第5章Web安全.pptVIP

第5章 Web安全 5.1 Web技术简介 5.2 Web的安全需求 5.3 Web服务器安全策略 5.4 Web浏览器安全策略 5.5 Web站点安全八要素 5.6 小结 网络安全就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 网络安全的具体含义从不同角度有不同的内容。 网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变得越来越重要。安全问题刻不容缓。 5.1 Web技术简介 20世纪80年代末，Berners-Lee和他的助手创建了一个从各种各样资源中链接信息的接口。最终的结果是定义了URL、HTTP和HTML等规范，而WWW(World Wide Web)就基于此。今天，Web技术可使用户创建格式化的信息页面，而这些页面又可“链接”到其他信息页面并访问整个网络。 简言之，Web是可通过Web浏览器访问的信息集合。第一个重要的Web浏览器是Mosaic。当前，Netscape Navigator和Microsoft Internet Explorer共执Web浏览器市场之牛耳。 除文字外，Web页面还包括图像、声音、动画及其他特殊的效果。单独的页面能被链接到其他页面，以提供对附加信息的访问。 Web的发展速度是惊人的。 现实是Internet 和Web对于各种安全泄密非常脆弱。因此，各个机构对于Web安全的要求在逐渐增加。 Web本质上是运行在Internet和TCP/IP内联网上的客户/服务器应用程序。WWW为用户带来世界范围的超级文本服务。此外，WWW还可以为用户提供传统的因特网服务，如Telnet、FTP、Gopher、Usernet、News等。 基于Web的开发技术有Java、XML、Ejb、Enhydra、Jboss、Linux、Mysql等。 5.1.1 Web服务器 从硬件上来说，服务器是指具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重要组成部分。服务器主要有网络服务器、打印服务器、终端服务器、磁盘服务器和文件服务器等。它是一种高性能计算机，作为网络的节点，存储、处理网络上80%的数据、信息，因此也称为网络的灵魂。从软件的角度上，Web服务器是驻留在服务器上的一个程序，使用超文本传输协议HTTP(hypertext transfer protocol)，它和用户方面的浏览器不断地传送各种信息。当然，还存在着使用其他协议标准的服务器，如FTP、GOPHER和 WAIS等。Web服务器的作用就是管理WWW的大量信息，处理用户发来的各种请求，将满足用户要求的信息返回给用户。 Web服务器是Internet上最暴露的服务器。 如果说用于防止Internet从内部网络进行攻击的防火墙是最重要网络安全领域的话，Web服务器就可以说是第二个需要高度安全的领域了。 服务器安全由几个安全区域组成，安全必须在每一个区域得以实现。 (1) 基础设施区。该区用于定义服务器在网络中的位置。这个区域必须能够防止数据窃听、网络映射和端口扫描等黑客技术的威胁。 (2) 网络协议区。该区一般指的是TCP/IP通信。操作系统内核对通信负责并保证一个透明的通信流，因此内核必须经过必要的配置。 (3) 服务区。该区定义需要哪些服务。服务器上最好只配置完成必要操作所必须的服务。 (4) 应用区。为安全起见，每个服务最好单独配置，否则可能被用来发送垃圾邮件。 (5) 操作系统区。最后的保护机制是操作系统本身。 5.1.2 Web浏览器 Web浏览器是一个安装在硬盘上用于阅读Web信息的客户端的应用软件，就像一个字处理程序一样。通俗地讲，把用户连接到网上并显示网上有什么的软件就是浏览器——是一个面向WWW的窗口。浏览器在很大程度上决定了能看到或不能看到什么，能做或不能做什么。浏览器在网络上与Web服务器打交道，从服务器上下载文件，把在互联网上找到的文本文档(和其他类型的文件)翻译成网页。 HTML是网络所基于的格式化语言。浏览器的缓存(cache)是另一个重要的因素。Web浏览器有许多种，包括: Mosaic、Netscape Navigator、Netscape Communicator、Internet Explorer和Lynx等。 5.1.3 HTTP协议 HTTP(超文本传输协议)是WWW浏览器和WWW服务器之间的应用层通信协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议。它是C/S(client/server)结构的协议，允许用户接收另一台计算机上的信息。HTTP协议通过扩展命令，可用于类似的任务，如域名服务或分布式面向对象系统。HTTP会话过