《计算机网络安全》-网络应用服务安全配置.pptVIP

计算机网络安全-网络应用服务安全配置 第8章 网络应用服务安全配置 第8章 网络应用服务安全配置 8.1 网络应用服务概述 8.2 IIS Web服务器的安全架设 8.3 FTP服务器的安全架设 8.4 文件服务器的安全架设 8.5 域控制器的安全架设 8.1 网络应用服务概述 网络应用是利用网络以及信息系统直接为用户提供服务以及业务的平台。网络应用服务直接与成千上万的用户打交道：用户通过网络应用服务浏览网站、网上购物、下载文件、看电视、发短信等，网络应用服务的安全直接关系到广大网络用户的利益。因此网络应用服务的安全是网络与信息安全中重要组成部分。 网络应用服务，是在网络上利用软/硬件平台满足特定信息传递和处理需求的行为。指的是在网络上所开放的一些服务，通常能见到如WEB、MAIL、FTP、DNS、TELNET等，当然，也有一些非通用，在某些领域、行业中自主开发的网络应用服务。我们通常所说的服务器，既是具有网络服务的主机。 网络应用服务安全，指的是主机上运行的网络应用服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响。 8.1.1 网络应用服务安全问题的特点 每一个网络应用服务都是由一个或多个程序构成，在讨论安全性问题时，不仅要考虑到服务端程序，也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问，客户端的安全问题主要表现在本地越权使用客户程序。由于大多数服务的进程由超级用户守护，许多重大的安全漏洞往往出现在一些以超级用户守护的应用服务程序上。 8.1.2 网络应用服务的分类 按照技术特征分类，点到点业务与点到多点业务；按照电信业务分类，基础电信业务和增值电信业务；按照是否经营分类，经营性网络应用服务与非经营性网络应用服务；按照所传递加工的信息分类，自主保护、指导保护、监督保护、强制保护与专控保护五级；按照服务涉及的范围分类，公众类网络应用服务与非公众类网络应用服务。 8.2 IIS Web服务器的安全架设 8.2.1 构造一个安全系统 （1）使用NTFS文件系统，以便对文件和目录进行管理 （2）关闭默认共享 （3）修改共享权限 （4）为系统管理员账号更名，避免非法用户攻击。 （5）禁用TCP/IP 上的NetBIOS 高级TCP/IP设置对话框 （6）TCP/IP上对进站连接进行控制 （7）修改注册表，减小拒绝服务攻击的风险 打开注册表：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。 8.2.2 保证IIS自身的安全性 IIS安全安装，要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。 （1）不要将IIS安装在系统分区上。 （2）修改IIS的安装默认路径。 （3）打上Windows和IIS的最新补丁。 8.2.2 保证IIS自身的安全性 IIS的安全配置 （1）删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。 （2）删除危险的IIS组件 （3）为IIS中的文件分类设置权限 （4）删除不必要的应用程序映射 网站属性 “应用程序配置”对话框 添加编辑应用程序扩展名映射 （5）保护日志安全 ①修改IIS日志的存放路径 ②修改日志访问权限，设置只有管理员才能访问。 网站属性对话框 8.2.3 提高系统安全性和稳定性 web服务器安全预防措施： 1.限制在web服务器开帐户，定期删除一些断进程的用户。 2.对在web服务器上开的帐户，在口令长度及定期更改方面作出要求，防止被盗用。 3.尽量使ftp， mail等服务器与之分开，去掉ftp等一些无关的应用。 4.在web服务器上去掉一些绝对不用的shell等之类解释器，即当在你的cgi的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。 5.定期查看服务器中的日志logs文件，分析一切可疑事件。 6.设置好web服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组如：www，并只分配它只读的权利。 7.有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。 8.通过限制许可访问用户IP或DNS 9.WINDOWS下HTTPD （1）Netscape Communications Server for NT ①Perl解释器的漏洞 　　 ②CGI执行批处理文件的漏洞 （2）OReilly WebSit