Internet 应用服务安全

Internet应用服务安全一组：陈进飞江启张文灿曾保王思思李文和1目录Internet应用服务概述1.客户机/服务器模型2.应用服务的划分3.Internet的安全1Web服务的安全1.IIS-Web安全设置2.浏览器的安全性FTP服务的安全2电子邮件服务的安全1.Email工作原理及安全漏洞3SQLServer2000安全1.身份认证模式2.安全配置42Internet应用服务概述客户机/服务器模型1.客户机/服务器模型

服务器：能在网络上提供服务的任何程序

客户机与服务器的交互中有两个重要的观点：（1）服务器在交互开始前已经运行，被动接受请求，客户机主动发出请求并等待响应（2)服务器会使用一个保留端口响应服务，服务器方要使用固定的端口

3Internet应用服务概述2.客户机特点

（1）客户机提供一个客户界面负责完成用户命令和数据的输入（2）一个客户机/服务器可以包括多个客户机，但每个客户机都要有一致的用户界面（3）客户机和服务器使用一种标准的语言或用该系统内特定的语言来传递信息（4）客户机可以使用缓存或优化技术以减少到服务器的查询或执行安全和访问控制检查，还可以检查命令完整性（5）客户机通过一个进程间通信机制和服务器完成通信，并把查询或命令传到服务器（6）客户机对服务器送回的查询或命令结果数据进行分析处理，然后把它们提交给用户4Internet应用服务概述3.服务器的特点（1）服务器向客户机提供一种服务，服务类型由客户机/服务器系统自己确定（2）服务器只负责响应来自客户机的查询或命令4.客户机/服务器模式特点（1）桌面上的智能化（2）最优化的共享服务器资源（3）优化网络利用率5Internet应用服务概述应用服务的划分1.文件服务2.打印服务3.Web服务4.电子邮件服务5.终端服务6.路由和远程访问服务7.虚拟专用网（VPN）服务8.域名服务9.动态主机配置协议服务10.流媒体服务11.FTP服务12.新闻服务13.代理服务14.即时通信服务15.网络办公服务16.数字证书服务（PKI和CA）6Internet应用服务概述Internet的安全1.安全隐患（1）通过IP地址识别网络上的用户是完全不可靠的（2）Internet本身没有中央管理机制（3）Internet从技术上讲是开放的、标准的（4）Internet没有审计和记录的功能2.产生原因（1）薄弱的认证环节（2）系统的易被监视性（3）网络系统易被欺骗性（4）复杂的设备和控制（5）通信协议存在安全问题7Web服务的安全1.WWW服务又称Web服务，是建立在HTTP上全球信息库，是Internet上HTTP服务器的集合，是人们最常用的Internet服务2.用户使用浏览器时，实际上是通过HTTP申请服务，也会去申请其他服务器，而这些服务器都存在漏洞，因此不安全3.通过Web会引入外部文件和程序，他们一般对这些文件和程序的安全考虑的很少，因此会带来很多安全问题8Web服务的安全1.IIS-Web安全设置（1）IIS安全设置1）避免安装在主域控制器上2）避免安装在系统分区上3）使用高度安全的密码，设置密码策略4）端口安全性的体现9Web服务的安全2.IIS-Web服务器的安全性(1)登陆认证的安全(如图)1）匿名访问方式2）基本验证方式3）集成Windows验证方式10Web服务的安全（2）设置用户审核（3）设置WWW目录的访问权限（4）IP地址的控制（5）使用SSL（6）其他安全措施1）停用.bat和.cmd文件的映射功能2）将脚本程序和数据存储在不同的目录3）禁用DirectoryBrowsingAllowed（允许目录浏览）4）避免使用RemoteVirtualDirectories(远程虚拟目录）5）牢记特权最小的原则6）全面测试Web服务器的安全性11Web服务的安全3.浏览器的安全性（1）Cookie及安全设置1.Cookie（Cookie是由Netscape开发并作为持续保存状态信息和其他信息的一种方式）从普通用户意义上讲，Cookies本身是安全的，而在网络上，Cookies内嵌于html信息中，在传递过程中，若用户注册信息未加密将会很危险。2.拒绝Cookies的方法1)通过删除相应文件内容来破坏Cookies，，然后修改属性2）通过IE浏览器总体提供的Cookies的【安全】选项卡12Web服务的安全3）通过注册表禁止Cookies。可删除注册表中的如下条目：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Cache\SpecialPaths\Cookies，然后重新启动机器，并删除Windows\Cookies目录。13（2）ActiveX及安全设置1.ActiveX（ActiveX是Microsoft公司提供的一款高级技术，它可以像一个应用程序一样在浏览器中显示各种复杂的应用，但正因为它的强大功能，它的危害性也就进一步加大了，用户在通过浏览器浏览一些带有恶意ActiveX控件时，这些控件可以在用户毫不知情的情况下执行Windows系统中的任何程序，带来安全风险14Web服务的安全2.ActiveX的安全设置（1）对标记为课安全执行的AcitveX控件执行脚本（2）对没有标记为安全的ActiveX控件进行初始化和脚本化（3）下载未签名的ActiveX控件（4）下载已签名的ActiveX控件（5）运行ActiveX控件和插件15Web服务的安全（3）java语言及安全设置1.Java语言的特性Java可以最大限度的利用网络，虽然Java给用户提供了很大方便，但也给了黑客可乘之机，造成安全隐患2.Java的安全设置（1）打开IE浏览器，选择【工具】【Internet选项】命令（2）在所打开的对话框中，选择【安全】选项卡（3）单击选项卡上方列表中Internet图标，代表要设置整个IE的安全设置（4）单击选项卡下方的【自定义级别】按钮，打开【安全设置】对话框（5）移动对话框的垂直滑块，直到看到【Java权限】选项16FTP服务的安全1.目录安全设置2.用户验证控制3.IP地址限制访问4.其他安全措施（1）一定要确保FTP用户无法进入目录以外的目录，同时要使用NTFS来保证服务器的安全（2）避免使用远程虚拟目录（3）一定要启动日志记录功能，即时发现可疑活动（4）如果只计划运行FTP服务器，就只开放端口20和端口21（5）全面测试FTP服务器，并设法找出所有漏洞17电子邮件服务的安全1.E-mail工作原理及安全漏洞一个邮件系统包含了邮件用户代理（MailUserAgent，MUA）、邮件传输代理（MailTransferAgent，MTA）两大部分（1）本地邮件传递（2）远程邮件传递18电子邮件服务的安全2.安全风险（1）E-mail的漏洞（E-mail服务器向全球开放，很容易受到黑客攻击）（2）匿名转发（3）E-mail诈骗（4）垃圾邮件19电子邮件服务的安全3.安全措施（1）借助防火墙，预防黑客攻击（2）对于重要的电子邮件可以加密传送，并进行数字签名（3）在邮件客户端和服务器采用必要的措施防范和解除邮件炸弹以及邮件垃圾（4）检查电子邮件来源，进行邮件完整性检测，车看邮件是否被非法修改（5）检查电子邮件是否感染病毒，以便采用不同方法进行诊断和消除（6）将转发垃圾邮件的服务器放到“黑名单”中进行封堵20电子邮件服务的安全4.IIS-SMTP邮件安全（1）在【常规】选项卡中设置（2）在【访问】选项卡中设置（3）在【邮件】选项卡中设置（4）在【传递】选项卡中设置（5）在【安全】选项卡中设置21SQLServer2000安全1.身份认证模式（1）账号与认证SQLServer2000安装好后，在系统内将创建三个账号：BUILTIN\Adminstrator、KG_TR_MIS\Adminstrator、sa(systemad