計算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目五任務(wù)5.1Web站點(diǎn)的安全配置任務(wù)5.2SSL安全站點(diǎn)的配置任務(wù)5.3Web應(yīng)用程序的安全配置Web應(yīng)用的安全管理【學(xué)習(xí)目標(biāo)】知識目標(biāo)1．識記：Web應(yīng)用的體系架構(gòu)；SSL協(xié)議的概念、特性和體系結(jié)構(gòu)；SSL證書的功能和類型；Web應(yīng)用程序的安全威脅及危害。2．領(lǐng)會：Web應(yīng)用的安全威脅和防護(hù)方法；SSL協(xié)議的工作過程；SQL注入的工作原理；SQL注入攻擊的防御方法。技能目標(biāo)1．能實(shí)現(xiàn)Web站點(diǎn)的身份驗(yàn)證；2．學(xué)會SSL證書的安裝、配置和應(yīng)用的操作；3．能使用注入工具模擬SQL注入；4．會SQL注入防御的操作方法。素質(zhì)目標(biāo)

1．樹立正確的網(wǎng)絡(luò)道德觀、人生觀、世界觀和價值觀；2．具有協(xié)同合作的團(tuán)隊(duì)精神和良好的組織紀(jì)律性。項(xiàng)目五任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

子任務(wù)2Web站點(diǎn)其他安全的配置

Web應(yīng)用的安全管理【任務(wù)目標(biāo)】

1．會正確配置Web站點(diǎn)基本身份認(rèn)證服務(wù)，防止非法用戶登錄；2．能配置Web站點(diǎn)訪問權(quán)限控制，合理分配用戶訪問權(quán)限；3．能配置Web站點(diǎn)IP地址控制服務(wù)，根據(jù)使用情況合理添加允許或拒絕的IP地址；4．能通過修改Web站點(diǎn)端口號，提高Web站點(diǎn)安全性。項(xiàng)目五任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

子任務(wù)2Web站點(diǎn)其他安全的配置

Web應(yīng)用的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺

2、VMwareWorkstation軟件任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置【知識支撐】

一、Web應(yīng)用的體系架構(gòu)1、C/S體系結(jié)構(gòu)傳統(tǒng)的信息系統(tǒng)應(yīng)用模式是Client/Server（C/S）的體系結(jié)構(gòu)。在C/S體系結(jié)構(gòu)中，服務(wù)器端完成存儲數(shù)據(jù)、對數(shù)據(jù)進(jìn)行統(tǒng)一的管理、統(tǒng)一處理多個客戶端的并發(fā)請求等功能。客戶端作為和用戶交互的程序，完成用戶界面設(shè)計、數(shù)據(jù)請求和表示等工作。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置2、B/S體系結(jié)構(gòu)隨著瀏覽器的普遍應(yīng)用，瀏覽器和Web應(yīng)用的結(jié)合造就了Browse/Server（B/S）體系結(jié)構(gòu)。在B/S體系結(jié)構(gòu)中，瀏覽器作為“瘦”客戶端，只完成數(shù)據(jù)的顯示和展示功能，使得Web應(yīng)用程序的更新、維護(hù)不需要向大量客戶端分發(fā)、安裝、更新任何軟件，大大提升了部署和應(yīng)用的便捷性，有效地促進(jìn)了Web應(yīng)用的飛速發(fā)展。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置3、Web服務(wù)器軟件Web服務(wù)器軟件接收客戶端對資源的請求,在這些請求上執(zhí)行一些基本的解析處理后，將它傳送給Web應(yīng)用程序進(jìn)行業(yè)務(wù)處理，待Web應(yīng)用程序處理完成并返回響應(yīng)時，Web服務(wù)器再將響應(yīng)結(jié)果返回給客戶端，在瀏覽器上進(jìn)行本地執(zhí)行、展示和渲染。目前常見的Web服務(wù)器軟件有微軟公司的IIS、開源的Apache等。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

二、Web應(yīng)用的安全威脅針對Web應(yīng)用體系結(jié)構(gòu)的4個組成部分，Web應(yīng)用的安全威脅主要集中在下面4個方面。

1、針對Web服務(wù)器軟件的安全威脅

IIS等流行的Web服務(wù)器軟件都存在一些安全漏洞，攻擊者可以利用這些漏洞對Web服務(wù)器進(jìn)行入侵滲透。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

2、針對Web應(yīng)用程序的安全威脅

開發(fā)人員在使用ASP、PHP等腳本語言實(shí)現(xiàn)Web應(yīng)用程序時，由于缺乏安全意識或者編程習(xí)慣不良等原因，導(dǎo)致開發(fā)出來的Web應(yīng)用程序存在安全漏洞，從而容易被攻擊者所利用。典型的安全威脅有SQL注入攻擊、XSS跨站腳本攻擊等。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

3、針對傳輸網(wǎng)絡(luò)的安全威脅該類威脅具體包括針對HTTP明文傳輸協(xié)議的網(wǎng)絡(luò)監(jiān)聽行為，在網(wǎng)絡(luò)層、傳輸層和應(yīng)用層都存在的假冒身份攻擊，傳輸層的拒絕服務(wù)攻擊等。4、針對瀏覽器和終端用戶的Web瀏覽安全威脅這方面的安全威脅主要包括網(wǎng)頁掛馬、網(wǎng)站釣魚、瀏覽器劫持、Cookie欺騙等。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

三、Web安全的實(shí)現(xiàn)方法從TCP/IP協(xié)議棧的角度,實(shí)現(xiàn)Web安全的方法可以劃分為三種。1、基于網(wǎng)絡(luò)層實(shí)現(xiàn)Web安全傳統(tǒng)的安全體系一般都建立在應(yīng)用層上，但是由于在網(wǎng)絡(luò)層的IP數(shù)都包本身不具備任何安全特性，很容易被查看、篡改、偽造和重播，因此存在很大的安全隱息，而基于網(wǎng)絡(luò)層的Web安全技術(shù)能夠很好地解決這一問題。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置IPSec可提供基于端到端的安全機(jī)制，可以在網(wǎng)絡(luò)層上對數(shù)據(jù)包進(jìn)行安全處理，以保證數(shù)據(jù)的機(jī)密性和完整性。這樣，各種應(yīng)用層的程序就可以享用IPSec提供的安全服務(wù)和密鑰管理，而不必設(shè)計和實(shí)現(xiàn)自己的安全機(jī)制，因此減少了密鑰協(xié)商的開銷，降低了產(chǎn)生安全漏洞的可能性。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

2、基于傳輸層實(shí)現(xiàn)Web安全SSL協(xié)議就是一種常見的基于傳輸層實(shí)現(xiàn)Web安全的解決方案。SSL提供的安全服務(wù)采用了對稱加密機(jī)制，對Web服務(wù)器和客戶端的通信提供了機(jī)密性、完整性和認(rèn)證服務(wù)。SSL協(xié)議在應(yīng)用層協(xié)議通信之前，就已經(jīng)完成加密算法、通信密鑰的協(xié)商，以及服務(wù)器認(rèn)證工作。在此之后，應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證了通信的安全。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置3、基于應(yīng)用層實(shí)現(xiàn)Web安全這種解決方案是將安全服務(wù)直接嵌人到應(yīng)用程序中，從而在應(yīng)用層實(shí)現(xiàn)通信安全。PGP系統(tǒng)和SET協(xié)議都是具體的例子。它們都可以在相應(yīng)的應(yīng)用中提供機(jī)密性、完整性、認(rèn)證和不可否認(rèn)性等安全服務(wù)。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

【任務(wù)實(shí)施】1、實(shí)訓(xùn)基本環(huán)境的搭建1）啟動VMwareWorkstation2）開啟虛擬機(jī)WindowsServer2012作為Web服務(wù)器端，開啟虛擬機(jī)Win7-1作為Web客戶端3）服務(wù)器端的IP地址設(shè)置為/24，客戶端的IP地址設(shè)置為/24，使兩者之間可以互通

4）服務(wù)器端新建用戶user1任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

2、服務(wù)器端架設(shè)IIS網(wǎng)站打開服務(wù)器管理器，在管理菜單欄中選擇“添加角色和功能”選項(xiàng)，在其中的向?qū)Ｊ街羞x擇安裝Web服務(wù)器(IIS)，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

3、客戶端登錄網(wǎng)站打開網(wǎng)頁瀏覽器，在地址欄中輸入，就會出現(xiàn)如圖所示的畫面。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

4、服務(wù)器端安裝身份認(rèn)證服務(wù)打開服務(wù)器管理器，在管理菜單欄中選擇“添加角色和功能”選項(xiàng)，在Web服務(wù)器（IIS）中選擇“Windows身份認(rèn)證”和“基本身份認(rèn)證”選項(xiàng)，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

5、配置基本身份認(rèn)證服務(wù)在管理工具中打開InternetInformationServices（IIS）管理器，選擇“DefaultWebSite”網(wǎng)站中的身份認(rèn)證選項(xiàng)，禁用“匿名身份認(rèn)證”，開啟“基本身份認(rèn)證”，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置設(shè)置完成后，在客戶端上打開網(wǎng)站時就會彈出如圖所示的身份認(rèn)證對話框，此時只有輸入正確的用戶名和密碼，才可以登錄到網(wǎng)站上。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

6、配置Windows身份認(rèn)證服務(wù)在管理工具中打開InternetInformationServices（IIS）管理器，選擇“DefaultWebSite”網(wǎng)站中的身份認(rèn)證選項(xiàng)，禁用“基本身份認(rèn)證”，開啟“Windows身份驗(yàn)證”，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置設(shè)置完成后，在客戶端上打開網(wǎng)站時同樣會彈出身份認(rèn)證對話框，同樣只有輸入正確的用戶名和密碼才可以登錄到網(wǎng)站上。

這種身份驗(yàn)證方法的安全級別要高于基本身份驗(yàn)證，因?yàn)榛旧矸蒡?yàn)證發(fā)送密碼的方式是明文傳輸，而Windows身份驗(yàn)證方式為密文傳輸，所以推薦使用這種方式做為網(wǎng)站的身份驗(yàn)證方式。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置項(xiàng)目五任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)1Web站點(diǎn)身份驗(yàn)證的配置

子任務(wù)2Web站點(diǎn)其他安全的配置

Web應(yīng)用的安全管理【任務(wù)環(huán)境】1、主流PC機(jī)一臺

2、VMwareWorkstation軟件任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置

【任務(wù)實(shí)施】1、啟動VMwareWorkstation，然后開啟虛擬機(jī)WindowsServer2012作為Web服務(wù)器，開啟虛擬機(jī)Win7-1作為Web客戶端2、新建用戶test1和用戶組test，并將用戶test1加入到用戶組test中

任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置

3、配置Web站點(diǎn)訪問權(quán)限控制右擊Web站點(diǎn)主目錄，默認(rèn)主目錄為C:\inetpub\

wwwroot，在彈出的菜單中選擇屬性，在屬性文本框中單擊安全選項(xiàng)卡，將安全權(quán)限設(shè)置為如圖所示的權(quán)限，即Administrators管理員組擁有完全控制權(quán)限，test組僅擁有讀取權(quán)限，其他組沒有權(quán)限。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置

此時在客戶端使用user1和test1用戶再次登錄網(wǎng)站，只有test1可以登錄，而user1則無法登錄。

任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置

4、配置Web站點(diǎn)IP地址控制

1）安裝IP地址控制服務(wù)打開服務(wù)器管理器，在管理菜單欄中選擇“添加角色和功能”選項(xiàng)，在Web服務(wù)器（IIS）中選擇“IP和域控制”選項(xiàng)，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置

2）配置IP地址控制服務(wù)在管理工具中打開InternetInformationServices（IIS）管理器，選擇“DefaultWebSite”網(wǎng)站中的IP地址和域限制選項(xiàng)，如圖所示。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置在其中可以選擇添加允許條目或者添加拒絕條目。如果訪問網(wǎng)站的客戶端較少，則選擇添加允許條目，將允許訪問網(wǎng)站的IP地址或者IP地址范圍添加進(jìn)去，同時在編輯功能設(shè)置中將未指定的客戶端的訪問權(quán)設(shè)置為拒絕，這樣在允許條目的IP地址可以訪問網(wǎng)站，而其他地址則不可以訪問。如果訪問網(wǎng)站的客戶端較多，則選擇添加拒絕條目，將拒絕訪問網(wǎng)站的IP地址或者IP地址范圍添加進(jìn)去，這樣在拒絕條目的IP地址不可以訪問網(wǎng)站，而其他地址則可以訪問。任務(wù)5.1Web站點(diǎn)的安全配置

子任務(wù)2Web站點(diǎn)其他安全的配置此處配置拒絕的地址訪問網(wǎng)站，如圖所示。任務(wù)5.1Web