功能，可以讓用戶系統(tǒng)提供了證書服務(wù)功能，可以讓用戶通過通過Internet/ extranets/ intranets安全地交互敏感信息。證書服務(wù)驗(yàn)證一安全地交互敏感信息。證書服務(wù)驗(yàn)證一個(gè)電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額個(gè)電子商務(wù)交易中參與各方的有效性和真實(shí)性，并使用智能卡等提供的額外安全措施來使域用戶

16、登錄到某個(gè)域。外安全措施來使域用戶登錄到某個(gè)域。 Windows 2000通過創(chuàng)建一個(gè)證書機(jī)構(gòu)通過創(chuàng)建一個(gè)證書機(jī)構(gòu)CA來管理其公鑰基礎(chǔ)設(shè)施來管理其公鑰基礎(chǔ)設(shè)施PKI，以提供證書服務(wù)。一個(gè)，以提供證書服務(wù)。一個(gè)CA通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性通過發(fā)布證書來確認(rèn)用戶公鑰和其他屬性的綁定關(guān)系，以提供對(duì)用戶身份的證明。的綁定關(guān)系，以提供對(duì)用戶身份的證明。Windows 2000證書服務(wù)創(chuàng)建的證書服務(wù)創(chuàng)建的CA可以接收證書請(qǐng)求、驗(yàn)證請(qǐng)求信息和請(qǐng)求者身份、發(fā)行和撤銷證書，可以接收證書請(qǐng)求、驗(yàn)證請(qǐng)求信息和請(qǐng)求者身份、發(fā)行和撤銷證書，以及發(fā)布證書廢除列表以及發(fā)布證書廢除列表CRLCertificate

17、 Revocation List）。證書服務(wù)）。證書服務(wù)是通過內(nèi)置的證書管理單元來實(shí)現(xiàn)的。是通過內(nèi)置的證書管理單元來實(shí)現(xiàn)的。安裝證書管理軟件和服務(wù)安裝證書管理軟件和服務(wù)2 2）安裝證書管理軟件和服務(wù)安裝證書管理軟件和服務(wù)3 3）安裝證書管理軟件和服務(wù)安裝證書管理軟件和服務(wù)4 4）安裝證書管理軟件和服務(wù)安裝證書管理軟件和服務(wù)5 5）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息1 1）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息2 2）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息3 3）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息4 4）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息5 5）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息6 6）準(zhǔn)備一個(gè)證書請(qǐng)求信息準(zhǔn)備一個(gè)證書請(qǐng)求信息7 7）提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)1 1）提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)2 2）提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)3 3）提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)4 4）提交證書申請(qǐng)?zhí)峤蛔C書申請(qǐng)5 5）為證書申請(qǐng)者頒布證書為證書申請(qǐng)者頒布證書1 1）為證書申請(qǐng)者頒布證書為證書申請(qǐng)者頒布證書2 2）為證書申請(qǐng)者頒布證書為證書申請(qǐng)者頒布證書3 3）為證書申請(qǐng)者頒布證書為證書申請(qǐng)者頒布證書4 4）下載證書下載證書1 1）下載證書下載證書2 2）下載證書下載證書3 3）下載證書下載證書4 4）安裝證書并配置安裝證書并配置WWWW