《網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)》課件項(xiàng)目三 任務(wù)三 加強(qiáng)Windows系統(tǒng)IIS服務(wù)的安全防御

項(xiàng)目三Windows服務(wù)器系統(tǒng)安全運(yùn)行與維護(hù)項(xiàng)目主要內(nèi)容：任務(wù)一提高Windows系統(tǒng)活動(dòng)目錄服務(wù)的安全任務(wù)二加強(qiáng)Windows系統(tǒng)DHCP服務(wù)的安全防御任務(wù)三加強(qiáng)Windows系統(tǒng)IIS服務(wù)的安全防御任務(wù)四加強(qiáng)Windows系統(tǒng)DNS服務(wù)的安全防御任務(wù)提出

在網(wǎng)絡(luò)中，為了實(shí)現(xiàn)資源共享，需要搭建Web服務(wù)器和FTP服務(wù)器。通過Windows中的IIS程序能夠搭建網(wǎng)絡(luò)的Web和FTP服務(wù)器。由于IIS服務(wù)程序?qū)ν馓峁￤eb服務(wù)，經(jīng)常受到來自網(wǎng)絡(luò)內(nèi)部或外部的黑客攻擊，造成網(wǎng)絡(luò)內(nèi)部的IIS服務(wù)器經(jīng)常處于不穩(wěn)定狀態(tài)。為了實(shí)現(xiàn)IIS的安全，需要在網(wǎng)絡(luò)中部署WindowsIIS服務(wù)安全策略，防止黑客攻擊。1.安裝和配置IIS服務(wù)器

在WindowsServer2008R2系統(tǒng)中安裝IIS服務(wù)，創(chuàng)建網(wǎng)站，使得PC端能夠訪問網(wǎng)站。2.部署WindowsIIS服務(wù)的安全策略

在IIS服務(wù)器上，限制端口訪問、設(shè)置包過濾、配置SSL服務(wù)，從整體上提高IIS服務(wù)安全性。任務(wù)分析1.安裝和配置IIS服務(wù)器IIS(InternetInformationServer)是微軟公司主推的Web服務(wù)器程序，通過IIS可以配置一臺(tái)功能完備的Web服務(wù)器。通過在WindowsServer2008R2系統(tǒng)中安裝IIS服務(wù)，即可實(shí)現(xiàn)訪問Web網(wǎng)頁，以此測(cè)試所搭建的IIS服務(wù)是否有效。2.部署WindowsIIS服務(wù)的安全策略

限制端口訪問可以修改Web服務(wù)使用的HTTP協(xié)議的默認(rèn)端口號(hào)，用戶在訪問網(wǎng)頁時(shí)必須在URL后加上修改后的端口號(hào)，才可以訪問相關(guān)網(wǎng)頁，這樣可以防止黑客對(duì)IIS服務(wù)的攻擊。

在包過濾安全設(shè)置中，設(shè)置服務(wù)器接收信息的端口號(hào)，篩選流向服務(wù)器的信息，只有允許的端口號(hào)才可以接收數(shù)據(jù)流，未被允許的端口號(hào)不能接收數(shù)據(jù)流。SSL(SecureSocketLayer，安全套接層)是數(shù)字證書的一種，SSL證書用于在客戶端瀏

覽器和Web服務(wù)器之間建立一條安全通道。SSL安全協(xié)議是由NetscapeCommunication公司開發(fā)的，該安全協(xié)議主要用來提供對(duì)用戶和服務(wù)器的認(rèn)證，對(duì)傳送的數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳送中不被改變，現(xiàn)已成為安全領(lǐng)域的全球化標(biāo)準(zhǔn)。由于SSL技術(shù)已應(yīng)用到所有知名瀏覽器和Web服務(wù)器程序中，所以只需安裝服務(wù)器證書就可以激活該功能，即通過它可以激活SSL協(xié)議，實(shí)現(xiàn)數(shù)據(jù)信息在客戶端和服務(wù)器之間的加密傳輸，防止數(shù)據(jù)信息被泄露，保證通信雙方安全傳遞信息。

(1)SSL證書安全認(rèn)證的原理SSL技術(shù)通過加密信息來保護(hù)網(wǎng)站安全。一份SSL證書包括一個(gè)公共密鑰和一個(gè)私有密鑰，公共密鑰用于加密信息，私有密鑰用于解密信息。用戶和IIS服務(wù)器建立連接后，服務(wù)器會(huì)把數(shù)字證書與公共密鑰發(fā)送給用戶，用戶端生成會(huì)話密鑰，并用公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密，然后傳遞給服務(wù)器，服務(wù)器再用私有密鑰進(jìn)行解密，這樣客戶端和服務(wù)器之間就建立了一條安全通道，只有SSL允許的用戶才能與IIS服務(wù)器進(jìn)行通信。(2)SSL證書的功能鑒別網(wǎng)站的真實(shí)性：用戶登錄網(wǎng)站進(jìn)行在線購(gòu)物或電子交易時(shí)，由于Internet的廣泛性和開放性，使得Internet上存在著許多假冒的釣魚網(wǎng)站。用戶可以利用SSL證書來鑒別網(wǎng)站的身份，判斷網(wǎng)站的真實(shí)性。保證信息傳輸?shù)臋C(jī)密性：用戶登錄網(wǎng)站進(jìn)行在線購(gòu)物或電子交易時(shí)，需要多次向服務(wù)器端傳送信息，而這些信息很多是用戶的隱私信息，直接涉及經(jīng)濟(jì)利益或私密，利用SSL證書建立一條安全的信息傳輸加密通道，可以確保信息的安全。

默認(rèn)情況下，Web連接采用HTTP協(xié)議，HTTP協(xié)議是以明文形式來傳輸數(shù)據(jù)，沒有采取任何加密措施，用戶的重要數(shù)據(jù)很容易被竊取。SSL證書連接采用HTTPS協(xié)議，SSL證書連接的URL(UniformResourceLocator，統(tǒng)一資源定位器）格式為“https://網(wǎng)站域名”。任務(wù)實(shí)施1.安裝和配置IIS服務(wù)器操作步驟如下：步驟1：實(shí)驗(yàn)準(zhǔn)備階段，根據(jù)項(xiàng)目一中任務(wù)一知識(shí)點(diǎn)，在VMwareWorkstation中部署兩臺(tái)WindowsServer2008R2虛擬機(jī)Server和PC，并將兩臺(tái)虛擬機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通。Server和PC的IP地址規(guī)劃如表所示。設(shè)備名稱設(shè)備角色操作系統(tǒng)IP地址ServerIIS服務(wù)器WindowsServer2008/24PCIIS客戶端WindowsServer2008/24步驟2：在Server上安裝IIS服務(wù)第1步：在Server上安裝IIS服務(wù)。依次選擇“開始”-“管理工具”-“服務(wù)器管理器”-“角色”-“添加角色”，進(jìn)入添加角色向?qū)?，單擊“下一步”按鈕，在服務(wù)器角色選項(xiàng)中選擇“Web服務(wù)器（IIS）”，如圖1所示。依次單擊“下一步”按鈕，完成安裝IIS服務(wù)。圖1第2步：在Server上創(chuàng)建Web站點(diǎn)在C盤上創(chuàng)建文本文檔index.txt，輸入內(nèi)容為“Welcome！”，然后將文本文檔擴(kuò)展名修改為html，如圖2所示。選擇“開始”—“管理工具”—“Internet信息服務(wù)（IIS)管理器”菜單命令，打開“Internet信息服務(wù)（IIS)管理器”窗口，如圖3所示。圖2圖3展開PDC節(jié)點(diǎn)，在“網(wǎng)站”節(jié)點(diǎn)上右鍵單擊，在彈出的快捷菜單中選擇“添加網(wǎng)站”，打開添加網(wǎng)站對(duì)話框，輸入要?jiǎng)?chuàng)建的網(wǎng)站名稱、物理路徑、綁定協(xié)議、IP地址以及端口等信息，如圖4所示。點(diǎn)擊“index”節(jié)點(diǎn)，如圖5所示。在右側(cè)操作欄中點(diǎn)擊“瀏覽:80（http）”，查看網(wǎng)頁是否能夠運(yùn)行，若網(wǎng)站創(chuàng)建成功，會(huì)彈出如圖2一樣的網(wǎng)頁。圖4圖5第3步：在PC上測(cè)試Web站點(diǎn)打開IE瀏覽器，輸入網(wǎng)址“”，顯示結(jié)果同圖2。2.部署WindowsIIS服務(wù)的安全策略步驟2：部署WindowsIIS服務(wù)安全策略第1步：在Server上配置端口安全限制在index主頁，在右側(cè)單擊“綁定”，進(jìn)入“網(wǎng)站綁定”對(duì)話框，如圖6所示。在“網(wǎng)站綁定”對(duì)話框中，選中對(duì)話框中已有網(wǎng)站條目，在右側(cè)選項(xiàng)中單擊“編輯”按鈕，將端口號(hào)設(shè)置為8080，主機(jī)名設(shè)為，如圖7所示。圖6圖7重新在Server上打開IE瀏覽器，輸入網(wǎng)址http://www.:8080，如圖8所示。圖8第2步：在Server上設(shè)置訪問權(quán)限在index主頁對(duì)話框中，右鍵單擊“目錄瀏覽”選項(xiàng)，選擇“打開功能”，進(jìn)入目錄瀏覽對(duì)話框，如圖9所示。在對(duì)話框右側(cè)列表中，單擊“啟用”，開啟目錄瀏覽功能，使訪問者具有瀏覽信息的權(quán)限。圖9第3步：在Server上關(guān)閉不需要的服務(wù)選擇“開始”—“管理工具”—“服務(wù)”菜單命令，打開“服務(wù)”窗口，如圖10所示。右鍵單擊“WorldWideWebPublishingService”服務(wù)，打開其屬性對(duì)話框，在“啟動(dòng)類型”中選擇“禁用”選項(xiàng)，單擊“停止”按鈕停止該服務(wù)，如圖11所示。圖10圖11第4步：在Server上設(shè)置包過濾單擊“控制面板”—“系統(tǒng)和安全”—“Windows防火墻”—“高級(jí)設(shè)置”—“入站規(guī)則”，在右側(cè)窗口中選擇“新建規(guī)則”，打開“新建入站規(guī)則向?qū)А贝翱冢鐖D12所示。圖12在“新建入站規(guī)則向?qū)А贝翱?，選擇要?jiǎng)?chuàng)建的規(guī)則類型為“端口”，單擊“下一步”按鈕，在“協(xié)議和端口”窗口中選擇“TCP協(xié)議”，“特定本地端口”欄中輸入80和443端口號(hào)，如圖13所示。單擊“下一步”按鈕，在“操作”窗口中選擇“允許連接”，如圖14所示。圖13圖14單擊“下一步”按鈕，在“名稱”窗口中選擇“允許連接”，如圖15所示。單擊“完成”按鈕，完成規(guī)則的創(chuàng)建，這樣該服務(wù)器只接收來自80、443端口的信息。圖15步驟3：配置SSL服務(wù)第1步：在PC上安裝證書服務(wù)要想使用SSL安全機(jī)制，首先必須為WindowsServer2008系統(tǒng)安裝ActiveDirectory證書服務(wù)，本任務(wù)中將IIS服務(wù)和ActiveDirectory證書服務(wù)分開，分別安裝在Server和PC上，以避免在申請(qǐng)證書時(shí)出現(xiàn)Server既是證書申請(qǐng)方又是證書頒發(fā)方，IIS服務(wù)和ActiveDirectory證書服務(wù)混淆的情況。依次選擇“開始”-“管理工具”-“服務(wù)器管理器”-“角色”-“添加角色”，進(jìn)入添加角色向?qū)В瑔螕簟跋乱徊健卑粹o，在選擇服務(wù)器角色時(shí)，選擇“ActiveDirectory證書服務(wù)”，如圖16所示。圖16單擊“下一步”按鈕，在“選擇角色服務(wù)”窗口勾選“證書頒發(fā)機(jī)構(gòu)Web注冊(cè)”復(fù)選框，如圖17所示。圖17單擊“下一步”按鈕，在“指定安裝類型”窗口選擇“獨(dú)立”，如圖18所示。圖18單擊“下一步”按鈕，在“指定CA類型”窗口選擇“根CA（R）”，如圖19所示。

單擊“下一步”按鈕，在“設(shè)置私鑰”窗口選擇“新建私鑰（R）”，如圖20所示。圖19圖20

單擊“下一步”按鈕，在“為CA配置加密”窗口選擇此CA頒發(fā)的簽名證書的哈希算法（H）為“SHA1”，如圖21所示。依次單擊“下一步”按鈕，完成證書服務(wù)安裝，安裝成功后，在管理工具中會(huì)添加“證書頒發(fā)機(jī)構(gòu)”一項(xiàng)。圖21第2步：在Server上生成證書申請(qǐng)文件通過第1步操作，已經(jīng)在Server上安裝了CA服務(wù)器，接下來對(duì)index站點(diǎn)應(yīng)用SSL安全機(jī)制，為index站點(diǎn)創(chuàng)建請(qǐng)求證書文件。在（IIS)管理器窗口，單擊主機(jī)名PDC，在PDC主頁欄中雙擊“服務(wù)器證書”圖標(biāo)，打開服務(wù)器證書窗口，如圖22所示。圖22在服務(wù)器證書窗口右側(cè)欄中，選擇“創(chuàng)建證書申請(qǐng)”，進(jìn)入申請(qǐng)證書界面，并填寫相應(yīng)的申請(qǐng)信息，如圖23所示。單擊“下一步”按鈕，確認(rèn)加密服務(wù)選項(xiàng)，如圖24所示。圖23圖24單擊“下一步”按鈕，在為證書申請(qǐng)指定文件時(shí)輸入文件路徑及文件名C:\CAzhengshu.txt，如圖25所示。單擊“完成”按鈕，即可完成證書申請(qǐng)。打開C:\CAzhengshu.txt，可以查看到證書文件，如圖26所示。圖25圖26第3步：在Server上申請(qǐng)SSL證書完成上述設(shè)置后，接下來把前面申請(qǐng)到的證書文件提交到CA服務(wù)器。在上述安裝CA服務(wù)的過程中，系統(tǒng)會(huì)在Web服務(wù)中建立一個(gè)默認(rèn)站點(diǎn)，并在該站點(diǎn)下創(chuàng)建一個(gè)證書服務(wù)的虛擬目錄certsrv。在IE瀏覽器輸入PC端網(wǎng)址“/certsrv”，進(jìn)入證書服務(wù)頁面，如圖27所示。圖27在證書服務(wù)頁面，點(diǎn)擊“申請(qǐng)證書”，進(jìn)入證書申請(qǐng)頁面，如圖28所示。在證書申請(qǐng)頁面，點(diǎn)擊“高級(jí)證書申請(qǐng)”，進(jìn)入高級(jí)證書申請(qǐng)頁面，如圖29所示。圖28圖29在高級(jí)證書申請(qǐng)頁面，點(diǎn)擊“使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請(qǐng)，或使用base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)?！?，進(jìn)入提交一個(gè)證書申請(qǐng)或續(xù)訂申請(qǐng)界面，復(fù)制證書申請(qǐng)文件“C:\certzhengshu.txt”的內(nèi)容，粘貼到“保存的申請(qǐng)”文本框，如圖30所示。圖30單擊“提交”按鈕，打開“證書正在掛起”頁面，提示證書申請(qǐng)已經(jīng)收到，必須等待管理員頒發(fā)所申請(qǐng)的證書，證書ID號(hào)為2，如圖31所示，證書申請(qǐng)完成。圖31

第4步：在PC上審核并頒發(fā)SSL證書在提交證書申請(qǐng)以后，作為CA服務(wù)器的管理員，需要查看并頒發(fā)服務(wù)器證書。選擇“開始”—“管理工具”—“證書頒發(fā)機(jī)構(gòu)”菜單命令，打開“證書頒發(fā)機(jī)構(gòu)”窗口，展開“掛起的申請(qǐng)”節(jié)點(diǎn)，如圖32所示。在“證書頒發(fā)機(jī)構(gòu)”窗口，右擊證書申請(qǐng)，在彈出的快捷菜單中選擇“所有任務(wù)”—“頒發(fā)”命令，頒發(fā)該證書。展開“頒發(fā)的證書”節(jié)點(diǎn)，顯示該證書已頒發(fā)，如圖33所示。圖32圖33

第5步：在Server上安裝SSL證書

在上述的操作步驟中，在PC上已經(jīng)為index站點(diǎn)申請(qǐng)了證書，現(xiàn)在需要下載并安裝Web服務(wù)器證書。打開申請(qǐng)證書的網(wǎng)站“/certsrv”，如圖34所示。圖34單擊“查看掛起的證書申請(qǐng)的狀態(tài)”超鏈接，打開“查看掛起的證書申請(qǐng)的狀態(tài)”頁面，單擊“保存的申請(qǐng)證書”鏈接，進(jìn)入“證書已頒發(fā)”界面，如圖35所示。單擊“下載證書”超鏈接，打開“文件下載”對(duì)話框，單擊“保存”按鈕，將證書文件下載保存為文件C:\certnew.cer，如圖36所示。圖35圖36在IIS管理器窗口，單擊根節(jié)點(diǎn)PDC，在PDC主頁中右鍵單擊“服務(wù)器證書”圖標(biāo)，打開服務(wù)器證書窗口，在右側(cè)“操作”欄中點(diǎn)擊“創(chuàng)建自簽名證書”，打開“創(chuàng)建自簽名證書”窗口，為證書指定一個(gè)好記的名稱，如圖37所示。自簽名證書創(chuàng)建完成后，在服務(wù)器證書窗口中添加了該證書，如圖38所示。圖37圖38在IIS管