网络操作系统项目教程-项目6 Web服务器的安全管理.pptVIP

1 教学目标 理解Web服务器的安全措施 掌握Web服务器的安全设置方法 掌握身份验证的设置方法 掌握访问控制的设置方法 掌握证书验证的设置方法 IIS安全措施 在Web服务器上采取恰当的安全防护措施，可以减少和消除各种意外事件的发生。 Internet 服务管理器所提供之安全功能可以和Windows完全整合在一起。IIS目前共支持五种验证方式，用以确认请求访问Web站点的用户身份。 身份验证方式 匿名验证：任何用户皆可读写，无须查证用户姓名或密码。 基本验证：用户须提供用户名及密码，该资料仅仅编码而不加密通过网络传送。 摘要式验证：这是IIS5.0的添加功能，用户密码通过哈希算法生成数字摘要，以离散值传送给服务器进行验证。只有在域控制器中才能使用“摘要式验证”。 集成的Windows验证：利用离散技术来验证用户，且不直接将密码传送到网络上。 证书：一种数字文件，用来建立安全套接层SSL连接，且也可作为验证使用。 匿名验证身份验证 IIS使用“IUSR_计算机名称”帐户访问Web的过程如下： (1)当收到请求时，IIS在执行任何程序码或访问之前，会先模拟“IUSR_计算机名称”帐户。 (2)传回网页给用户端之前，IIS检查NTFS文件和目录的权限，看是否允许“IUSR_ 计算机名称帐户”访问这个文件。 (3)若允许访问，则验证完成，且用户可使用资源。 (4)若不允许访问，则IIS会尝试使用其他的验证方法。如果没有选择使用任何其他验证方法，IIS会传回一个“HTTP 403拒绝访问”的错误信息给浏览器。 (5)若启用“匿名”验证的同时启用了其他的授权方法，IIS会先使用“匿名”验证。 基本身份验证 基本验证工作过程： （1）用户的Web浏览器会显示出一个对话框，用户可在其中输入他们先前被指定之Windows 2000帐户的用户名称和密码。 （2）然后Web浏览器会使用这项信息来尝试建立连接。 （3）如果Web服务器拒绝这项信息，Web浏览器会重覆地显示该对话框，直到用户输入有效的用户名称和密码或关闭对话框为止。 （4）当Web服务器确认用户的名称和密码对应到有效的Windows用户帐户之后，就会建立连接。 集成的Windows身份验证 集成的Windows验证是一种安全的验证形式，当启用集成的Windows验证时，用户的浏览器会通过一种加密机制来验证计算机的Windows帐户密码。用户的浏览器会通过一种加密机制(kerberos )来验证计算机的Windows帐户密码。 Kerberros加密机制简述 如何进行认证？我们采用这样的方法：如果一个秘密（secret）仅仅存在于A和B，那么有个人对B声称自己就是 A，B通过让A提供这个秘密来证明这个人就是他或她所声称的A。这个过程实际上涉及到3个重要的关于认证的方面： Secret如何表示 A如何向B提供Secret B如何识别Secret Kerberros加密机制简述 整个过程涉及到Client和Server，他们之间的这个Secret我们用一个 Key来表示。Client为了让Server对自己进行有效的认证，向对方提供如下两组信息： (1)代表Client自身Identity的信息，为了简便，它以明文的形式传递。 (2)将Client的Identity使用Key作为Public Key、并采用对称加密算法进行加密。 Kerberros加密机制简述 由于Key仅仅被Client和Server知晓，所以被 Client使用Key加密过的Client Identity只能被Client和Server解密。同理，Server接收到Client传送的这两组信息，先通过Key对后者进行解密，随后将机密的数据同前者进行比较，如果完全一样，则可以证明Client能过提供正确的Key，而这个世界上，仅仅只有真正的Client和自己知道Key，所以可以对方就是他所声称的那个人。 访问控制流程 安全性总结 当客户机访问网站时，服务器验证步骤 客户机IP地址是否授权 用户帐户和密码是否正确 主目录是否设置了“读取”权限 网站文件的NTFS权限 只有以上检查都通过，才可以访问网站内容 IIS证书验证 1．为什么要使用证书验证？ （1）信息泄漏 （2）篡改 （3）伪造 （4）信用威胁 2．公钥基础架构 Public Key Infrastructure，公钥基础结构。PKI由公钥加密技术、数字证书、证书颁发机构（CA），注册机构（RA）等共同组成。PKI体系能够实现的功能有 身份认证 数据完整性 数据机密性 操作的不可否认性 公钥加密技术 公钥（Public Key）和私钥