计算机网络信息安全第7章精品.pptVIP

图7-11 IIS FTP的IP地址访问设置示意图 * 　　3．FTP的目录安全性设置 　　FTP用户仅有两种目录权限：读取和写入。“读取”权限对应于下载能力，而“写入”权限对应上传能力。FTP站点的目录权限对所有的FTP用户都有效，即如果某一个目录设置了“读取”权限，则任何FTP用户只有下载文件的能力，而没有上传文件的能力。FTP的目录安全性设置如图7-12所示。 * 图7-12 FTP目录安全性设置 * 7.7.4 网络访问控制案例 　　网络访问控制是指通过一定的技术手段实现网络资源操作的限制，使得用户只能访问所规定的资源，如网络路由器、网络通信、网络服务等。下面举例说明网络访问控制实现。 　　1．网络通信连接控制 　　网络通信连接控制常利用防火墙、路由器、网关等来实现，通常将这些设备放在两个不同的通信网络的连接处，使得所有的通信流都经过通信连接控制器，只有当通信流符合访问控制规则时，才允许通信正常进行。图7-13是网络通信连接访问控制配置图。 * 图7-13 网络通信连接访问控制配置示意图 * 　　2．基于VLAN的网络隔离 　　根据网络的功能和业务用途，可将网络划分为若干个小的子网(网段)，或者是外部网和内部网，以避免各网之间多余的信息交换。例如，通过VLAN技术，可以把处于不同物理位置的节点，按照业务需要组成不同的逻辑子网。采用VLAN技术，不仅可以防止广播风暴的产生，而且也可以提高交换式网络的整体性能和安全性。 * 7.7.5 Web访问控制案例 　　Web服务是网络非常普遍的服务，已经应用在电子商务、政府、公司办公等多个领域。Web服务面向不同权限的访问者，为此，Web服务需要良好的访问控制机制。目前，Web服务访问控制的实现流程如图7-14所示。 * 图7-14 Web服务访问控制机制的实现流程 * 　　1．基于限定IP地址、子网或域名的访问控制 　　用这种方式保护的文档或整个目录，只有特定IP(Internet)地址、IP子网或域名的浏览器可以访问。以NCSA httpd的服务器为例，需要在access.conf中加一个类似于下文的目录控制段： * Directory /full/path/to/directory Limit GET POST order mutual-failure deny from all allow from 159.226.5 . allow from /Limit /Directory * 　　根据配置信息，Web服务器将会拒绝除指定的主机(和)，以及子网(159.226.5)和域名(.)以外的所有主机的连接请求。针对每种Web服务器，有不同的具体配置方法，更详尽的信息需参照对应系统的帮助手册。一般来说，通过IP地址来限制，对于普通访问者是有效的，但对于高级的黑客则不然。有好几种办法能绕过IP地址限制。例如，黑客可以盗用具有访问权限的IP地址，使其可以访问Web服务器。或者黑客利用Proxy服务器访问Web服务器，再将浏览器设为使用proxy服务器，那么Web服务器将仅仅知道proxy的IP地址，而不是实际用户的IP。这意味着如果proxy在信任域之内，那么任何人都可以用那个proxy来访问Web服务。因此，除非用户确认对某个特定的proxy是信任的，否则不要把proxy的IP地址加到授权地址列表中。 * 　　2．基于用户名/口令的访问控制 　　Web服务通过授权控制Web资源访问。当用户要访问一个受保护的Web资源时，需要输入用户名和口令。下面以Apache Web服务为例，分析Web服务基于用户/口令访问控制的实现过程。假设某Apache Web服务器需要控制/usr/local/apache/htdocs/protect目录的页面访问，则Apache Web服务器的配置如下： * (1) 在Apache 的配置文件httpd.conf里加入以下内容： Directory /usr/local/apache/htdocs/protect options indexes followsymlinks allowoverride authconfig order allow, deny allow from all /Directory * 　　(2) 在/usr/local/apache/htdocs/protect 目录下创建文件.htaccess，内容如下： AuthName 安全访问区 AuthType Basic AuthUserFile /usr/local/apache/conf/passwd Require valid-user * 　　(3) 用Apache提供的htpasswd