网络安全讲义第六章.pptVIP

第6章 应用服务安全;6.1 应用服务概述;6.1 应用服务概述;6.1 应用服务概述;6.1 应用服务概述;6.1 应用服务概述;6.1 应用服务概述;6.2 Web服务的安全;2 IIS－Web服务器的安全性 1）登录认证的安全 控制面板－管理工具－Internet信息服务（IIS）－默认网站－属性－目录安全性－匿名访问和验证控制 三种身份认证： （1）匿名访问 （2）基本验证：用windows的用户帐号和密码，密码用明文送出 （3）集成windows验证：用windows的用户帐号和密码，密码用密文送出;2）设置用户审核 NTFS文件系统上，文件（夹）属性－安全－高级－审核 3）设置WWW目录的访问权限 属性－主目录 4）IP地址的控制 属性－目录安全性－IP地址及域名限制 5）使用SSL 属性－目录安全性－安全通信;6）其他安全措施 停用.bat和.cmd文件的映射功能（启动IMS－web站点属性－主目录－配置－应用程序映射） 将脚本程序和数据存储到不同的目录 禁止使用Directory Browsing Allowed 避免使用Remote Virtual Directories 特权最小原则 全面测试web服务器的安全性;6.2.2 浏览器的安全性 1 Cookie及安全设置 Cookie是Web服务器保存在用户硬盘上的一段文本。Cookie允许一个Web站点在用户的电脑上保存信息并且随后再取回它。信息的片断以‘名/值’对(name-value pairs)的形式储存。 有些web站点存储的cookies中，会包括登记密码、E-mail地址等信息。因此有不安全因素存在。 第一方cookies：指正在浏览网站的cookies，第三方cookies指非正浏览网站的cookies;1）禁止个别cookies 工具－Internet选项－隐私（站点） 2）cookies的设置 工具－Internet选项－隐私（高级） 3）通过注册表禁止cookies，删除注册表中的： HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\windows\currentversion\Internetsettings\cache\special paths\cookies;2 ActiveX及安全设置 ActiveX是Microsoft提出的一组使用COM（Component Object Model，部件对象模型）使得软件部件在网络环境中进行交互的技术集。它与具体的编程语言无关，可以理解为一组软件组件或对象，可以将其插入到WEB网页或其它应用程序中。 ActiveX被广泛应用于WEB服务器以及客户端的各个方面。同时，ActiveX技术也被用于方便地创建普通的桌面应用程序。 ActiveX的动态性、交互性、跨平台性 工具－Internet选项－安全－自定义级别;6.2 Web服务的安全;6.3 FTP服务的安全;6.4 电子邮件服务的安全;2 远程邮件传递过程 1）客户端软件利用TCP端口，将邮件发送到本地邮件服务器，保存在邮件队列中 2）邮件服务器判定收信人属于远程网络，则向DNS请求解析远程邮件服务器的IP地址 3）本地邮件服务器利用SMTP协议将邮件转发到远程邮件服务器中 4）收信人连接到邮件服务器下载或直接读取电子邮件;6.4 电子邮件服务的安全;6.4.2 安全风险 1 E-mail漏洞 E-mail的存储转发方式，使E-mail服务器易受到攻击 2 匿名转发 查找到提供匿名邮件发送的邮件服务器或专门的软件如ghost mail等 3 E-mail诈骗 4 垃圾邮件;6.4.3 安全措施 1）借助防火墙对进入邮件服务器的邮件进行控制 2）对重要的电子邮件加密传送、做数字签名 3）防范邮件炸弹和垃圾邮件 4）检查邮件的来源及完整性 5）查毒 6）设置“黑名单” 6.4.4 IIS-SMTP服务安全 IMS－SMTP虚拟服务器属性;