《網(wǎng)絡(luò)安全防護項目教程》 課件 項目3 Internet信息服務(wù)安全防護

了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述新天教育培訓集團曾提出為實現(xiàn)企業(yè)信息化、數(shù)字化和現(xiàn)代化，需要將現(xiàn)行的許多管理實現(xiàn)無紙化、網(wǎng)絡(luò)化，其中包括對外建立一個門戶網(wǎng)站進行產(chǎn)品的宣傳和有關(guān)的服務(wù)，內(nèi)部管理和辦公也需要采用網(wǎng)絡(luò)平臺進行交流，還有就是各部門也得有自己的主頁，個別員工也想建立個人網(wǎng)站，而中心現(xiàn)在只要一個公網(wǎng)IP，此時，謝立夫在服務(wù)器中應(yīng)該進行哪些配置才能為天一研發(fā)中心解決上述問題呢？唐宇經(jīng)過憑借所學的知識他馬上想到了要滿足以上要求需要配置Web服務(wù)器。首先應(yīng)根據(jù)網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)規(guī)模合理規(guī)劃服務(wù)器，并采取合適的服務(wù)器配置與管理流程。然后為研發(fā)中心配置虛擬主機。3.2情境描述Web服務(wù)器搭建的流程怎樣？什么是Web服務(wù)？為什么要使用IIS？WWW服務(wù)有哪些特點？為什么要把企業(yè)的信息發(fā)布到網(wǎng)上？12343.2任務(wù)分析本項目的具體任務(wù)有哪些？5任務(wù)3-1IIS安全措施規(guī)劃本任務(wù)主要能針對站點使用IIS進行安全加固。具體包括日志記錄檢查、目錄執(zhí)行權(quán)限、腳本映射等。1.檢查是否啟用了日志記錄當希望確定服務(wù)器是否被攻擊時，日志記錄就顯得極其重要。默認的日志不會為搜索黑客記錄提供很大的幫助，因此必須擴展W3C日志記錄格式。鼠標單擊選擇需要確認的站點，如圖3-1-1所示。在中間窗格中顯示“shil主頁”信息，在其中選中“日志”。任務(wù)3-1IIS安全措施規(guī)劃1.檢查是否啟用了日志記錄圖3-1-1“服務(wù)器管理器-IIS-日志”項雙擊“日志”，打開如圖3-1-2所示窗口，查看日志文件下“格式（M）：”項和“目錄（Y）：”項，記住將Web日志文件放在非網(wǎng)站目錄和非操作系統(tǒng)分區(qū)，并定期對Web日志進行異地備份。圖3-1-2“Internet信息服務(wù)（IIS）管理器-日志”對話框日志記錄是計算機被入侵后惟一能夠找到自身漏洞的地方。就比如“動網(wǎng)文件”漏洞，如果能在日志當中發(fā)現(xiàn)“HTTPGET200（文件上傳成功）”，則肯定是沒有升級補丁或者開放了上傳權(quán)限。任務(wù)3-1IIS安全措施規(guī)劃2.限制目錄執(zhí)行權(quán)限步驟1：在IIS中設(shè)置需要上傳文件的目錄。在如圖3-1-3所示的對話框中，雙擊“處理程序映射”圖標。圖3-1-3“Internet信息服務(wù)（IIS）管理器-處理程序映射”項步驟2：打開圖3-1-3所示的對話框右側(cè)窗格，在如圖3-1-4所示的“操作”中，選擇“編輯功能權(quán)限…”并單擊。圖3-1-4“編輯功能權(quán)限…”菜單項步驟3：打開如圖3-1-5所示的“編輯功能權(quán)限”對話框，在該對話框中，去掉“腳本（S）”復選框中的勾，單擊“確定”按鈕。圖3-1-5“編輯功能權(quán)限…”對話框設(shè)置成功后，即使上傳了木馬文件在此目錄中，該木馬也無法執(zhí)行，就失去了木馬的作用。任務(wù)3-1IIS安全措施規(guī)劃3.刪除不必要的腳本映射打開IIS服務(wù)管理器，選擇需要設(shè)置的站點，找到“處理程序映射”雙擊，從列表中刪除以下不必要的腳本，如.asa.cer.cdx.idq.htw.ida.shtml.stm.idc.htr.printer等，只保留需要的腳本映射。根據(jù)需要可以在已經(jīng)存在的腳本上單擊右鍵進行編輯和刪除，也可以自定義添加映射，如圖3-1-6所示。任務(wù)3-1IIS安全措施規(guī)劃3.刪除不必要的腳本映射圖3-1-6“處理程序映射”對話框了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述新天教育培訓集團曾提出為實現(xiàn)企業(yè)信息化、數(shù)字化和現(xiàn)代化，需要將現(xiàn)行的許多管理實現(xiàn)無紙化、網(wǎng)絡(luò)化，其中包括對外建立一個門戶網(wǎng)站進行產(chǎn)品的宣傳和有關(guān)的服務(wù)，內(nèi)部管理和辦公也需要采用網(wǎng)絡(luò)平臺進行交流，還有就是各部門也得有自己的主頁，個別員工也想建立個人網(wǎng)站，而中心現(xiàn)在只要一個公網(wǎng)IP，此時，謝立夫在服務(wù)器中應(yīng)該進行哪些配置才能為天一研發(fā)中心解決上述問題呢？唐宇經(jīng)過憑借所學的知識他馬上想到了要滿足以上要求需要配置Web服務(wù)器。首先應(yīng)根據(jù)網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)規(guī)模合理規(guī)劃服務(wù)器，并采取合適的服務(wù)器配置與管理流程。然后為研發(fā)中心配置虛擬主機。3.2情境描述Web服務(wù)器搭建的流程怎樣？什么是Web服務(wù)？為什么要使用IIS？WWW服務(wù)有哪些特點？為什么要把企業(yè)的信息發(fā)布到網(wǎng)上？12343.2任務(wù)分析本項目的具體任務(wù)有哪些？5任務(wù)3-2Web服務(wù)安全設(shè)置當希望確定服務(wù)器是否被攻擊時，日志記錄就顯得極其重要。默認的日志不會為搜索黑客記錄提供很大的幫助，因此必須擴展W3C日志記錄格式。Web服務(wù)的主要功能是為用戶提供信息發(fā)布和查詢平臺，不同的用戶查看不同的發(fā)布信息，因此需要驗證不同用戶的身份，也就是說Web服務(wù)需要配置身份驗證來保證服務(wù)的安全性。子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置一般情況下，如果信息面向所有用戶，可以使用匿名身份驗證，而如果僅面向某些用戶，則需要給這些用戶設(shè)置訪問權(quán)限。通常對用戶進行驗證的方法有匿名身份驗證、基本身份驗證、摘要式身份驗證、Windows集成身份驗證，其順序依次為“匿名身份驗證→Windows集成身份驗證→摘要式身份驗證→基本身份驗證”，即當同時設(shè)置匿名身份驗證和基本身份驗證時，匿名身份驗證起作用。子任務(wù)3-2-1用戶控制安全設(shè)置1.匿名身份驗證該方式是系統(tǒng)默認啟用的身份驗證方式，即不需要提供身份認證信息。具體操作如下。步驟1：依次單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開如圖3-2-1所示的對話框，選中需要設(shè)置的網(wǎng)站，在其主頁中找到并選中“身份驗證”項。子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置1.匿名身份驗證圖3-2-1“Internet信息服務(wù)（IIS）管理器”對話框子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置步驟2：雙擊打開如圖3-2-2所示“身份驗證”對話框，發(fā)現(xiàn)“匿名身份驗證”已默認開啟。圖3-2-2“身份驗證”對話框子任務(wù)3-2-1用戶控制安全設(shè)置步驟3：單擊右側(cè)操作欄中的“編輯…”，打開如圖3-2-3所示的“編輯匿名身份驗證憑據(jù)”對話框，默認設(shè)置為“特定用戶”IUSR。如選用“應(yīng)用程序池標識”單選項，則可以允許IIS進程使用在應(yīng)用程序池的屬性頁上指定的賬戶運行。圖3-2-3“編輯匿名身份驗證憑據(jù)”子任務(wù)3-2-1用戶控制安全設(shè)置步驟4：如選擇“特定用戶”項，則可單擊“設(shè)置”按鈕，打開如圖3-2-4所示的“設(shè)置憑據(jù)”對話框，設(shè)置相應(yīng)的用戶名和密碼，單擊“確定”按鈕，保存設(shè)置。圖3-2-4“設(shè)置憑據(jù)”對話框子任務(wù)3-2-1用戶控制安全設(shè)置

更改系統(tǒng)默認匿名訪問賬戶，可以起到一定的安全保護作用，但對于較高安全需求的服務(wù)器還是不能適用，需要選擇其他的身份驗證。2.Windows集成身份驗證該驗證方式適用于Intranet環(huán)境中需要用戶使用NTLM或Kerberos協(xié)議的情況，同時包括NTLM和Kerberosv5身份驗證。NTLM方式需要把用戶的用戶名和密碼傳送到服務(wù)端，服務(wù)端驗證用戶名和密碼是否和服務(wù)器的此用戶的密碼一致。用戶名用明碼傳送，但是密碼經(jīng)過處理后派生出一個8字節(jié)的key加密質(zhì)詢碼后傳送。子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置2.Windows集成身份驗證Kerberosv5方式只把客戶端訪問IIS的驗證票發(fā)送到IIS服務(wù)器，IIS收到這個票據(jù)就能確定客戶端的身份，不需要傳送用戶的密碼。需要kerberos驗證的用戶一定是域用戶。子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置3.摘要式身份驗證該方式使用時需要輸入賬號和密碼，用戶密碼使用MD5加密。但使用該方式必須具備3個條件?！馡IS服務(wù)器必須是Windows域控制器成員服務(wù)器或域控制器●登錄用戶必須是域控制器帳戶，或者是IIS服務(wù)器的信任域●瀏覽器支持HTTP1.1，如IE5以上 子任務(wù)3-2-1用戶控制安全設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述新天教育培訓集團曾提出為實現(xiàn)企業(yè)信息化、數(shù)字化和現(xiàn)代化，需要將現(xiàn)行的許多管理實現(xiàn)無紙化、網(wǎng)絡(luò)化，其中包括對外建立一個門戶網(wǎng)站進行產(chǎn)品的宣傳和有關(guān)的服務(wù)，內(nèi)部管理和辦公也需要采用網(wǎng)絡(luò)平臺進行交流，還有就是各部門也得有自己的主頁，個別員工也想建立個人網(wǎng)站，而中心現(xiàn)在只要一個公網(wǎng)IP，此時，謝立夫在服務(wù)器中應(yīng)該進行哪些配置才能為天一研發(fā)中心解決上述問題呢？唐宇經(jīng)過憑借所學的知識他馬上想到了要滿足以上要求需要配置Web服務(wù)器。首先應(yīng)根據(jù)網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)規(guī)模合理規(guī)劃服務(wù)器，并采取合適的服務(wù)器配置與管理流程。然后為研發(fā)中心配置虛擬主機。3.2情境描述Web服務(wù)器搭建的流程怎樣？什么是Web服務(wù)？為什么要使用IIS？WWW服務(wù)有哪些特點？為什么要把企業(yè)的信息發(fā)布到網(wǎng)上？12343.2任務(wù)分析本項目的具體任務(wù)有哪些？5為了保證資源安全，提高系統(tǒng)、網(wǎng)站程序安全性，可根據(jù)不同類型用途設(shè)置不同的帳戶賬號，為不同的網(wǎng)站分配不同的賬號權(quán)限。具體實施步驟如下：（1）使用DOS命令創(chuàng)建用戶user1（或以個人名字命名），密碼設(shè)置為123456_wl。如圖3-2-9所示。子任務(wù)3-2-2訪問權(quán)限控制設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置 圖3-2-9添加用戶 （2）在IIS管理器中，選擇該用戶訪問的網(wǎng)站，單擊右側(cè)“操作”欄中的“編輯權(quán)限…”，打開“Web屬性”對話框，單擊“安全”選項，單擊“編輯（E）…”按鈕，打開如圖3-2-10所示的“Web的權(quán)限”對話框，選中用戶，根據(jù)要求設(shè)定該用戶的權(quán)限，本例中以zhangle用戶為例設(shè)置，允許其“讀取和執(zhí)行”、“列出文件夾內(nèi)容”、“讀取”，不允許“修改”、“寫入”。子任務(wù)3-2-2訪問權(quán)限控制設(shè)置子任務(wù)3-2-2訪問權(quán)限控制設(shè)置圖3-2-10“Web的權(quán)限”對話框了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述新天教育培訓集團曾提出為實現(xiàn)企業(yè)信息化、數(shù)字化和現(xiàn)代化，需要將現(xiàn)行的許多管理實現(xiàn)無紙化、網(wǎng)絡(luò)化，其中包括對外建立一個門戶網(wǎng)站進行產(chǎn)品的宣傳和有關(guān)的服務(wù)，內(nèi)部管理和辦公也需要采用網(wǎng)絡(luò)平臺進行交流，還有就是各部門也得有自己的主頁，個別員工也想建立個人網(wǎng)站，而中心現(xiàn)在只要一個公網(wǎng)IP，此時，謝立夫在服務(wù)器中應(yīng)該進行哪些配置才能為天一研發(fā)中心解決上述問題呢？唐宇經(jīng)過憑借所學的知識他馬上想到了要滿足以上要求需要配置Web服務(wù)器。首先應(yīng)根據(jù)網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)規(guī)模合理規(guī)劃服務(wù)器，并采取合適的服務(wù)器配置與管理流程。然后為研發(fā)中心配置虛擬主機。3.2情境描述Web服務(wù)器搭建的流程怎樣？什么是Web服務(wù)？為什么要使用IIS？WWW服務(wù)有哪些特點？為什么要把企業(yè)的信息發(fā)布到網(wǎng)上？12343.2任務(wù)分析本項目的具體任務(wù)有哪些？5“IP地址和域限制”可以根據(jù)請求的原始IP地址或域名啟用或拒絕內(nèi)容。不需要使用組、角色或NTFS文件系統(tǒng)權(quán)限控制對內(nèi)容的訪問，而是可以使用特定的IP地址或域名。在WindowsServer2008系統(tǒng)中，依次單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”→選擇相應(yīng)的站點，查看是否有“IP地址和域限制”，如果沒有則需要進行安裝（單擊“服務(wù)器管理器”→“角色”→“Web服務(wù)器（IIS）”→“角色服務(wù)”→查看“IP地址和域限制”項處于“未安裝”狀態(tài)→選中，單擊右側(cè)的“添加角色服務(wù)”→根據(jù)安裝向?qū)瓿砂惭b操作）。如圖3-2-11所示。子任務(wù)3-2-3IP地址控制設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置子任務(wù)3-2-3IP地址控制設(shè)置任務(wù)3-2Web服務(wù)安全設(shè)置圖3-2-11“添加角色服務(wù)-角色服務(wù)”對話框安裝完成后，重新打開“IIS管理器”，如圖3-2-12所示，可以看到“IP和域限制”項。子任務(wù)3-2-3IP地址控制設(shè)置圖3-2-12“Internet信息服務(wù)（IIS）管理器-IIS”項子任務(wù)3-2-3IP地址控制設(shè)置選中“IP和域限制”項，雙擊，可看到如圖3-2-13所示的“操作”欄。圖3-2-13“操作”欄在該欄中，單擊“添加允許條目…”，打開如圖3-2-14所示的“添加允許限制規(guī)則”對話框。其中有2個單選項。●特定IP地址（S）：只能設(shè)定特定的IP地址訪問。●IP地址范圍：設(shè)定一定范圍內(nèi)計算機允許訪問，需要設(shè)置相應(yīng)的子網(wǎng)掩碼。子任務(wù)3-2-3IP地址控制設(shè)置圖3-2-14“添加允許限制規(guī)則”對話框了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述任務(wù)3-3FTP服務(wù)安全設(shè)置FTP是文件傳輸協(xié)議（FileTransferProtocol）的簡稱，該協(xié)議屬于應(yīng)用層協(xié)議（端口號通常為21），用于Internet上的雙向文件傳輸（即文件的上傳和下載）。FTP是個很方便的文件傳輸工具，但是其本身的明文傳輸?shù)奶攸c決定了它在使用中是存在安全隱患的。探討FTP安全就在于在方便使用的同時如何盡可能的提高其安全性能。單擊“開始”→“管理工具”→“Internet信息服務(wù)（IIS）管理器”，打開如圖3-3-1所示的“Internet信息服務(wù)（IIS）管理器”對話框。子任務(wù)3-3-1基本設(shè)置圖3-3-1“Internet信息服務(wù)（IIS）管理器”對話框任務(wù)3-3FTP服務(wù)安全設(shè)置單擊右側(cè)工具欄中的“高級設(shè)置”→打開如圖3-3-2所示的“高級設(shè)置”對話框，在該對話框中可以設(shè)置“最大連接數(shù)”、“未經(jīng)身份驗證的超時”等，保證FTP服務(wù)的基本安全。子任務(wù)3-3-1基本設(shè)置圖3-3-2“高級設(shè)置”對話框了解Web的基本概念及工作原理掌握IIS組件的配置和管理方法掌握虛擬主機及虛擬目錄的配置方法掌握客戶端測試Web網(wǎng)站的操作方法學習目標：知識目標技能目標態(tài)度目標會安裝IIS組件、會配置與管理默認網(wǎng)站能新建Web網(wǎng)站并進行相關(guān)設(shè)置能配置與管理虛擬主機、虛擬目錄、網(wǎng)站的安全能解決Web服務(wù)器配置中出現(xiàn)的問題培養(yǎng)認真細致的工作態(tài)度和工作作風養(yǎng)成刻苦、勤奮、好問、獨立思考和細心檢查的學習習慣能與組員精誠合作，能正確面對他人的成功或失敗具有一定自學能力，分析問題、解決問題能力和創(chuàng)新的能力3.1任務(wù)概述在如圖3-3-3所示的“添加FTP站點”對話框中可發(fā)現(xiàn)，F(xiàn)TP服務(wù)有兩種身份驗證方式，一種為匿名訪問，另一種為基本