课题27Web服务器软件安全.pptxVIP

网络安全运行与维护课题二十七 Web服务器软件安全课题信息教学任务： Web服务器软件安全知识目标：了解Web应用的体系架构及所面临的安全威胁，熟悉常见的Web服务软件的安全漏洞，掌握Web服务器软件的安全防范措施，掌握网站安全性管理策略与技术能力目标：能够设置Web服务器软件的安全防范措施，能够进行网站安全性管理重 点：Web服务器软件的安全防范难 点：网站安全性管理教学方法：演示法、案例教学法、任务驱动法课堂类型：新授课教 具：PC机、教学软件SUBJECTWeb应用的体系架构及其安全威胁Web服务器软件的安全威胁及其防范网站安全性管理策略与技术一、Web应用的体系架构及其安全威胁 Web应用安全概述Web应用的体系架构Web服务器软件Web应用程序传输网络Web客户端一、Web应用的体系架构及其安全威胁Web应用的安全威胁1针对Web服务器软件的安全威胁：IIS等服务器软件的漏洞针对Web应用程序的安全威胁：ASP、PHP等脚本语言的漏洞23针对传输网络的安全威胁：HTTP等明文传输协议的漏洞4针对浏览器和终端用户的Web浏览安全威胁：IE浏览器的漏洞等二、Web服务器软件的安全威胁及其防范Web服务器软件的安全常见的Web服务软件的安全漏洞数据驱动的远程代码执行安全漏洞服务器功能扩展模块漏洞源代码泄露安全漏洞资源解析安全漏洞Web服务器软件的安全防范措施及时进行Web服务器软件的补丁更新对Web服务器进行全面的漏洞扫描，并及时修复这些安全漏洞，以防范攻击者利用这些安全漏洞实施攻击采用提升服务器安全性的一般性措施二、Web服务器软件的安全威胁及其防范IIS的安全IIS安装安全用户控制安全访问权限控制二、Web服务器软件的安全威胁及其防范IIS的安全IP地址控制端口安全IP转发安全SSL安全三、网站安全性管理策略与技术资源存取控制IP 地址/网域名称网页权限NTFS权限身份验证网页应用程序安全应用程序锁定原则　程序员定期资安教育应用程序隔离原则　　网站安全性管理网页传输安全SSL/TLS监控稽核记录存取记录漏洞稽核备份备份网页资料备份网站组态提升攻击难度关闭不用服务防火墙入侵侦测三、网站安全性管理策略与技术三、网站安全性管理策略与技术使用IP位址來控制存取IIS以下列方式控制存取单机电脑组域方式：白名单合适企业网络黑名单适合禁止特定机器适用环境：Intranet, Extranet 服务器问题：IP 位址易造假三、网站安全性管理策略与技术利用域名来控制存取以域名称来控制存取虽简单直接，但需作反向对应，影响效能三、网站安全性管理策略与技术网页权限 (Web Permission)读取使用者可浏览文件內容及属性(预设选取) 写入使用者可变更文件內容及属性源代码存取允许使用者可存取文件的原始程序码；如 ASP 应用程式中的源代码。如果已指派「读取」或「写入」使用权限，則可读取或写入原始代码。 目录浏览允許使用者看到发布目录下的文件记录查阅每次访问资源都会产生记录文件索引允许文件的索引执行无：避免执行任何程序或代码。 源代码：将应用程序对应到一个源代码引擎来执行源代码及可执行文件三、网站安全性管理策略与技术网页权限和NTFS使用权限IIS网页权限的权限等级通常不够细分化，只针对网页对象。基于更高安全性考虑，需搭配NTFS文件系统的使用权限，才足够建构一个较安全的网站存取环境二者合并使用时，最后的有效权限为二者最严谨的权限 (取二者允许权限的交集关系)三、网站安全性管理策略与技术不同的网页程序建议使用权限网页文件类型网页权限NTFS 权限CGI 程序(.exe, .dll, .cmd, .pl) 、ISAPI程式读取源代码及执行读取及执行命令文件 (.asp .aspx、php、jsp)读取仅执行源代码读取外部文件 (.inc, .shtm, .shtml)读取仅命令读取静态网页(.txt, .gif, .jpg, .html)读取读取三、网站安全性管理策略与技术设定网页目录与文件权限三、网站安全性管理策略与技术IIS 身份验证方法匿名验证 基本验证 摘要式验证 整合的 Windows 验证 凭证验证 三、网站安全性管理策略与技术使用IIS验证方法预设启用匿名及整合的 Windows 验证。 只有在下列情况下，Web 服务器才可使用「基本」、「摘要式」或整合的 Windows 验证方法：[匿名存取] 并没有被选取。 匿名存取失败或文件及目录的存取受到 NTFS 权限的限制。 摘要式及整合的 Windows 验证不能用于 FTP 站台如果 .NET passport被选中，则无法使用其它验证方法验证方法的使用优先级：匿名整合的 Windows 验证摘要式验证基本验证 三、网站安全性管理策略与技术IIS 验证方法比较