實(shí)現(xiàn)Web服務(wù)器Web站點(diǎn)安全課件

1、實(shí)現(xiàn)Web服務(wù)器Web站點(diǎn)安全,概述,配置用戶驗(yàn)證和授權(quán) 加密Web站點(diǎn)通信 減少Web服務(wù)器的受攻擊面,Lesson 1:配置用戶驗(yàn)證和授權(quán),IIS 6.0身份驗(yàn)證方法 選擇Web站點(diǎn)身份驗(yàn)證方法的考慮 使用NTFS許可實(shí)現(xiàn)Web站點(diǎn)授權(quán) Web站點(diǎn)授權(quán)選擇指南 練習(xí)：配置用戶驗(yàn)證和授權(quán),IIS 6.0身份驗(yàn)證方法,IIS 6.0支持以下身份驗(yàn)證方法: 匿名身份驗(yàn)證 基本身份驗(yàn)證 摘要身份驗(yàn)證 高級摘要身份驗(yàn)證 集成Windows驗(yàn)證 .NET Passport驗(yàn)證 證書驗(yàn)證,選擇Web站點(diǎn)身份驗(yàn)證方法的考慮,基于以下因素選擇Web站點(diǎn)驗(yàn)證方法: 用戶基于組成 防火墻要求用戶必須驗(yàn)證 安全要

2、求級別 通過防火墻或代理服務(wù)器訪問數(shù)據(jù)的要求,使用NTFS許可實(shí)現(xiàn)Web站點(diǎn)授權(quán),授權(quán)模式,服務(wù)器,Request,NTFS 許可,Web站點(diǎn)授權(quán)選擇指南,使用NTFS許可來:,控制對Web站點(diǎn)文件和文件夾訪問 控制對Web服務(wù)器物理文件夾訪問 指定訪問級別 設(shè)置文件夾屬性級別的文件加密 支持基于活動目錄和基于域的安全 提供在文件系統(tǒng)卷尺寸,練習(xí)：配置用戶驗(yàn)證和授權(quán),在本練習(xí)中，你將學(xué)到: 配置身份驗(yàn) 配置授權(quán),Lesson 2:加密Web站點(diǎn)通信,什么是SSL? SSL要求 SSL 推薦和考慮 練習(xí)：Web站點(diǎn)通訊安全,什么是SSL(Secure Sockets Layer)?,服務(wù)器,為S

3、SL會話發(fā)送請求,發(fā)送帶有公共密鑰的證書,驗(yàn)證服務(wù)器證書， 使用服務(wù)器公共密鑰創(chuàng)建會話，而且返回憑證,私有密鑰,使用它的私有密鑰解密會話key和建議一個安全會話,客戶機(jī),SSL 要求,客戶機(jī)私有密鑰,SSL 要求,服務(wù)器證書,CA,服務(wù)器 私有密鑰,唯一IP地址,SSL 推薦和考慮,使用SSL加密Web站點(diǎn)通訊的一些要求包括： 使用SSL加密Web站點(diǎn)通訊的準(zhǔn)則:,Web站點(diǎn)傳輸?shù)陌踩?防止未授權(quán)的解碼 確保安全和便利,設(shè)置高的加密強(qiáng)度 安裝有效的服務(wù)器證書 只加密必須的文件夾 定期更新證書,練習(xí)：Web站點(diǎn)通訊安全,在本練習(xí)中，你將學(xué)習(xí)到: 安裝和配置服務(wù)器證書 配置客戶證書 啟動SSL 生

4、成和安裝測試服務(wù)器證書,Lesson 3:減少Web服務(wù)器的受攻擊面,確定IIS 6.0 安全級別的準(zhǔn)則 減少受攻擊面最佳策略 練習(xí)：減少Web服務(wù)器的受攻擊面,確定適當(dāng)?shù)腤eb服務(wù)器安全級別的準(zhǔn)則有：,僅啟用Windows Server 2003必須的服務(wù) 僅啟用IIS 6.0必須服務(wù)和組件 僅啟用必須的Web服務(wù)擴(kuò)展 只添加必須的MIME類型,確定IIS 6.0 安全級別的準(zhǔn)則,“最小 化原則”,減少你的Web服務(wù)器的攻擊面最佳策略有:,隔離Web站點(diǎn)和應(yīng)用程序 啟用基本的Web服務(wù)擴(kuò)展 設(shè)置NTFS許可,減少受攻擊面最佳策略,練習(xí)：減少Web服務(wù)器的受攻擊面,在本練習(xí)中，你將學(xué)習(xí)到: 配

5、置IP地址限制 啟用必須的Web服務(wù)器擴(kuò)展 添加必須的MIME類型,Result Checklist: Configured Basic Authentication for the Web Site. Created a Web server certificate for the Web site using SelfSSL. The Web site has been configured to use the server certificate generated using SelfSSL and that 128 bit encryption is required. Allow

6、ed exempt employees (ExemptEmployees group) access to the Web site and denied access to Non-Exempt Employees (NonExemptEmployees group). Allowed only managers (Manager group) to access the Reports folder. Enabled the ASP web service extension. For the Web site, added a MIME type with an extension eee with type textplain. Made sure that logging is enabled for the W