題目：服務(wù)器資源保護(hù) 學(xué)習(xí)中心（或辦學(xué)單位）：電子科技大學(xué)信息中心進(jìn)度計(jì)劃表日 期工 作 內(nèi) 容執(zhí) 行 情 況指導(dǎo)教師簽 字4月15日至4月20日準(zhǔn)備良好4月21日至4月23日調(diào)查好4月24日至5月12日?qǐng)?zhí)行良好5月13日至5月23日調(diào)試良好5月24日至6月12日完成好教師對(duì)進(jìn)度計(jì)劃實(shí)施情況總評(píng) 簽名 年 月 日 本表作評(píng)定學(xué)生平時(shí)成績(jī)的依據(jù)之一。第一章 緒 言1、 背景 隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，因特網(wǎng)、局域網(wǎng)、校園網(wǎng)給學(xué)校教育改革帶來了勃勃的生機(jī)。1計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展與普及，改變了整個(gè)信息管理的面貌，使信息管理從以單個(gè)計(jì)算機(jī)為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計(jì)算機(jī)技術(shù)在工業(yè)。商業(yè)。教學(xué)?？蒲?管理等領(lǐng)域中的應(yīng)用提供了一個(gè)全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強(qiáng)并促進(jìn)了群體工作成員之間的信息交流.資源共享.科學(xué)計(jì)算.技術(shù)合作及有效管理等,進(jìn)而推動(dòng)了生產(chǎn).管理.科研及教學(xué)事業(yè)的發(fā)展.目前，信息化程度已成為衡量一個(gè)國(guó)家。一個(gè)地區(qū)。一個(gè)單位綜合實(shí)力的重要標(biāo)志。黨中央與國(guó)務(wù)院對(duì)我國(guó)信息化工作非常重視，信息化建設(shè)已作為一項(xiàng)重要工作領(lǐng)導(dǎo)小組，并指出了“統(tǒng)籌規(guī)劃.聯(lián)合建設(shè)。統(tǒng)一標(biāo)準(zhǔn).專項(xiàng)結(jié)合”的十六字指導(dǎo)方針。隨著信息化建設(shè)的不斷深入發(fā)展,原有人工管理方式已不能適應(yīng)現(xiàn)代管理需要。企業(yè)迫切需要建立具有自己特色的企業(yè)內(nèi)部網(wǎng)，提供集團(tuán)各部門。各子公司與社會(huì)上各種網(wǎng)絡(luò)之間的信息通訊與處理的專用網(wǎng)絡(luò)。為單位與個(gè)人用戶提供辦公決策以及各種信息服務(wù).提高企業(yè)工作人員的工作效率，降低勞動(dòng)強(qiáng)度,改進(jìn)傳統(tǒng)的管理模式。以滿足企業(yè)當(dāng)前以及未來不斷擴(kuò)展的應(yīng)用需求，適應(yīng)現(xiàn)代化企業(yè)管理的要求。它不僅能為企業(yè)帶來實(shí)實(shí)在在的經(jīng)濟(jì)收益,還能夠提高企業(yè)的社會(huì)影響，樹立新的企業(yè)形象。 這些網(wǎng)絡(luò)信息資源都將會(huì)放在不同的服務(wù)器上，也正因?yàn)檫@樣所以服務(wù)器資源的安全變得更加重要。保護(hù)服務(wù)器資源就是我們必須的。2、 目的 為了更好的保護(hù)網(wǎng)絡(luò)信息資源的安全，并通過合法的身份驗(yàn)證進(jìn)入需要訪問的信息系統(tǒng)。對(duì)訪問的用戶進(jìn)行有效的權(quán)限限制。這樣極大的保護(hù)了信息資源。通過單點(diǎn)登陸并將企業(yè)的內(nèi)部系統(tǒng)進(jìn)行有效的集成訪問。提供了用戶的快捷方便的訪問。并且我們通過這樣的身份驗(yàn)證等對(duì)資源的保護(hù)也可以有效的避免以下的一些不足因素：計(jì)算機(jī)系統(tǒng)的脆弱性；操作系統(tǒng)的脆弱性；協(xié)議安全的脆弱性；數(shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性；人為的因素。 第二章 服務(wù)器資源保護(hù)的現(xiàn)狀第一節(jié) 網(wǎng)絡(luò)資源的發(fā)展一、服務(wù)器2（一）服務(wù)器的概念服務(wù)器的定義：從廣義上講，服務(wù)器是指網(wǎng)絡(luò)中能對(duì)其它機(jī)器提供某些服務(wù)的計(jì)算機(jī)系統(tǒng)（如果一個(gè)PC對(duì)外提供ftp服務(wù)，也可以叫服務(wù)器）。從狹義上講，服務(wù)器是專指某些高性能計(jì)算機(jī)，能通過網(wǎng)絡(luò)，對(duì)外提供服務(wù)。相對(duì)于普通PC來說，穩(wěn)定性、安全性、性能等方面都要求更高，因此在CPU、芯片組、內(nèi)存、磁盤系統(tǒng)、網(wǎng)絡(luò)等硬件和普通PC有所不同。 （二）服務(wù)器的種類按照不同的分類標(biāo)準(zhǔn)，服務(wù)器分為許多種。二、資源3 （一）什么是資源 資源是一國(guó)或一定地區(qū)內(nèi)擁有的物力、財(cái)力、人力等各種物質(zhì)要素的總稱。分為自然資源和社會(huì)資源兩大類。前者如陽(yáng)光、空氣、水、土地、森林、草原、動(dòng)物、礦藏等；后者包括人力資源、信息資源以及經(jīng)過勞動(dòng)創(chuàng)造的各種物質(zhì)財(cái)富。資源同時(shí)也是計(jì)算機(jī)系統(tǒng)中的硬件和軟件的總稱。如存儲(chǔ)器、中央處理機(jī)、輸入和輸出設(shè)備、數(shù)據(jù)庫(kù)、各種系統(tǒng)程序等。由操作系統(tǒng)進(jìn)行系統(tǒng)的、有效的管理和調(diào)度，以提高計(jì)算機(jī)系統(tǒng)的工作效率。 （二）資源系統(tǒng)的特點(diǎn)自然資源系統(tǒng)的特點(diǎn) 根據(jù)人類對(duì)自然資源的認(rèn)知度，其主要特點(diǎn)是： 自然資源分布的不平衡性和規(guī)律性； 自然資源的有限性和無限性（現(xiàn)實(shí)資源是有限的，但開發(fā)利用及轉(zhuǎn)化是無限的）； 自然資源的多功能性； 自然資源的系統(tǒng)性；等。 （三）服務(wù)器資源 即網(wǎng)絡(luò)資源是網(wǎng)絡(luò)上互連起來的計(jì)算機(jī)提供給各用戶分享的信息。這些信息放在各自的計(jì)算機(jī)上(服務(wù)器、ftp服務(wù)器、bbs服務(wù)器、vod服務(wù)器等)，因?yàn)橛芯W(wǎng)絡(luò)互連，大家都能通過internet訪問到。三、Internet網(wǎng)在我國(guó)的發(fā)展現(xiàn)狀及前景的分析 4隨著全球信息高速公路的建設(shè),我國(guó)政府也開始推進(jìn)中國(guó)信息基礎(chǔ)設(shè)施(China Information Infrastructure,CII)的建設(shè).連接因特網(wǎng)成為最為關(guān)注的熱點(diǎn)之一.到目前為止,因特網(wǎng)在我國(guó)已經(jīng)得到初步發(fā)展.回顧我國(guó)因特網(wǎng)的發(fā)展,可以分為兩個(gè)階段.第一個(gè)階段是與因特網(wǎng)電子郵件的連通.第二個(gè)階段是與因特網(wǎng)實(shí)現(xiàn)全功能的TCP/IP連接. 中國(guó)教育和科研計(jì)算機(jī)網(wǎng)CERENT 中科院的中國(guó)科技網(wǎng)CSTNET 中國(guó)公用計(jì)算機(jī)互聯(lián)網(wǎng)CHINANET 中國(guó)金橋信息網(wǎng)CHINAGBN四、internet的發(fā)展的出現(xiàn)將internet推向了民用方面，通過良好的界面大大降低了internet操作的難度，使用戶急劇增加，許多政府機(jī)構(gòu)、商業(yè)結(jié)構(gòu)意識(shí)到internet蘊(yùn)含的巨大潛力，也紛紛加入。如今internet已經(jīng)深入到了社會(huì)生活的各個(gè)角落，大大方便的信息的傳播，這是一場(chǎng)革命。第二節(jié) 網(wǎng)站資源保護(hù)分析一、網(wǎng)站的通用保護(hù)方法6 針對(duì)黑客威脅，網(wǎng)絡(luò)安全管理員采取各種手段增強(qiáng)服務(wù)器的安全，確保服務(wù)的正常運(yùn)行。象在Internet上的Email、ftp等服務(wù)器一樣，可以用如下的方法來對(duì)服務(wù)器進(jìn)行保護(hù)： 安全配置 關(guān)閉不必要的服務(wù)，最好是只提供服務(wù)，安裝操作系統(tǒng)的最新補(bǔ)丁，將服務(wù)升級(jí)到最新版本并安裝所有補(bǔ)丁，對(duì)根據(jù)服務(wù)提供者的安全建議進(jìn)行配置等，這些措施將極大提供服務(wù)器本身的安全。防火墻 安裝必要的防火墻，阻止各種掃描工具的試探和信息收集，甚至可以根據(jù)一些安全報(bào)告來阻止來自某些特定IP地址范圍的機(jī)器連接，給服務(wù)器增加一個(gè)防護(hù)層，同時(shí)需要對(duì)防火墻內(nèi)的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)整，消除內(nèi)部網(wǎng)絡(luò)的安全隱患。 漏洞掃描使用商用或免費(fèi)的漏洞掃描和風(fēng)險(xiǎn)評(píng)估工具定期對(duì)服務(wù)器進(jìn)行掃描，來發(fā)現(xiàn)潛在的安全問題，并確保由于升級(jí)或修改配置等正常的維護(hù)工作不會(huì)帶來安全問題。 入侵檢測(cè)系統(tǒng) 利用入侵檢測(cè)系統(tǒng)（IDS）的實(shí)時(shí)監(jiān)控能力，發(fā)現(xiàn)正在進(jìn)行的攻擊行為及攻擊前的試探行為，記錄黑客的來源及攻擊步驟和方法。 這些全施都將極大提供服務(wù)器的安全，減少被攻擊的可能性。二、網(wǎng)站的專用保護(hù)方法7 盡管采用的各種安全措施能防止很多黑客的攻擊，然而由于各種操作系統(tǒng)和服務(wù)器軟件漏洞的不斷發(fā)現(xiàn)，攻擊方法層出不窮，技術(shù)高明的黑客還是能突破層層保護(hù)，獲得系統(tǒng)的控制權(quán)限，從而達(dá)到破壞主頁(yè)的目的。這種情況下，一些網(wǎng)絡(luò)安全公司推出了專門針對(duì)網(wǎng)站的保護(hù)軟件，只保護(hù)網(wǎng)站最重要的內(nèi)容-網(wǎng)頁(yè)。一旦檢測(cè)到被保護(hù)的文件發(fā)生了非正常的改變，就進(jìn)行恢復(fù)。一般情況下，系統(tǒng)首先需要對(duì)正常的頁(yè)面文件進(jìn)行備份，然后啟動(dòng)檢測(cè)機(jī)制，檢查文件是否被修改，如果被修改就需要進(jìn)行恢復(fù)。我們對(duì)以下幾個(gè)方面的技術(shù)進(jìn)行分析比較： 監(jiān)測(cè)方式本地和遠(yuǎn)程：檢測(cè)可以是在本地運(yùn)行一個(gè)監(jiān)測(cè)端，也可以在網(wǎng)絡(luò)上的另一臺(tái)主機(jī)。如果是本地的話，監(jiān)測(cè)端進(jìn)程需要足夠的權(quán)限讀取被保護(hù)目錄或文件。監(jiān)測(cè)端如果在遠(yuǎn)端的話，服務(wù)器需要開放一些服務(wù)并給監(jiān)測(cè)端相應(yīng)的權(quán)限，較常見的方式是直接利用服務(wù)器的開放的服務(wù)，使用HTTP協(xié)議來監(jiān)測(cè)被保護(hù)的文件和目錄。也可利用其它常用協(xié)議來檢測(cè)保護(hù)文件和目錄，如FTP等。采用本地方式檢測(cè)的優(yōu)點(diǎn)是效率高，而遠(yuǎn)程方式則具有平臺(tái)無關(guān)性，但會(huì)增加網(wǎng)絡(luò)流量等負(fù)擔(dān)。定時(shí)和觸發(fā)：絕大部分保護(hù)軟件是使用的定時(shí)檢測(cè)的方式，不論在本地還是遠(yuǎn)程檢測(cè)都是根據(jù)系統(tǒng)設(shè)定的時(shí)間定時(shí)檢測(cè)，還可將被保護(hù)的網(wǎng)頁(yè)分為不同等級(jí)，等級(jí)高的檢測(cè)時(shí)間間隔可以設(shè)得較短，以獲得較好的實(shí)時(shí)性，而將保護(hù)等級(jí)較低的網(wǎng)頁(yè)文件檢測(cè)時(shí)間間隔設(shè)得較長(zhǎng)，以減輕系統(tǒng)的負(fù)擔(dān)。觸發(fā)方式則是利用操作系統(tǒng)提供的一些功能，在文件被創(chuàng)建、修改或刪除時(shí)得到通知，這種方法的優(yōu)點(diǎn)是效率高，但無法實(shí)現(xiàn)遠(yuǎn)程檢測(cè)。 比較方法 在判斷文件是否被修改時(shí)，往往采用被保護(hù)目錄和備份庫(kù)中的文件進(jìn)行比較，比較最常見的方式全文比較。使用全文比較能直接、準(zhǔn)確地判斷出該文件是否被修改。然而全文比較在文件較大較多時(shí)效率十分低下，一些保護(hù)軟件就采用文件的屬性如文件大小、創(chuàng)建修改時(shí)間等進(jìn)行比較，這種方法雖然簡(jiǎn)單高效，但也有嚴(yán)重的缺陷：惡意入侵者可以通過精心構(gòu)造，把替換文件的屬性設(shè)置得和原文件完全相同，從而使被惡意更改的文件無法被檢測(cè)出來。另一種方案就是比較文件的數(shù)字簽名，最常見的是MD5簽名算法，由于數(shù)字簽名的不可偽造性，數(shù)字簽名能確保文件的相同。 恢復(fù)方式恢復(fù)方式與備份庫(kù)存放的位置直接相關(guān)。如果備份庫(kù)存放在本地的話，恢復(fù)進(jìn)程必須有寫被保護(hù)目錄或文件的權(quán)限。如果在遠(yuǎn)程則需要通過文件共享或FTP的方式來進(jìn)行，那么需要文件共享或FTP的帳號(hào)，并且該帳號(hào)擁有對(duì)被保護(hù)目錄或文件的寫權(quán)限。 備份庫(kù)的安全當(dāng)黑客發(fā)現(xiàn)其更換的主頁(yè)很快被恢復(fù)時(shí)，往往會(huì)激發(fā)起進(jìn)一步破壞的欲望，此時(shí)備份庫(kù)的安全尤為重要。網(wǎng)頁(yè)文件的安全就轉(zhuǎn)變?yōu)閭浞輲?kù)的安全。對(duì)備份庫(kù)的保護(hù)一種是通過文件隱藏來實(shí)現(xiàn)，讓黑客無法找到備份目錄。另一種方法是對(duì)備份庫(kù)進(jìn)行數(shù)字簽名，如果黑客修改了備份庫(kù)的內(nèi)容，保護(hù)軟件可以通過簽名發(fā)現(xiàn)，就可停止服務(wù)或使用一個(gè)默認(rèn)的頁(yè)面。 通過以上分析比較我們發(fā)現(xiàn)各種技術(shù)都有其優(yōu)缺點(diǎn)，需要結(jié)合實(shí)際的網(wǎng)絡(luò)環(huán)境來選擇最適合的技術(shù)方案。三、5Web 服務(wù)器的主要威脅是 配置處理 :配置處理或主機(jī)枚舉是一種收集 Web 站點(diǎn)相關(guān)信息的探測(cè)過程。攻擊者可利用這些信息攻擊已知的薄弱點(diǎn)。 拒絕服務(wù) :如果服務(wù)器被泛濫的服務(wù)請(qǐng)求所充斥，則出現(xiàn)拒絕服務(wù)攻擊。此時(shí)的威脅是，Web 服務(wù)器因負(fù)荷過重而無法響應(yīng)合法的客戶端請(qǐng)求。 未經(jīng)授權(quán)的訪問 :如果未能阻塞位于外圍防火墻的應(yīng)用程序服務(wù)器上運(yùn)行的程序所使用的端口，則外部攻擊者能夠直接與應(yīng)用程序服務(wù)器通信。如果允許前端 Web 服務(wù)器以外的計(jì)算機(jī)連接到應(yīng)用程序服務(wù)器，那么該應(yīng)用程序服務(wù)器的受攻擊面就會(huì)增加。 隨意代碼執(zhí)行 ：如果攻擊者在您的服務(wù)器中運(yùn)行惡意代碼來?yè)p害服務(wù)器資源或向下游系統(tǒng)發(fā)起其他攻擊，則出現(xiàn)代碼執(zhí)行攻擊。 特權(quán)提升 ：如果攻擊者使用特權(quán)進(jìn)程帳戶運(yùn)行代碼，則出現(xiàn)特權(quán)提升攻擊。病毒、蠕蟲和特洛伊木馬:這些攻擊通常不被注意，直到它們開始耗費(fèi)系統(tǒng)資源，而這將減慢或阻止其他應(yīng)用程序的執(zhí)行。駐留 IIS 的應(yīng)用程序服務(wù)器易受 IIS 攻擊。 所以我們得對(duì)這些威脅做出相應(yīng)的解決辦法。在這里我主要是對(duì)未經(jīng)授權(quán)的訪問做出相應(yīng)的解決。四、未經(jīng)授權(quán)的訪問的保護(hù)方法（一）數(shù)字簽名：可以有效的保護(hù)重要資源不受非法用戶的介入（二） 限制對(duì)Web資源的訪問 ：除了限制的頁(yè)面資源之外的任何資源都可以通過輸入U(xiǎn)RL來查看，這種方法是可以保護(hù)一些重要的資源。（三）監(jiān)視未經(jīng)授權(quán)的用戶訪問：這種可以有效的監(jiān)視所訪問用戶是否合法，但是這樣子它的負(fù)荷很大（四) 反向代理，SSO：這種訪法可以有效的解決受保護(hù)資源的安全。通過訪問網(wǎng)關(guān)到身份管理服務(wù)器進(jìn)行身份驗(yàn)證，并同對(duì)不同用戶層次的不同權(quán)限訪問。這樣很好的保護(hù)資源。同時(shí)SSO可以讓用戶不用每次進(jìn)入一個(gè)應(yīng)用系統(tǒng)都需要進(jìn)行驗(yàn)證。只需登陸一次只要不結(jié)束會(huì)話都可以直接進(jìn)入系統(tǒng)。除以上的四種方法以外還有很多種，在這我就不一個(gè)一個(gè)的列出來了五、反向代理與SSO比其它方法比較通過對(duì)以上好幾種未經(jīng)授權(quán)訪問的保護(hù)（一）可以看到數(shù)字簽名的保護(hù)比較單一化，但安全性較好；（二） 限制對(duì)Web資源的訪問這種方法會(huì)限制到有權(quán)訪問該資源的用戶都不能進(jìn)入獲取相應(yīng)的資源信息；（三）監(jiān)視未經(jīng)授權(quán)的用戶訪問這種方法效率很低（四）反向代理，SSO 這種方法不但效率高，而且功能更為全面并且包含了以上三種方法。六、網(wǎng)站保護(hù)的缺陷 盡管網(wǎng)站保護(hù)能進(jìn)一步提高系統(tǒng)的安全，仍然存在一些缺陷。首先這些保護(hù)都是針對(duì)靜態(tài)頁(yè)面而設(shè)計(jì)，而現(xiàn)在動(dòng)態(tài)頁(yè)面占據(jù)的范圍越來越大，盡管本地監(jiān)測(cè)方式可以檢測(cè)腳本文件，但對(duì)腳本文件使用的數(shù)據(jù)庫(kù)卻無能為力。 另外，有些攻擊并不是針對(duì)頁(yè)面文件進(jìn)行的，前不久泛濫成災(zāi)的Red Code就是使用修改IIS服務(wù)的一個(gè)動(dòng)態(tài)庫(kù)來達(dá)到攻擊頁(yè)面的目的。另一個(gè)方面，網(wǎng)站保護(hù)本身會(huì)增加服務(wù)器的負(fù)載，在服務(wù)器負(fù)載本身已經(jīng)很重的情況下，一定好仔細(xì)規(guī)劃好使用方案。第三節(jié) 保護(hù)資源的重要性一、6網(wǎng)絡(luò)安全的重要性（一）信息具有保密性在信息社會(huì)中，信息具有和能源、物源同等的價(jià)值，在某些時(shí)候甚至具有更高的價(jià)值。具有價(jià)值的信息必然存在安全性的問題，對(duì)于企業(yè)更是如此。例如：在競(jìng)爭(zhēng)激烈的市場(chǎng)經(jīng)濟(jì)驅(qū)動(dòng)下，每個(gè)企業(yè)對(duì)于原料配額、生產(chǎn)技術(shù)、經(jīng)營(yíng)決策等信息，在特定的地點(diǎn)和業(yè)務(wù)范圍內(nèi)都具有保密的要求，一旦這些機(jī)密被泄漏，不僅會(huì)給企業(yè)，甚至也會(huì)給國(guó)家造成嚴(yán)重的經(jīng)濟(jì)損失。（二）信息需要共享經(jīng)濟(jì)社會(huì)的發(fā)展要求各用戶之間的通信和資源共享，需要將一批計(jì)算機(jī)連成網(wǎng)絡(luò)，這樣就隱含著很大的風(fēng)險(xiǎn)，包含了極大的脆弱性和復(fù)雜性，特別是對(duì)當(dāng)今最大的網(wǎng)絡(luò)國(guó)際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。隨著國(guó)民經(jīng)濟(jì)的信息化程度的提高，有關(guān)的大量情報(bào)和商務(wù)信息都高度集中地存放在計(jì)算機(jī)中，隨著網(wǎng)絡(luò)應(yīng)用范圍的擴(kuò)大，信息的泄露問題也變得日益嚴(yán)重，因此，計(jì)算機(jī)網(wǎng)絡(luò)的安全性問題就越來越重要。二、網(wǎng)絡(luò)安全的要考慮的幾個(gè)方面（一）網(wǎng)絡(luò)系統(tǒng)的安全 （1）網(wǎng)絡(luò)操作系統(tǒng)的安全性：目前流行的操作系統(tǒng)（Unix、Windows NT/2000/98等）均存在網(wǎng)絡(luò)安全漏洞； （2）來自外部的安全威脅； （3）來自內(nèi)部用戶的安全威脅； （4）通信協(xié)議軟件本身缺乏安全性（如:TCP/IP協(xié)議）； （5）病毒感染； （6）應(yīng)用服務(wù)的安全：許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮得不周全 （二）局域網(wǎng)安全 局域網(wǎng)采用廣播方式，在同一個(gè)廣播域中可以偵聽到在該局域網(wǎng)上傳輸?shù)乃行畔?，是不安全的因?（三）Internet互連安全 非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒等。（四）數(shù)據(jù)安全 本地?cái)?shù)據(jù)安全：本地?cái)?shù)據(jù)被人刪除、篡改，外人非法進(jìn)入系統(tǒng)。 網(wǎng)絡(luò)數(shù)據(jù)安全：數(shù)據(jù)在傳輸過程中被人竊聽、篡改。如數(shù)據(jù)在通信線路上傳輸時(shí)被人搭線竊取，數(shù)據(jù)在中繼結(jié)點(diǎn)機(jī)上被人篡改、偽造、刪除等。事實(shí)上，不論Internet，還是Intranet或其他任何專用網(wǎng)，都必須注意到網(wǎng)絡(luò)的安全性問題，以保護(hù)本單位本部門的信息資源不致受到外來的侵害。第三章 對(duì)反向代理與SSO進(jìn)行需求分析 第一節(jié) 系統(tǒng)軟硬件需求分析1、 實(shí)際生產(chǎn)環(huán)境的要求 （一）服務(wù)器：由于要裝多個(gè)系統(tǒng)至少需要三臺(tái) （二）IP的使用，各系統(tǒng)需要使用不同的IP地址 （三）軟件方面，使用的操作系統(tǒng)：LINUX操作系統(tǒng) 產(chǎn)品使用：NOVELL公司開發(fā)的eDirectory、Access Manager、iManager2、 在測(cè)試環(huán)境中的需求7 由于我們作出來的開發(fā)配置要使用必須搭建測(cè)試環(huán)境來進(jìn)行測(cè)試（一）安裝eDirectory的硬件要求 eDirectory對(duì)于CPU處理能力并沒有過高的要求，但對(duì)I/O處理能力要求較高。以下是安裝eDirectory對(duì)內(nèi)存和硬盤空間的最低要求。（2） 安裝iManager的硬件要求 以下安裝iManager的最低硬件要求。 CPU Pentium* III 600MHz以上 內(nèi)存 512M 以上 硬盤空間 200MB 以上（三）Access Manager的硬件要求1、IdentityServerr的最低要求 CPU Pentium* III 600MHz以上 內(nèi)存512M以上 硬盤空間300MB以上2、Access Gateway的需求 AG對(duì)硬件方面的要求不是很高，但至少得保證內(nèi)存（四）在測(cè)試環(huán)境中的軟件方面與生產(chǎn)環(huán)境差不多，但是在測(cè)試環(huán)境中配置好的一臺(tái)機(jī)子可以裝上幾個(gè)系統(tǒng)，這時(shí)我們就需要用到虛擬工作站，在虛擬工作站上再進(jìn)行系統(tǒng)的安裝。第二節(jié) 功能需求1、 系統(tǒng)總體概念 統(tǒng)認(rèn)證系統(tǒng) 各應(yīng)用系統(tǒng) 企業(yè)門戶 目錄系統(tǒng) 身份管理系統(tǒng) 圖 3-1 系統(tǒng)的總體結(jié)構(gòu)目錄系統(tǒng)為企業(yè)門戶及應(yīng)用系統(tǒng)直接、間接提供統(tǒng)一的部門、用戶等信息；身份管理系統(tǒng)保障目錄系統(tǒng)與應(yīng)用系統(tǒng)之間用戶信息的實(shí)時(shí)同步；統(tǒng)一認(rèn)證系統(tǒng)對(duì)企業(yè)門戶及各應(yīng)用系統(tǒng)提供資源保護(hù)、單點(diǎn)登錄及訪問控制2、 功能描述反向代理（Reverse Proxy）方式是指以代理服務(wù)器來接受internet上的連接請(qǐng)求，然后將請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡(luò)上的服務(wù)器， 并將從服務(wù)器上得到的結(jié)果返回給internet上請(qǐng)求連接的客戶端，此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)服務(wù)器。單點(diǎn)登錄（Single Sign On），簡(jiǎn)稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 下圖是反向代理和SSO進(jìn)行處理的一個(gè)邏輯圖 如圖 2圖 3-2 功能描述邏輯圖在以上的圖中可以看到：（一）我們充當(dāng)訪問網(wǎng)關(guān)的軟件就是AM（Access Manager）中的AG（Access Gateway）當(dāng)一個(gè)用戶登陸時(shí)需要通過訪問網(wǎng)關(guān)檢查（二）身份證管理服務(wù)器 身份證管理服務(wù)器是我們AM中的IDS（IdentityServer）該服務(wù)器將與認(rèn)證目錄同步進(jìn)行用戶的身份認(rèn)證主要提供對(duì)用戶身份的識(shí)別鑒定（三）認(rèn)證目錄 即是上面所介紹的ED（eDirectory）這個(gè)軟件專門用來管理用戶信息；身份認(rèn)證服務(wù)器在認(rèn)證用戶身份時(shí)，需要訪問保存用戶身份信息的數(shù)據(jù)源，也就是認(rèn)證目錄三、以一個(gè)用戶登陸服務(wù)器請(qǐng)求訪問資源的全過程為例來說明功能需求 (一)、當(dāng)用戶需要登陸時(shí)在瀏覽器中輸入訪問網(wǎng)關(guān)所代理的應(yīng)用系統(tǒng)的URL，請(qǐng)求訪問應(yīng)用系統(tǒng)，訪問請(qǐng)求到達(dá)訪問網(wǎng)關(guān)；在這里訪問網(wǎng)關(guān)所代理的應(yīng)用系統(tǒng)的URL就是我們所要做的反向代理。 （二）、訪問網(wǎng)關(guān)檢查當(dāng)前用戶是否已經(jīng)登錄，如果用戶尚未登錄利用HTTP協(xié)議的重定向機(jī)制，用戶將被訪問網(wǎng)關(guān)重定向到身份認(rèn)證管理服務(wù)器上，通過統(tǒng)一的認(rèn)證頁(yè)面獲取用戶的登錄信息。 （三）、身份認(rèn)證管理服務(wù)器將獲取的用戶登錄信息與認(rèn)證目錄中存放的用戶信息進(jìn)行匹配，驗(yàn)證用戶的合法性。（認(rèn)證目錄中的用戶信息與身份目錄中的用戶信息同步身份目錄通過具體的驅(qū)動(dòng)與應(yīng)用系統(tǒng)用戶信息數(shù)據(jù)庫(kù)同步）在這里我們不詳細(xì)說身份目錄與認(rèn)證目錄的同步過程，以及怎樣實(shí)現(xiàn)的。（四）、如果用戶存在，并且已經(jīng)被授權(quán)訪問門戶系統(tǒng)，身份認(rèn)證管理服務(wù)器認(rèn)證成功，并將用戶重定向回訪問網(wǎng)關(guān)所代理的企業(yè)門戶；訪問網(wǎng)關(guān)與身份認(rèn)證管理服務(wù)器協(xié)商，確認(rèn)用戶已經(jīng)認(rèn)證成功，并且從身份認(rèn)證管理服務(wù)器上獲取用戶信息； （五）、訪問網(wǎng)關(guān)使用自動(dòng)填表，或身份注入（HTTP頭）策略將用戶名和密碼等信息提交給應(yīng)用系統(tǒng)；到這一步的時(shí)候，我們就得跟椐用戶所請(qǐng)求的不同頁(yè)面進(jìn)行想應(yīng)的策略配置。應(yīng)用系統(tǒng)接從請(qǐng)求中獲取到用戶名和密碼等用戶信息后，訪問應(yīng)用系統(tǒng)用戶庫(kù)確定該用戶是否合法；如果該用戶合法，應(yīng)用系統(tǒng)向訪問網(wǎng)關(guān)返回用戶所請(qǐng)求的資源，訪問網(wǎng)關(guān)緩存用戶請(qǐng)求的資源后，將其返回給用戶。至此整個(gè)反向代理與單點(diǎn)登陸就已完成了。（六）、當(dāng)用戶結(jié)束訪問時(shí)，需要結(jié)束會(huì)話。下圖是用戶結(jié)訪需要登出時(shí)的操作。各應(yīng)用系統(tǒng)圖 3-3 用戶登出流程第三節(jié) 用戶需求1、 帳戶命名規(guī)則 所有用戶：兩個(gè)字的采用姓名全稱 三個(gè)字的采用姓名簡(jiǎn)稱 如：zhangs 張三2、 密碼管理要求 全體用戶的初始密碼都為：12345673、 系統(tǒng)用戶對(duì)象 該系統(tǒng)只允許本公司內(nèi)部人員訪問使用4、 用戶信息處理 由系統(tǒng)管理員負(fù)責(zé)用戶信息的新增、刪除、修改。5、 帳戶創(chuàng)建 由系統(tǒng)管理員直接創(chuàng)建6、 系統(tǒng)權(quán)限控制 不同層次的用戶給予相應(yīng)的訪問權(quán)限7、 系統(tǒng)訪問標(biāo)準(zhǔn) 通過內(nèi)網(wǎng)訪問，登陸時(shí)用戶名+密碼第四章 本系統(tǒng)的實(shí)現(xiàn) 第一節(jié) 反向代理與SSO的環(huán)境搭建1、 環(huán)境搭建所使用的產(chǎn)品，以及服務(wù)器的架構(gòu) NOVELL（AG、IDS、ED、Imanager） SUSE10 (一) ED樹，認(rèn)證目錄的架構(gòu)層次表4-1 ED樹架構(gòu)層次imanageredirectorySUSE 10 (二) IDS身份認(rèn)證管理服務(wù)器架構(gòu)層次表4-2 IDS架構(gòu)層次 IDSedirectorySUSE 10 （三）AG訪問網(wǎng)關(guān)架構(gòu)表4-3 AG架構(gòu)AG（SUSE 10） 2、 以上三臺(tái)服務(wù)器的搭建安裝 （一）ED樹，認(rèn)證目錄的搭建 1、SUSE10的安裝 （1）SUSE10總共有四張安裝盤，插入第一張出現(xiàn)以下介面開始安裝如 圖4-1 圖4-1 suse 10安裝界面 （2）跟據(jù)提示先擇相應(yīng)的選項(xiàng)依次進(jìn)行，需要特別注意的是選擇安裝軟件時(shí)，如下圖所示，必須要選中其中的C/C+，以及JAVA中的兩個(gè)組鍵圖 4-2 組鍵安裝圖圖 4-3 java包的選擇 （3）完成上面軟件包的選擇之后就正式開始安裝了，依次插入其它幾張光盤，安裝完成以后進(jìn)行ROOT密碼的設(shè)置以及靜態(tài)IP和子網(wǎng)掩碼、網(wǎng)關(guān)的設(shè)置。圖 4-4 輸入密碼 圖4-5 IP及網(wǎng)關(guān)設(shè)置 2、edirectory的安裝 （1）配置NTP時(shí)間同步服務(wù)圖4-6 NTP時(shí)間同步 （2）在Linux上安裝eDirectory 在這里我們就用壓縮來進(jìn)行說明。解壓后進(jìn)入安裝目錄。圖 4-7 解壓eDirectory （3）在安裝目錄中，通過命令“./nds-install ” 啟動(dòng)安裝過程。選擇安裝eDirectory服。務(wù)器和相關(guān)工具。進(jìn)行安裝圖4-8 ED安裝中 （4）安裝完成后進(jìn)行環(huán)境變量設(shè)置，以及使用命令“ndsconfig new進(jìn)行實(shí)例的創(chuàng)建。實(shí)例創(chuàng)建成功，顯示以下信息，該實(shí)例將作為服務(wù)器上的默認(rèn)實(shí)例，每次啟動(dòng)系統(tǒng)時(shí)通過“/etc/init.d/ndsd”命令自動(dòng)啟動(dòng)該實(shí)例。3、imanager 的安裝 （1）進(jìn)入安裝目錄 通過命令“./iManagerInstallLinux.bin”，啟動(dòng)安裝程序，選擇安裝iManager, Tomcat 和 JVM圖 4-9 iManager安裝啟動(dòng)圖 4-10 選擇安裝項(xiàng) （2）安裝過程中要提示安裝插鍵，這時(shí)可以安裝，也可以以后再裝。4、ED樹搭建好以后可以通過 Server DNS Name or IP Address:port/nps/ 可訪問?？梢缘顷戇M(jìn)去以后進(jìn)行用戶的創(chuàng)建等。圖 4-11 ED登陸界面（二）、IDS身份管理服務(wù)器的搭建 1、SUSE10在上面我們介紹過了。在這里我們直接就進(jìn)ED和IDS的說明。由于在這里IDS本身自帶ED，所以就不必單獨(dú)安裝了。 2、直接說IDS（IDS包含了AC控制臺(tái)，和IDS）（1）將Access Manager安裝光盤插入到該系統(tǒng)所在機(jī)器的光驅(qū)中.以ROOT權(quán)限登錄到該系統(tǒng)的命令行下,進(jìn)入/media/dvd文件夾.在命令行下輸入:./install.sh 輸入1,進(jìn)入到Novell Access Manager Administration的安裝程序進(jìn)行安裝圖4-12 AM安裝選項(xiàng) 圖 4-13 AC安裝過程（2）安裝完成后會(huì)顯示URL地址，在瀏覽器中輸入該地址打開以下頁(yè)面，輸入用戶名密碼進(jìn)入AC控制臺(tái)圖 4-14 AM登陸界面（3）再次進(jìn)入到安裝目錄如（1）所示，選擇2進(jìn)行IDS的安裝。圖 4-15 IDS安裝過程(4) IDS安裝完成以后進(jìn)入YAST進(jìn)行域名設(shè)置，在這里我們裝些域名設(shè)成ids.test（三）AG即訪問網(wǎng)關(guān)的安裝 1、安裝AG時(shí)，只需要裝該軟件就可以了，不用再裝SUSE10。因?yàn)镾USE10是封裝在AG中的。 2、AG的安裝 （1）插入光盤開始安裝，先擇高級(jí)模式安裝。進(jìn)入到下一步進(jìn)行磁盤分區(qū)圖4-16 AG安裝界面圖4-17 磁盤分區(qū)（2）以上過程完成后先擇時(shí)區(qū)，開始進(jìn)行安裝（3）安裝完成后進(jìn)行IP的設(shè)置，以及用命令在AM上導(dǎo)入AG的配置 第二節(jié) 配置實(shí)現(xiàn) 1、 IDS 的配置(一)、在瀏覽器中輸入ids.sf:8080/nps登陸Administration Console, 點(diǎn)擊Access Manager Identity Servers. 系統(tǒng)將顯示出當(dāng)前已經(jīng)安裝的IDS。（二）、在配置之前，首先取消瀏覽器對(duì)彈出網(wǎng)頁(yè)的屏蔽。點(diǎn)擊Access Manager Identity Servers Setup New（三）、在填入以下內(nèi)容后點(diǎn)擊下一步： 1、Name：ids 2、Base URL：3:8080/nidp 3、其余選項(xiàng)保持默認(rèn) 4、最終結(jié)果如下圖圖 4-18 配置IDS URL地址（四）、在Organization page頁(yè)面填入以下信息后點(diǎn)擊下一步： 1、Name:IDS 2、Display name:IDS 3、URL:3 4、最后結(jié)果如下圖：圖4-19 IDS配置（五）、在User Store page頁(yè)面，需要填寫以下內(nèi)容： 1、Name:userstore 2、Admin name:=admin,o=services 3、Admin password:novell 4、Directory type:eDirectory 5、Server replicas配置如下： （1）、在Server replicas菜單下點(diǎn)擊New （2）、在彈出的Specify server replica information對(duì)話框中填入以下內(nèi)容后點(diǎn)擊OK Name:server replica IP Address:01(身份認(rèn)證樹的IP) port:636 勾選Use secure LDAP connections，點(diǎn)擊Auto import trusted root，在彈出的窗口中的Alias欄填入CERT_ROOT_IDS，其它選項(xiàng)保持默認(rèn)，點(diǎn)擊OK （3）、在Search Contexts菜單下點(diǎn)擊NEW,在彈出的對(duì)話框中輸入：o=novell其余選項(xiàng)保持默認(rèn)，點(diǎn)擊OK。最后完成結(jié)果如下圖：圖 4-20 userstore以及server replicas配置（六）、將配置文件應(yīng)用于IDS上： 1、將點(diǎn)擊Access Manager Identity Servers. 2、選中需要應(yīng)用配置文件的IDS，點(diǎn)擊Actions，在下拉菜單中選擇Assign to configuration。 3、在Assign Server(s) To Configuration對(duì)話框中選中剛才創(chuàng)建好的配置文件：serverconf，點(diǎn)擊Assign。 4、在彈出的對(duì)話框上點(diǎn)擊確定，等待IDS重啟。 5、在等候5分鐘（視物理機(jī)的性能而定）后，刷新該頁(yè)面，重新登陸。 6、點(diǎn)擊Access Manager Identity Servers.查看當(dāng)前應(yīng)用該配置文件的IDS是否成功啟動(dòng)。 7、成功啟動(dòng)圖片如下： 圖 4-21 IDS配置結(jié)果（七）、對(duì)于IDS的配置補(bǔ)充： 1、在配置Base URL時(shí)，其對(duì)應(yīng)的URL應(yīng)該為：ids.sf:8080/nidp 2、在配置Server replicas時(shí)，其對(duì)應(yīng)的IP應(yīng)該為：3二、AG的配置（一） 1、在瀏覽器中輸入ids.sf:8080/nps登陸Administration Console, 點(diǎn)擊Access Manager Access Gateways Edit Reverse Proxy / Authentication. 2、在Identity Server Configuration 選項(xiàng)下, 通過選擇剛才已經(jīng)賦予給IDS的配置文件使AccessGateway信任其對(duì)應(yīng)的IDS。 3、在Reverse Proxy List菜單下，點(diǎn)擊New，輸入reverse proxy的名稱，然后點(diǎn)擊OK. 4、在Proxy Service List下，點(diǎn)擊New，填入以下內(nèi)容后點(diǎn)擊Next (1)、Proxy Service Name: aaa （2）、Published DNS Name: aaa.sf （3）、Web Server IP Address: （4）、 Host Header: Forward Received Host Name option （5）、其余選項(xiàng)保持默認(rèn),最后結(jié)果如下圖： 圖 4-22 反向代理（二） 1、在Proxy Service List,，點(diǎn)擊剛才創(chuàng)建好的配置文件名 Protected Resources 2、在In the Protected Resource List，點(diǎn)擊New。 3、在彈出的對(duì)話框中輸入everything點(diǎn)擊OK。 4、Contract:選擇Name/Password-Form點(diǎn)擊OK。 5、在Protected Resource List中，點(diǎn)擊New，然后在URL Path List中點(diǎn)擊已經(jīng)存在的“/*”，在彈出的對(duì)話框中輸入portal的登陸頁(yè)面，例如：/DemoWeb/appmanager/p1/PORTAL。點(diǎn)擊OK 6、Contract:選擇Name/Password-Form。 7、點(diǎn)擊Form Fill表單，在Form Fill Policy List菜單下點(diǎn)擊Manage Polocies。 8、在Policies對(duì)話框中點(diǎn)擊New，輸入以下信息后點(diǎn)擊OK: （1）、Name：login_aaa （2）、Type：Access Gateway: Form Fill 9、在新彈出的窗口中點(diǎn)擊New，選擇Form Fill 10、在Do Form Fill 表單中填入以下內(nèi)容后點(diǎn)擊OK。 （1）、Form Name ：loginfrom （2）、Fill Options如下圖： 圖4-23 單點(diǎn)登陸填表策略 （3）、選中Auto Submit，點(diǎn)擊OK。 （4）、點(diǎn)擊Apply Changes，然后點(diǎn)擊CLOSE。 （5）、 在Form Fill Policy List中選擇剛才創(chuàng)建好的填表策略名，點(diǎn)擊Enable （6）、點(diǎn)擊OK，接著點(diǎn)擊最下面的Configuration連接，點(diǎn)擊OK （7）、點(diǎn)擊Apply Changes。等待彈出的對(duì)話框顯示Changes have been applied successfully。 第五章 代反向理單展示點(diǎn)登陸 第一節(jié) 反向代理的展示 一、當(dāng)我們剛對(duì)一個(gè)新系統(tǒng)頁(yè)面進(jìn)行它的單點(diǎn)登陸配置時(shí)，首先通過IP對(duì)該頁(yè)進(jìn)行訪問。是否能正常打開。我們就用以下的TOMCAT為例來進(jìn)行說明（tomcat是本機(jī)裝的一個(gè)用來測(cè)試的環(huán)境）。如下圖：圖 5-1 測(cè)試頁(yè)面二、在IDS上進(jìn)行域名的配置，在這里我獎(jiǎng)域名任意的設(shè)成：aaa.sf。并讓該域名指向我們之前配置的訪問網(wǎng)關(guān)的地址。三、下面我們開始在訪問網(wǎng)關(guān)中對(duì)該地址進(jìn)行反向代理配置將域名與tomcat的IP進(jìn)行對(duì)應(yīng)起來，如下圖 圖 5-2 測(cè)試頁(yè)面反向代理配置該圖的配置方法在前面AG 的配置中已經(jīng)說過。在這里我就不詳說明了。四、將域名與IP映射好了以后，再新建一個(gè)保護(hù)資源，在這可以先保護(hù)該地址下的所有頁(yè)面就可以了。圖 5-3 反向代理中受保護(hù)資源五、完成以上的操作將IDS與AG進(jìn)行更新，打開新的頁(yè)面輸入：aaa.sf能將其反向代理到如下頁(yè)面（能與它對(duì)應(yīng)的IP打開的頁(yè)面相同）。那么我們就成功的將其進(jìn)行了反向代理。 圖 5-4 通過域名成功反向代理頁(yè)面第二節(jié) 單點(diǎn)登陸的展示 一、當(dāng)我們配置好反向代理以后。在其保護(hù)資源中配置相應(yīng)的策略，在上面的頁(yè)面中對(duì)它進(jìn)行填表策略的配置。（注：下圖中的填表策略中的input field name項(xiàng)與tomcat的登陸頁(yè)面中name對(duì)應(yīng)）配置如下圖： 圖 5-5 單點(diǎn)登陸策略創(chuàng)建圖5-6 測(cè)試填表