Web务器安全管理.pptVIP

TechNet TNT1-16 IIS 6.0 Web服务器安全管理最佳实践 首先具备的知识 掌握 Windows 2000/Windows Server 2003 的日常操作 了解 IIS（ Internet Information Server ）或者 IIS 日常操作 如果能够了解常见攻击方法或相关内容更佳 概览 IIS 服务器不仅仅能够提供常见的 WEB 应用而且和很多服务器集合使用在企业中已经非常广泛，如何加固IIS 服务器安全您了解多少？ 是否安装了系统补丁并配置了防火墙就万无一失了？ 您是否了解 IIS 6.0 基础架构 了解如何保护IIS Web服务器安全、防范攻击以及优化IIS Web服务器的技巧、实践与工具 内容安排 IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源 IIS 6.0 架构 IIS 6.0 必备知识 内容安排 IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源 我们将讨论… 现在应立即采取的安全手段 未来要作的事情 安全术语 资产 （Asset） 脆弱性 （Vulnerability） 威胁 （Threat） 威胁因素 （Association） 风险 （Risk） 利用/暴露 (Exploits/Exposure) 对策 (Countermeasure) Web Services 面对的主要威胁和攻击 Web Services 面对的主要威胁和攻击 未授权的访问 漏洞 可导致通过 Web Services 进行未授权的访问的漏洞包括： 未使用身份验证 密码在 SOAP 头信息中以明文形式传递 在未加密的通信通道中使用基本身份验证 Web Services 面对的主要威胁和攻击 参数操纵 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。例如，攻击者可以截获 Web Services 消息（例如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改 Web Services 面对的主要威胁和攻击 网络窃听 通过网络窃听，当 Web Services 消息在网络中传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软件检索 SOAP 消息中包含的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息 Web Services 面对的主要威胁和攻击 配置数据的泄漏 Web Services 配置数据的泄漏的方法主要有两种。 第一种，Web Services 可能支持动态生成 Web Services 描述语言 (WSDL)，或者可能在 Web 服务器上的可下载文件中提供 WSDL 信息 第二种，如果异常处理不充分，Web Services 可能会泄漏对攻击者有用的敏感的内部实施详细信息 Web Services 面对的主要威胁和攻击 消息重播 Web Services 消息可能会在传递过程中经过多个中间服务器。通过消息重播攻击，攻击者可以捕获并复制消息，并模拟客户端将其重播到 Web Services。消息可能被修改，也可能保持不变 保护 Windows安全安全检查列表 保护 IIS安全手把手教你设置 IIS 安全保护 演示 手把手教你保护IIS 掌握如何选择正确的IIS 组件在IIS目录上设置合适的访问权限列表启动日志记录 内容安排 IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源 使用安全利器安全配置向导 用向导界面完成安全检查 完成 IIS 6.0 的配置 完全免费，Windows Server 2003 SP1 中内置 （从） 快速模式 高级模式 通俗易懂的帮助 使用安全利器安全配置向导 使用系统内置安全利器 windows 防火墙 推荐使用单独的防火墙，但是在预算不足的情况下 基于端口的过滤 内置在操作系统中 对绝大多数攻击都有防护作用 使用系统安全利器IPSEC Windows Server 2000 /2003 内置 使用IIS安全利器－－UrlScan 2.5 注意，现在 UrlScan 2.5 已经内置在 IIS 6.0 中 URL 的深层防御 使用IIS安全利器