路漫漫其悠远路漫漫其悠远少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤2024/4/27WEB服务安全配置与服务安全配置与SSL协议协议路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂实验目的实验目的1、掌握、掌握IIS的安全配置的安全配置2、了解、了解windowsCA证书服务器的配置与功能证书服务器的配置与功能3、掌握、掌握SSL的原理和安装配置的原理和安装配置SSL站点的操作站点的操作路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂实验内容实验内容一、一、IIS-web服务的安全配置服务的安全配置:1)安装安装IIS,默认目录改为,默认目录改为e:/myweb,并创建主页文档,并创建主页文档index.htm;2)设置本设置本web站点只能由站点只能由172.16.40.0/24的主机访问的主机访问;3)设置本设置本web站点或站点子目录只能由用户站点或站点子目录只能由用户student访问访问;4)设置设置web日志为日志为w3c格式,扩充属性增加主机、发送和接收字节等;格式,扩充属性增加主机、发送和接收字节等;另设置另设置web日志为日志为ncsa格式,比较与格式,比较与w3c格式有何不同。
格式有何不同二、配置二、配置ssl站点站点,实现安全的实现安全的web传输传输:1)安装配置好安装配置好Windows2000证书服务证书服务A(ip地址地址:ipa);2)在在IIS-web服务器服务器B上上(ip为为ipb),准备一个证书请求信息准备一个证书请求信息(certreq.txt):Internet服务管理器服务管理器web站点属性站点属性目录安全性目录安全性服务器证书服务器证书3)访问访问http:/ipa/certsrv/,提交证书申请提交证书申请(申请证书申请证书高级申请高级申请);4)由证书服务器由证书服务器A审查证书申请和颁发证书;审查证书申请和颁发证书;5)访问访问http:/ipa/certsrv/,下载已颁发的证书,下载已颁发的证书(certnew.cer)6)在在IIS-web服务器服务器B上安装证书上安装证书,使该站点变为使该站点变为SSL站点站点7)用用https协议实现协议实现web数据的安全浏览数据的安全浏览(https:/ipb)8)尝试使用网络监视器、尝试使用网络监视器、sniffer等抓包工具捕获等抓包工具捕获www通讯的数据包,通讯的数据包,注意观察注意观察sslweb站点与普通站点与普通web站点的不同站点的不同路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂思考问题思考问题1)IIS的日志文件一般存在什么地方,有什么作用?的日志文件一般存在什么地方,有什么作用?2)简述简述ssl的原理,的原理,ssl的端口号一般为多少?的端口号一般为多少?3)比较比较ssl的的web站点与普通站点与普通web站点的区别,可从服站点的区别,可从服务器设置、客户端访问、数据传输安全等方面叙述。
务器设置、客户端访问、数据传输安全等方面叙述4)想一想想一想windows2000证书服务器的主要功能证书服务器的主要功能5)IIS6.0与与IIS5.0比较在安全方面有那些增强比较在安全方面有那些增强?路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂参考资料用用SSL加密增强加密增强FTP服务器的安全性服务器的安全性在IIS上面布置SSL实现web安全通信用用SSL增强增强IIS安全性的原理和实现过程安全性的原理和实现过程 资料在网上查找路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂用用IIS建立高安全性建立高安全性Web服务器服务器v应用应用NTFS文件系统文件系统,合理配置权限合理配置权限v修改默认目录修改默认目录C:/Inetpubv共享权限的修改共享权限的修改v为系统管理员账号更名为系统管理员账号更名v废止废止TCP/IP上的上的NetBIOSv善用安全策略和善用安全策略和web日志审计日志审计v定期打补丁升级定期打补丁升级路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂设置IIS的安全机制设置设置IIS的安全机制:的安全机制:安装时应注意的安全问题安装时应注意的安全问题避免安装在主域控制器上避免安装在主域控制器上避免安装在系统分区上避免安装在系统分区上用户控制的安全性用户控制的安全性匿名用户匿名用户一般用户一般用户登录认证的安全性登录认证的安全性匿名访问匿名访问基本验证基本验证Windows集成验证集成验证路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂设置IIS的安全机制设置设置IIS的安全机制:的安全机制:访问权限控制访问权限控制文件夹和文件的访问权限文件夹和文件的访问权限WWW目录的访问权限目录的访问权限IP地址的控制地址的控制端口安全性的实现端口安全性的实现IP转发的安全性转发的安全性SSL安全机制安全机制路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂设置IIS的安全机制路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂IIS-Web服务器的日志服务器的日志路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂Web服务器的通用日志格式服务器的通用日志格式(CommonLogFormat)日志所在目录:日志所在目录:C:WINNTsystem32LogFilesW3SVC1通用日志格式针对每一个通用日志格式针对每一个Web请求生成一行纪录,记请求生成一行纪录,记录以空格作为分隔,包括如下内容:录以空格作为分隔,包括如下内容:remotehosrfc931authuserdate requeststatusbytes路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂vSSL作为作为Web安全性解决方案安全性解决方案1995年由年由Netscape公司提出公司提出vSSL已经作为事实上的标准被众多网络产品提供商采纳已经作为事实上的标准被众多网络产品提供商采纳SSL(SecuritySocketLayer)全称是加密套接字协议层,它位于)全称是加密套接字协议层,它位于HTTP协议层和协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
安全机制是依靠数字证书来实现的SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥使用密数据必须使用相应的私人密钥使用SSL安全机制的通信过程如下:用安全机制的通信过程如下:用户与户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有一条安全通道,只有SSL允许的用户才能与允许的用户才能与IIS服务器进行通信服务器进行通信SSL网站不同于一般的网站不同于一般的Web站点,它使用的是站点,它使用的是“HTTPS”协议,而不是普协议,而不是普通的通的“HTTP”协议因此它的协议因此它的URL(统一资源定位器)格式为(统一资源定位器)格式为“https:/网站网站域名域名”。
SSL原理原理路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂SSL原理原理浏览器请求与浏览器请求与WWW服务器建立安全会话服务器建立安全会话WWW服务器将自己的公钥发给浏览器服务器将自己的公钥发给浏览器WWW服务器与浏览器协商密钥位数(服务器与浏览器协商密钥位数(40位或位或128位)位)浏览器产生会话使用的秘密密钥,并用浏览器产生会话使用的秘密密钥,并用WWW服务器的公钥加密传给服务器的公钥加密传给WWW服务器服务器WWW服务器用自己的私钥解密服务器用自己的私钥解密WWW服务器和浏览器用会话密钥加密和解密,实现加密传输服务器和浏览器用会话密钥加密和解密,实现加密传输路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂利用利用SSL实现安全的实现安全的WEB传输服务传输服务1)安装证书服务器安装证书服务器2)申请证书申请证书(准备请求信息准备请求信息提交申请提交申请)3)审查颁发证书审查颁发证书4)下载颁发的证书下载颁发的证书5)在在IIS-WEB服务器上安装证书服务器上安装证书,使该站点变为使该站点变为SSL站点站点6)用用https协议实现协议实现web数据的安全浏览数据的安全浏览路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书管理软件和服务(安装证书管理软件和服务(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂windows2000公钥基础设施公钥基础设施PKI和认证机构和认证机构CA 图中给出了组成图中给出了组成Windows2000PKI的基本逻辑组件,其中最的基本逻辑组件,其中最核心的为微软证书服务系统(核心的为微软证书服务系统(MicrosoftCertificateServices),),它允许用户配置一个或多个企业它允许用户配置一个或多个企业CA,这些,这些CA支持证书的发放和废支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布。
除,并与活动目录和策略配合,共同完成证书和废除信息的发布路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂windows2000公钥基础设施公钥基础设施PKI和认证机构和认证机构CAWindows2000PKI其基本组件包括如下几种:其基本组件包括如下几种:1)证书服务证书服务(CertificateServices):证书服务作为一项核心的操作系统级服务,允证书服务作为一项核心的操作系统级服务,允许组织和企业建立自己的许组织和企业建立自己的CA系统,并发布和管理数字证书系统,并发布和管理数字证书2)活动目录活动目录:活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源活动目录服务作为一项核心的操作系统级服务,提供了查找网络资源的唯一位置,在的唯一位置,在PKI中为证书和中为证书和CRL等信息提供发布服务等信息提供发布服务3)基于基于PKI的应用的应用:Windows本身提供了许多基于本身提供了许多基于PKI的应用,如的应用,如InternetExplorer、MicrosoftMoney、InternetInformationServer、Outlook和和OutlookExpress等。
另外,一些其它第三方等另外,一些其它第三方PKI应用也同样可以建立在应用也同样可以建立在Windows2000PKI基础之上基础之上4)Exchange密钥管理服务密钥管理服务KMS(ExchangeKeyManagementService)KMS是是MicrosoftExchange提供的一项服务,允许应用存储和获取用于加密提供的一项服务,允许应用存储和获取用于加密e-mail的的密钥在将来版本的密钥在将来版本的Windows系统中,系统中,KMS将作为将作为Windows操作系统的一部分来操作系统的一部分来提供企业级的提供企业级的KMS服务Windows2000中的集成中的集成PKI系统提供了证书服务功能,可以让用户通过系统提供了证书服务功能,可以让用户通过Internet/extranets/intranets安全地交互敏感信息证书服务验证一个电子商务安全地交互敏感信息证书服务验证一个电子商务交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用交易中参与各方的有效性和真实性,并使用智能卡等提供的额外安全措施来使域用户登录到某个域户登录到某个域Windows2000通过创建一个证书机构通过创建一个证书机构CA来管理其公钥基础设施来管理其公钥基础设施PKI,以提,以提供证书服务。
一个供证书服务一个CA通过发布证书来确认用户公钥和其他属性的绑定关系,以提通过发布证书来确认用户公钥和其他属性的绑定关系,以提供对用户身份的证明供对用户身份的证明Windows2000证书服务创建的证书服务创建的CA可以接收证书请求、验可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表证请求信息和请求者身份、发行和撤销证书,以及发布证书废除列表CRL(CertificateRevocationList)证书服务是通过内置的证书管理单元来实)证书服务是通过内置的证书管理单元来实现的路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书管理软件和服务(安装证书管理软件和服务(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书管理软件和服务(安装证书管理软件和服务(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书管理软件和服务(安装证书管理软件和服务(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书管理软件和服务(安装证书管理软件和服务(5)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(5)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(6)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂准备一个证书请求信息(准备一个证书请求信息(7)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提交证书申请(提交证书申请(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提交证书申请(提交证书申请(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提交证书申请(提交证书申请(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提交证书申请(提交证书申请(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提交证书申请(提交证书申请(5)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂为证书申请者颁布证书(为证书申请者颁布证书(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂为证书申请者颁布证书(为证书申请者颁布证书(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂为证书申请者颁布证书(为证书申请者颁布证书(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂为证书申请者颁布证书(为证书申请者颁布证书(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下载证书(下载证书(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下载证书(下载证书(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下载证书(下载证书(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下载证书(下载证书(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(2)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(3)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(4)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(5)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(6)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安装证书并配置安装证书并配置WWW服务器(服务器(7)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂验证并访问安全的验证并访问安全的Web站点(站点(1)路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂验证并访问安全的验证并访问安全的Web站点(站点(2)。
