M2-3 提升windows系统的IIS服务的安全防御.ppt

《网络安全运行与维护》 模块二 Windows服务器系统安全管理与维护 DHCP DNSWeb FTPCA服务器群集邮件服务 DDN Internet 北京总部 长春分公司 VPN 网管工作站 重庆分公司 DHCP DC WEB FTP DNS BDC 提高Windows Server 2003的活动目录服务安全访问安装准备 加固Windows Server 2003的DHCP服务的安全防御级别 提升Windows Server 2003的IIS服务安全防御级别 加强Windows Server 2003的DNS服务安全防御级别 总体概述 能力单元3 提升windows系统的IIS服务的安全防御 任务描述 企业为了搭建自己的Web站点及Ftp等站点，构建了Windows的IIS服务，IIS服务是对外服务，必须实现其安全性，故本任务对IIS进行安全的配置： 安装与配置Windows IIS服务 部署Windows IIS服务安全策略 DHCP DC WEB FTP DNS BDC 任务分析 针对WWW等IIS服务进行安全加固，以保证企业某些对外服务的访问安全性，具体如下： 端口限制 设置ACL 关闭服务或主件 包过滤 SSL服务 审计 相关知识 IIS是Internet Information Services的缩写，它是微软公司主推的Web服务器，通过使用IIS，可以配置一台功能完备的Web服务器。 在Windows Server 2003 中发布，其特性主要为： 1）改进的体系结构。 2）增强的安全性。 3）改进的性能。 4）改进的管理。 5）其他增强。 相关知识 SSL概念与工作原理 SSL（Security Socket Layer）的中文全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。 SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。 任务实施——拓扑结构 任务实施——安装IIS服务及创建站点 〖步骤1〗安装IIS服务及创建站点 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤1〗端口限制 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤2〗设置ACL Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤3〗关闭与启动服务服务 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤4〗包过滤 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——安装CA服务器 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——生成申请证书准备文件 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——申请证书 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——审核并颁发证书 Page */32 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——获取与安装证书 任务实施——部署WindowsIIS服务安全策略 〖步骤5〗SSLCA——测试连接 任务实施——部署WindowsIIS服务安全策略 〖步骤6〗审计 总结 端口限制 设置ACL 关闭服务或主件 包过滤 SSL服务 审计