《数字与网络生活导论》项目九 网络服务安全

数字与网络生活导论

项目九网络服务安全

项目目标●了解Web安全应用，会在配置Web时考虑安全问题。●了解E-mail的安全问题。●了解DNS安全应用，会在配置DNS时考虑安全问题。●了解FTP的安全问题。任务一

了解Web安全配置

有关数据显示，在所有与黑客攻击有关的活动中，90%以上涉及数据泄露的事件均是黑客利用网络应用层的漏洞所导致的。因此，网络应用安全已经不再是信息安全领域的局部问题，目前已演变成为影响网络安全的主要问题，需要所有人给予更多的关注。Web服务是人们在互联网上应用最多的一种服务，其安全性自然不容小觑。案例17：上海私车额度拍卖系统遭受网络攻击事件任务活动1．教师展示案例，讲解案例涉及的专业术语和知识（1）安全漏洞、拒绝服务攻击等。（2）Web服务的基本工作原理。（3）Web服务中存在的安全性问题。2．收集与Web有关的攻击案例

学生自主分组并充分利用网络资源进行案例收集，小组活动结束后应形成以下成果：（1）收集到若干个与Web有关的攻击案例。（2）一份简单的攻击案例分析报告。（3）简短的小组活动总结。任务活动3．与Web有关的攻击案例讨论

根据对教材展示案例和自己收集案例的讨论结果，分组发言表达各组对Web服务安全性的看法，最终形成对保护Web安全较为统一的认识。讨论可以围绕以下问题展开：（1）对Web实施攻击的目的何在？（2）攻击行为对网络应用产生何种影响？（3）Web服务为什么易遭受攻击？任务操作

配置IISWeb时充分考虑应用的安全性，在一定程度上可以减少安全事件的发生。配置IISWeb服务器的操作过程如下。（1）双击“控制面板”中的“管理工具”命令，打开“管理工具”窗口。双击“Internet服务（IIS）管理器”图标，打开“Internet信息服务（IIS）管理器”窗口。任务操作（2）鼠标指向左面窗格中的“网站”文件夹，右击，打开快捷菜单，选择“新建”中的“网站”命令，打开“网站创建向导”的“欢迎使用网站创建向导”界面。（3）单击“下一步”按钮，打开“网站描述”界面。在“描述”文本框中输入网站描述信息，如“aa”。（4）单击“下一步”按钮，打开“IP地址和端口设置”界面，在“网站IP地址”下拉列表中选择“6”，在“网站TCP端口”文本框中采用默认的80端口.（5）单击“下一步”按钮，打开“网站主目录”界面，在“路径”文本框中选择网站的主目录C:\mysite，选中“允许匿名访问网站”复选框。（6）单击“下一步”按钮，打开“网站访问权限”界面，选中“读取”和“运行脚本（如ASP）”复选框。任务操作（7）单击“下一步”按钮，打开“已成功完成网站创建向导”界面。（8）单击“完成”按钮，完成新站点创建操作。（9）在“Internet信息服务（IIS）管理器”窗口，鼠标指向新建的站点aa，右击，打开快捷菜单，选择“属性”命令，打开“aa属性”对话框。（10）单击“网站标识”选项中的“高级”按钮，打开“高级网站标识”对话框。（11）选中IP地址，单击“编辑”按钮，打开“添加/编辑网站标识”对话框，在“主机头值”文本框中输入。（12）单击“确定”按钮，返回“aa属性”对话框，单击“应用”按钮。（13）单击“主目录”选项卡，选中“读取”“记录访问”“索引资源”复选框。任务操作（14）选中“目录安全性”选项卡，在“身份验证和访问控制”选项中单击“编辑”按钮，打开“身份验证方法”对话框，取消“集成Windows身份验证”复选框。（15）单击“确定”按钮，完成设置。（16）选中“目录安全性”选项卡，在“IP地址和域名限制”选项中单击“编辑”按钮，打开“IP地址和域名限制”对话框。（17）选中“拒绝访问”单选钮，单击“添加”按钮，打开“授权访问”对话框，选中“一组计算机”单选钮，在“网络标识”文本框中输入“”，在“子网掩码”文本框中输入“”。（18）单击“确定”按钮，返回“IP地址和域名限制”对话框。单击“确定”按钮，完成“IP地址和域名限制”设置。（19）在局域网或远程计算机上，打开IE浏览器，在地址栏中输入6或，按回车键，将显示站点网页。知识链接1．Web服务的基本工作原理Web服务基于客户机/服务器的工作模式，由Web浏览器（客户机）和Web服务器（服务器）构成，两者之间采用超文本传送协议（HTTP）进行通信。HTTP协议是基于TCP/IP协议之上的协议，是Web浏览器和Web服务器之间的应用层协议。HTTP协议的工作过程包括连接、请求、应答、关闭4个过程。2．Web服务存在的安全问题（1）服务器及网络环境的安全。（2）Web服务器应用安全。（3）网站应用程序安全。（4）WebServer周边应用的安全。任务拓展：电子邮件加密传输电子邮件传输过程中存在被截收的安全风险，对于重要的电子邮件应考虑加密传输，使用PGP加密传输电子邮件的操作过程如下。1．下载、安装PGP2．新建用户密钥3．使用PGP实现邮件加密传输常见问题及解决策略1．经常修补漏洞，还是受到了攻击危害

漏洞是指系统中存在的任何不足或缺陷。一般认为，网络安全的漏洞问题可以从两个方面来理解。一方面，漏洞是指系统安全过程、管理控制以及内部控制等存在的缺陷，它能够被威胁利用，从而获得对信息的非授权访问或者对破坏关键数据的处理。另一方面，漏洞是指在物理层、组织、程序、人员、软件或硬件方面的缺陷，它能够被利用而导致对自动数据处理系统或行为的损害。可以看出，漏洞除了系统本身固有的缺陷之外，还应包含用户的不当配置、管理或制度上的风险或是其他非技术因素造成的不足或错误。概括起来，漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而使攻击者能够在未授权的情况下访问或破坏系统。2．密码攻击就是将加密内容还原成原文

将密码攻击理解成还原密文太过狭隘，随着技术的不断进步，有些加密是不可逆的，根本没有办法还原。那是不是就没有办法利用密码进行攻击呢，当然不是。密码是一道阻止非法进入系统的屏障，只要能获取系统认可的密码，就可以顺利进入系统，所以就出现了记录敲击键盘密码的钩子程序，也有直接获取加密后的密文并交由系统验证从而进入系统的案例。任务二

了解DNS安全配置

域名解析系统（DomainNameSystem，DNS）的主要作用是建立域名和IP地址的对应关系，满足用户使用域名上网的要求。域名解析系统的复杂性和网络服务的基础性，使其安全问题成为业界普遍关注的问题，加之频发的DNS劫持事件，更加剧了人们对其安全性的担忧。案例18：DNS大面积故障致网络瘫痪任务活动1．教师展示案例，讲解案例涉及的专业术语和知识（1）DNS、DNS结构和解析。（2）DNS存在的安全问题。2．DNS攻击案例收集

学生自主分组并充分利用网络资源进行DNS攻击案例收集，小组活动结束后应形成以下成果：（1）收集到若干个DNS攻击的真实案例。（2）一份简单的案例分析报告。（3）简短的小组活动总结。任务活动3．DNS攻击案例讨论

根据对教材展示案例和自己收集案例的讨论结果，分组发言，说说对DNS攻击的看法，最终全面了解DNS攻击的危害性。讨论可以围绕以下问题展开：（1）实施DNS攻击的目的何在？（2）DNS攻击产生的后果有哪些？（3）常见的DNS攻击有哪些？（4）如何保障DNS的安全？任务操作

利用IP地址可以访问网络中的计算机，但是，仅利用IP地址访问网络计算机，记忆IP地址就可能成为不可逾越的障碍。DNS服务器提供了主机或域名与IP地址相互转换功能，使得利用域名也可以访问网络中的计算机。安全配置DNS服务器的操作过程如下。（1）单击“开始→管理工具→DNS”命令，打开“dnsmgmt-[DNS\W\正向查找区域]”窗口。任务操作（2）鼠标指向DNS控制台左侧窗格中的“正向查找区域”文件夹，右击，打开快捷菜单，选择“新建区域”命令，打开“新建区域向导”的“欢迎使用新建区域向导”界面。（3）单击“下一步”按钮，打开“区域类型”界面，选中“主要区域”单选按钮。（4）单击“下一步”按钮，打开“ActiveDirectory区域复制作用域”界面，选中“至ActiveDirectory域中的所有域控制器”单选按钮。（5）单击“下一步”按钮，打开“区域名称”界面，在“区域名称”文本框中输入新区域的名称“

”。（6）单击“下一步”按钮，打开“动态更新”界面，选择默认值“只允许安全的动态更新（适合ActiveDirectory使用）”。任务操作（7）单击“下一步”按钮，打开“正在完成新建区域向导”界面，显示新建区域的详细信息。（8）单击“完成”按钮，完成创建正向查找区域操作。在“dnsmgmt-[DNS\W\正向查找区域]”窗口显示新建的正向查找区域“”。（9）鼠标指向DNS控制台的“”，右击，打开快捷菜单，选择“新建主机”命令，打开“新建主机”对话框，在“名称”文本框中输入“www”，在“IP地址”文本框中输入“5”。（10）单击“添加主机”按钮，显示“成功地创建了主机记录”的提示信息。（11）单击“确定”按钮，返回“新建主机”对话框，单击“完成”按钮，完成主机www的添加。任务操作（12）鼠标指向DNS服务器DNS，右击，打开快捷菜单，选择“属性”命令。打开DNS服务器属性对话框，选择“转发器”选项卡，在“所选域的转发器的IP地址列表”文本框中输入“8”，单击“添加”按钮，DNS服务器IP地址出现在列表框中。（13）单击“确定”按钮，保存对转发器的设置。（14）单击“安全”选项卡，在“组或用户名称”中选择“Everyone”用户，在“Everyone的权限”选项中选择“读取”选项。单击“确定”按钮。（15）在“dnsmgmt-[DNS\W\正向查找区域]”窗口中，鼠标指向“反向查找区域”文件夹，单击右键，打开快捷菜单，选择“新建区域”命令，打开“欢迎使用新建区域向导”对话框。（16）单击“下一步”按钮，在“区域类型”对话框中，选中“主要区域”单选按钮。在“ActiveDirectory区域复制作用域”对话框中，选中“至ActiveDirectory域中的所有域控制器”单选钮。任务操作（17）单击“下一步”按钮，打开“反向查找区域名称”对话框，在“网络ID”文本框中输入“192.168.0”。（18）单击“下一步”按钮，打开“动态更新”对话框，选择默认值“只允许安全的动态更新（适合ActiveDirectory使用）。（19）单击“下一步”按钮，打开“正在完成新建区域向导”对话框，显示新建区域的详细信息。（20）单击“完成”按钮，完成创建“反向查找区域”操作。在“dnsmgmt-[DNS\W\反向查找区域]”窗口中显示新建的“反向查找区域”。任务操作（21）鼠标指向新建立的192.168.0.XSubnet，右击，打开快捷菜单，选择“新建指针”命令，打开“新建资源记录”对话框。在“主机IP号”文本框中输入DNS服务器IP地址的最后一组数字“15”，在“主机名”文本框中输入“”。（22）单击“确定”按钮，返回“dnsmgmt-[DNS\W\反向查找区域]”窗口，新建立的指针显示在窗口中。（23）在命令提示符窗口，执行“nslookup”命令，输入要测试的域名“”，按回车键可成功解析服务器的IP地址“5”。输入服务器的IP地址“5”，可成功解析服务器域名。知识链接1．域名解析系统DNS是一种组织成域层次结构的计算机和网络服务命名系统，提供将域名转换为IP址的一种方法或服务。2．域名解析

域名系统由大量的域名服务器构成，域名地址采用分布式数据存储，需要层层解析。负责解析域名的三种服务器分别是本地域名服务器、授权域名服务器和根域名服务器。3．DNS的常见安全威胁

从安全的角度来看，对DNS的攻击方式主要包括流量型拒绝服务攻击、异常请求访问攻击和DNS劫持攻击三大类，其中DNS劫持攻击最多。任务拓展：FTP安全配置

在配置FTP服务器时，充分考虑应用中可能出现的安全性问题，可以在很大程度上减少安全事件的发生，提高FTP的应用安全性能。安全配置FTP的操作如下。（1）单击Serv-U安装软件，进入安装界面。（2）在“选择安装语言”对话框中选择“中文（简体）”。（3）单击“确定”按钮，进入Serv-U安装向导界面。（4）按照安装提示，完成Serv-U软件的安装。（5）单击“确定”按钮，打开创建“域向导”对话框，在“名称”文本框中输入“xiazai”。（6）单击“下一步”按钮，打开“协议端口”对话框。（7）单击“下一步”按钮，打开“IP地址设置”对话框，在“IPv4地址”下拉列表中选择Serv-u服务器IP地址。任务拓展：FTP安全配置（8）单击“下一步”按钮，打开“密码加密模式”对话框，选择“使用服务器设置（加密：单项加密）”。（9）单击“完成”按钮，完成新域名的建立。打开创建用户账户信息提示对话框。（10）单击“是”按钮，打开创建“用户向导”对话框，在“登录ID”对话框中输入用户名“user”。（11）单击“下一步”按钮，打开“密码设置”对话框，在“密码”文