模块1XXXXXXXXXXXXXX.doc

Web系统安全加固 1.工作任务描述 基于IIS6.0的web系统具有应用级的安全机制，它以windows server 2003操作系统和NTFS文件系统的安全性为基础，实现了与windows server 2003系统安全性的紧密集成。从而提供强大的安全管理和控制功能。访问控制是IIS安全机制中最主要的内容，从用户和资源两个方面来限制访问。当用户访问web系统时，IIS利用其本身和windows操作系统的多层次安全检查和控制，来实现有效的访问控制。 1）客户端web服务器提出请求。 2）如果服务器需要进行身份验证，则向客户端提出身份验证请求信息。浏览器既可以提示用户输入用户名和密码，也可以自动提供这些信息。 3）服务器将接收到的客户IP地址同限制访问的IP地址进行比较，如果用户没有，则请求失败，同时用户收到403访问禁止消息，否则继续下面的审查 4）IIS检查用户是否拥有有效的windows账户。如果用户没有，则请求失败，同时用户收到403访问禁止消息，否则继续下面的审查如果用户没有，则请求失败，同时用户收到403访问禁止消息，否则继续下面的审查 5）IIS检查用户是否具有请求资源的web权限。如果用户没有，则请求失败，同时用户收到403访问禁止消息，否则继续下面的审查 6）IIS检查资源的NTFS权限。如果用户不具备资源的NTFS权限，则请求失败，同时用户收到401访问被拒绝消息 7）如果用户具有NTFS权限，则可以完成该请求 从上述步骤可看出IIS主机审查用户和资源的权限1）~4）步主要是确认用户身份或IP地址，以决定能否连接到服务器。第5）步涉及资源的一般性访问权限，6）~7）步决定特定用户对资源的访问权限。除了完整的访问控制功能之外，还可结合windows审核功能和IIS本身的日志记录功能，来跟踪安全记录，排除潜在的安全隐患。 2.设置IP地址限制 IIS可通过设置IP地址访问限制，来防止或者允许某些特定的计算机、计算机组甚至整个网络访问web系统。例如可通过拒绝用户从特定IP地址访问web系统，来排除入侵的用户，防止某网络访问web系统。在internet上排除未知用户，通过IP地址限制是最有用的手段之一（利用路由器的访问列表也可限制IP地址）。通过这种方式，也可实现web系统只能被某个特定的网络访问，如某些内容只限于某个网络内的用户使用。 当用户计算机通过代理服务器或地址转换器（NAT）访问远程web服务器时，IIS接收到的是代理服务器或地址转换服务器的IP地址，而不是用户计算机的IP地址。管理员可以根据安全需要，对某些计算机用户进和用户组设置访问web系统，虚拟目录以及特定文件的权限。从Internet服务器管理单元中选择要设置访问限制的web系统目录或文件，并打开相应的属性设置对话框，切换到目录安全性选项卡，在IP地址域名限制区域中单击编译按钮，打开IP地址及域名限制对话框。如果选择拒绝访问浮想牛，将使加入列表的计算机或者域赋予允许访问权限。单击编译按钮，可以再类型区域中选择单机、一组计算机（指定网络表示和子网掩码）、域名来限制IP地址的范围。 如果将web系统配置为授权访问时，则除了加入列表的计算机外，其他计算都允许访问，而被拒绝拥有列表中的IP地址或域名的计算机访问。相反如果设置为拒绝访问时则只允许列表中IP地址或域名所代表的计算机访问，而拒绝所有其他计算机的访问。 3.设置用户身份验证 用户数很严重是通过判断用户的身份，确认是否允许用户访问web系统。在许多web服务器上，大部分web访问都是匿名，客户请求不包含用户名和密码即来着不拒、基本验证、摘要是验证、集成的windows验证等多种身份验证方法。还有一种更为高级的验证方法——证书验证，这是一种基于安全加密套接字协议层的应用，可以使用客户证书来验证web系统的用户请求信息。这几种身份验证方法比较，如表1所示。一般在禁止匿名访问时，才使用其他验证方法。 表1 IIS6.0用户身份验证方法的比较 验证方法 安全级别 对服务器的要求 对客户端的要求 注释 匿名 无 IUSR_计算机名账户 任何浏览器 Internet上的公共区域 基本 低 有效账户 输入用户名和密码 发送未加密的请求 简要 高 所有密码的纯文本文件，有效账户 兼容性 可跨代理服务器和其他防火墙使用 集成 高 有效账户 浏览器支持 证书 高 获取服务器证书，配置证书信任列表 浏览器支持 广泛用于internet上的安全交易 打开目录安全性或文件安全性属性设置对话框，单击匿名访问和验证控制区域中的编译按钮，打开验证方法对话框来设置身份验证属性。IIS验证用户身份有3种方式。 1）只允许匿名连接。及时包含用户名和密码的客户请求也作为匿