《操作系统安全》第十一篇 安全操作系统应用.pptVIP

第11章 安全操作系统应用 第一部分 教学组织 一、目的要求 1.了解目前安全操作系统以及WWW安全服务。 2.掌握防火墙系统的安全技术及保护机制。 二、工具器材 1.具有WWW服务的服务器。 2.防火墙系统。 第二部分 教学内容 迄今为止，整个国际上安全操作系统的实际应用并不成功。在实际应用中发挥作用的操作系统绝大部分不是安全操作系统。有专家认为，安全操作系统在商业和民用领域的不成功，主要是因为安全操作系统缺少灵活性和兼容性，降低了系统性能和效率，应发展专用安全操作系统。 当前安全操作系统不成功的本质原因是安全操作系统存在诸多不完善的地方，如对多安全政策的支持；对动态多安全政策的支持，包括政策切换、权限撤销等方面；对环境适应性的支持等。本章主要介绍安全操作系统的两个应用,即WWW安全和防火墙系统安全。 11.1 操作系统安全与www安全 11.1.1 WWW概述 WWW(World Wide Web)是建立在Internet上的一种网络服务。它遵循HTTP协议，缺省端口是80。WWW所依存的超文本（Hyper-text）数据结构，采用超文本和多媒体技术，将不同的文件通过关键字进行链接。 HTTP是一个属于应用层面向对象的协议，由于其简捷、快速的方式，适用于分布式超媒体信息系统。一个完整的HTTP协议会话过程包括四个步骤：连接；请求；应答；关闭连接。 11.1.1 WWW概述 1．HTTP协议的命令 （1）GET命令 请求获取Request-URI所标识的资源，使用GET命令检索服务器上的资源时需要指定URL，协议版本号等信息。此命令相对简单。 例如:GET /form.html HTTP/1.1 （2）POST 命令 在Request-URI所标识的资源后附加新的数据。POST方法要求被请求服务器接受附在请求后面的数据，常用于提交表单。 eg：POST /reg.jsp HTTP/ Accept:image/gif,image/x-xbit,... ... HOST: Content-Length:22 Connection:Keep-Alive Cache-Control:no-cache (CRLF) //该CRLF表示消息报头已经结束，在此之前为消息报头 user=jeffreypwd=1234 //此行以下为提交的数据 （3）HEAD命令 如果我们只对关于网页或资源的信息感兴趣，而不想检索资源本身的全部内容，可以使用HEAD命令。HEAD的使用方法与GET正好相同，只是它不返回Web页的正文内容。当一个Web页的内容被更新时，可以使用这个命令通知你。它也可以使浏览器作出有关是否根据其大小下载网页的决定。 HEAD方法与GET方法几乎是一样的，对于HEAD请求的回应部分来说，它的HTTP头部中包含的信息与通过GET请求所得到的信息是相同的。利用这个方法，不必传输整个资源内容，就可以得到Request-URI所标识的资源的信息。该方法常用于测试超链接的有效性，是否可以访问，以及最近是否更新。 （4）PUT命令 PUT是另一个常用的HTTP命令，HTTP协议文件上传的标准方法是使用PUT命令。它允许从客户端到服务器的简单文件传输，常用于HTML编译器，如Netscape的Composer和HotDog实用程序。PUT命令和POST命令的区别在于两个命令的使用方式不同，PUT命令带有一个参数，这个参数作为目的URI，类似于POST命令的参数。但是，PUT命令请求服务器将数据放在URI，而POST命令请求服务器将数据发给URI。 （5）DELETE命令 Delete方法就是通过http请求删除指定的URL上的资源，Delete请求一般会返回3种状态码：200 (OK) - 删除成功，同时返回已经删除的资源 ；202 (Accepted) - 删除请求已经接受，但没有被立即执行（资源也许已经被转移到了待删除区域）；204 (No Content) - 删除请求已经被执行，但是没有返回资源（也许是请求删除不存在的资源造成的）。Web站点管理应用程序常常使用DELETE命令和PUT命令管理服务器上的文件。 （6）OPTIONS命令 OPTIONS命令请求服务器描述“命令-URI”指定资源的特点。OPTIONS命令格式类似于其他HTTP命令。eg:OPTIONS / HTTP/1.1 (CRLF) （7）TRACE命令 TRACE命令类似于PING命令，提供路由器到目的地址的每一跳的信息。它通过控制IP报文的生存期(TTL)字段来实现。TTL等于1的ICMP回应请求报文将被首先发送。路径上的第一个路由器将会丢弃该报文并且发送回标识错误消息的报文。错误消息通常是ICMP超时消息