计算机网络安全_10Web的安全.pptVIP

第10章 Web的安全 知 识 点： ● Web技术简介 ● Web的安全需求 ● Web服务器安全策略 ● Web浏览器安全策略 难 点： ● Web服务器安全策略 ● 浏览器安全策略 要 求 熟练掌握以下内容： ● Web技术的基本知识 ● Web的安全需求 ● Web服务器和浏览器的安全策略 了解以下内容： ● Web站点安全八要素 10.1 Web技术简介 Web是可通过Web Browsers（Web浏览器）访问的信息集合。 除文字外，Web页面还包括图像、声音、动画及其他特殊的效果。单独的页面能被链接到其他页面，以提供对附加信息的访问。所有这些信息都使用物理介质和Internet协议来传送。正因为此，许多人把Web和Internet等同起来。 Web又称World Wide Web(万维网)，其基本结构是采用开放式的客户/服务器结构（Client/Server），分成服务器端、客户接收端以及传输规程三个部分。 服务器规定传输设定、信息传输格式和服务器本身的开放式结构，客户机统称浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示；通信协议是Web浏览器与服务器之间进行通讯传输的规范。 10.1.1 Web服务器 从硬件上来说，服务器是指具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。服务器主要有网络服务器、打印服务器、终端服务器、磁盘服务器和文件服务器等。它是一种高性能计算机，作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。从软件的角度上， Web服务器是驻留在服务器上的一个程序，使用超文本传输协议HTTP（Hyper Text Transfer Protocol），它和用户方面的浏览器不断地传送各种信息。当然，还存在着使用其他协议标准的服务器，如FTP、GOPHER和WAIS等。这样，有一个存放信息的Web服务器，并在上面安装Web服务器软件，就可以在Web上发布信息。Web服务器的作用就是管理WWW的大量信息，处理用户发来的各种请求，将满足用户要求的信息返回给用户。 由此可见，Web服务器是Internet上最暴露的服务器。为了让用户能够访问Web服务器所提高的信息，他必须是Internet上任何接入点都能够访问的。与DNS和FTP等其他公共服务相比，Web服务器对黑客高手更有诱惑力，他能够成功地侵入网站而更改主页，从而让其他人意识到他的存在。 如果说用于防止Internet从内部网络进行攻击的放火墙是最重要网络安全领域的话，Web服务器就可以说是第二个需要高度安全的领域了。 服务器安全由几个安全区域组成，安全必须在每一个区域得以实现。 基础设施区，基础设施区定义服务器在网络中的位置。这个区域必须能够防止数据窃听、网络映射和端口扫描等黑客技术的威胁。 网络协议区，一般指的是TCP/IP通信。操作系统内核对通信负责并保证一个透明的通信流，因此内核必须经过必要的配置。 服务区，定义需要哪些服务。服务器上最好只配置完成必要的操作所必须的服务。 应用区，为安全起见，每个服务最好单独配置。否则可能被用来发送垃圾邮件。 操作系统区，最后的保护机制是操作系统本身。 10.1.2 Web浏览器 Web浏览器是一个安装在硬盘的用于阅读Web上的信息的客户端的应用软件，就象一个字处理程序一样（如WordPerfect或Microsoft Word）。通俗地讲，把用户连接到网上并显示网上有什么的软件就是浏览器——是一个面向WWW的窗口。不管对网上的什么内容最感兴趣——新闻，体育还是娱乐，浏览器在很大程度上决定了你能看到或不能看到什么，能做或不能做什么。浏览器在网络上与Web服务器打交道，从服务器上下载文件。把在互联网上找到的文本文档（和其它类型的文件）翻译成网页。 网页可以包含图形、音频和视频，还有文本。用户在本地机器上安装了Web浏览器软件，就可以读取Web上的信息。而HTML是网络所基于的格式化语言。浏览器的缓存（cache）是另一个重要的因素：因为网上的文档需要一定的时间下载，浏览器就可以在硬盘上临时存储图像，以避免重复下载相同的文件。缓存可以而且应该至少每四或五小时清空一次。Web浏览器有许多种，包括：Mosaic、Netscape Navigator、 Netscape Communicator、Internet Explorer和Lynx等。 10.1.3 HTTP协议 HTTP(Hypertext Transfer Protocol，超文本传输协议)是WWW浏览器和WWW、服务器之间的应用层通讯协议。是用于分布式协作超文本信息系统的、通用的、面向对象的协议。他是C/S（Client/Server）结构的协议，允许用户接收