《网络系统安全运行与维护》课件项目三 任务三 加强Windows系统IIS服务的安全防御

项目三Windows服务器系统安全运行与维护项目主要内容：任务一提高Windows系统活动目录服务的安全任务二加强Windows系统DHCP服务的安全防御任务三加强Windows系统IIS服务的安全防御任务四加强Windows系统DNS服务的安全防御任务提出

在网络中，为了实现资源共享，需要搭建Web服务器和FTP服务器。通过Windows中的IIS程序能够搭建网络的Web和FTP服务器。由于IIS服务程序对外提供Web服务，经常受到来自网络内部或外部的黑客攻击，造成网络内部的IIS服务器经常处于不稳定状态。为了实现IIS的安全，需要在网络中部署WindowsIIS服务安全策略，防止黑客攻击。1.安装和配置IIS服务器

在WindowsServer2008R2系统中安装IIS服务，创建网站，使得PC端能够访问网站。2.部署WindowsIIS服务的安全策略

在IIS服务器上，限制端口访问、设置包过滤、配置SSL服务，从整体上提高IIS服务安全性。任务分析1.安装和配置IIS服务器IIS(InternetInformationServer)是微软公司主推的Web服务器程序，通过IIS可以配置一台功能完备的Web服务器。通过在WindowsServer2008R2系统中安装IIS服务，即可实现访问Web网页，以此测试所搭建的IIS服务是否有效。2.部署WindowsIIS服务的安全策略

限制端口访问可以修改Web服务使用的HTTP协议的默认端口号，用户在访问网页时必须在URL后加上修改后的端口号，才可以访问相关网页，这样可以防止黑客对IIS服务的攻击。

在包过滤安全设置中，设置服务器接收信息的端口号，筛选流向服务器的信息，只有允许的端口号才可以接收数据流，未被允许的端口号不能接收数据流。SSL(SecureSocketLayer，安全套接层)是数字证书的一种，SSL证书用于在客户端浏

览器和Web服务器之间建立一条安全通道。SSL安全协议是由NetscapeCommunication公司开发的，该安全协议主要用来提供对用户和服务器的认证，对传送的数据进行加密，确保数据在传送中不被改变，现已成为安全领域的全球化标准。由于SSL技术已应用到所有知名浏览器和Web服务器程序中，所以只需安装服务器证书就可以激活该功能，即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，防止数据信息被泄露，保证通信双方安全传递信息。

(1)SSL证书安全认证的原理SSL技术通过加密信息来保护网站安全。一份SSL证书包括一个公共密钥和一个私有密钥，公共密钥用于加密信息，私有密钥用于解密信息。用户和IIS服务器建立连接后，服务器会把数字证书与公共密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器再用私有密钥进行解密，这样客户端和服务器之间就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。(2)SSL证书的功能鉴别网站的真实性：用户登录网站进行在线购物或电子交易时，由于Internet的广泛性和开放性，使得Internet上存在着许多假冒的钓鱼网站。用户可以利用SSL证书来鉴别网站的身份，判断网站的真实性。保证信息传输的机密性：用户登录网站进行在线购物或电子交易时，需要多次向服务器端传送信息，而这些信息很多是用户的隐私信息，直接涉及经济利益或私密，利用SSL证书建立一条安全的信息传输加密通道，可以确保信息的安全。

默认情况下，Web连接采用HTTP协议，HTTP协议是以明文形式来传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取。SSL证书连接采用HTTPS协议，SSL证书连接的URL(UniformResourceLocator，统一资源定位器）格式为“https://网站域名”。任务实施1.安装和配置IIS服务器操作步骤如下：步骤1：实验准备阶段，根据项目一中任务一知识点，在VMwareWorkstation中部署两台WindowsServer2008R2虚拟机Server和PC，并将两台虚拟机实现网络连通。Server和PC的IP地址规划如表所示。设备名称设备角色操作系统IP地址ServerIIS服务器WindowsServer2008/24PCIIS客户端WindowsServer2008/24步骤2：在Server上安装IIS服务第1步：在Server上安装IIS服务。依次选择“开始”-“管理工具”-“服务器管理器”-“角色”-“添加角色”，进入添加角色向导，单击“下一步”按钮，在服务器角色选项中选择“Web服务器（IIS）”，如图1所示。依次单击“下一步”按钮，完成安装IIS服务。图1第2步：在Server上创建Web站点在C盘上创建文本文档index.txt，输入内容为“Welcome！”，然后将文本文档扩展名修改为html，如图2所示。选择“开始”—“管理工具”—“Internet信息服务（IIS)管理器”菜单命令，打开“Internet信息服务（IIS)管理器”窗口，如图3所示。图2图3展开PDC节点，在“网站”节点上右键单击，在弹出的快捷菜单中选择“添加网站”，打开添加网站对话框，输入要创建的网站名称、物理路径、绑定协议、IP地址以及端口等信息，如图4所示。点击“index”节点，如图5所示。在右侧操作栏中点击“浏览:80（http）”，查看网页是否能够运行，若网站创建成功，会弹出如图2一样的网页。图4图5第3步：在PC上测试Web站点打开IE浏览器，输入网址“”，显示结果同图2。2.部署WindowsIIS服务的安全策略步骤2：部署WindowsIIS服务安全策略第1步：在Server上配置端口安全限制在index主页，在右侧单击“绑定”，进入“网站绑定”对话框，如图6所示。在“网站绑定”对话框中，选中对话框中已有网站条目，在右侧选项中单击“编辑”按钮，将端口号设置为8080，主机名设为，如图7所示。图6图7重新在Server上打开IE浏览器，输入网址http://www.:8080，如图8所示。图8第2步：在Server上设置访问权限在index主页对话框中，右键单击“目录浏览”选项，选择“打开功能”，进入目录浏览对话框，如图9所示。在对话框右侧列表中，单击“启用”，开启目录浏览功能，使访问者具有浏览信息的权限。图9第3步：在Server上关闭不需要的服务选择“开始”—“管理工具”—“服务”菜单命令，打开“服务”窗口，如图10所示。右键单击“WorldWideWebPublishingService”服务，打开其属性对话框，在“启动类型”中选择“禁用”选项，单击“停止”按钮停止该服务，如图11所示。图10图11第4步：在Server上设置包过滤单击“控制面板”—“系统和安全”—“Windows防火墙”—“高级设置”—“入站规则”，在右侧窗口中选择“新建规则”，打开“新建入站规则向导”窗口，如图12所示。图12在“新建入站规则向导”窗口，选择要创建的规则类型为“端口”，单击“下一步”按钮，在“协议和端口”窗口中选择“TCP协议”，“特定本地端口”栏中输入80和443端口号，如图13所示。单击“下一步”按钮，在“操作”窗口中选择“允许连接”，如图14所示。图13图14单击“下一步”按钮，在“名称”窗口中选择“允许连接”，如图15所示。单击“完成”按钮，完成规则的创建，这样该服务器只接收来自80、443端口的信息。图15步骤3：配置SSL服务第1步：在PC上安装证书服务要想使用SSL安全机制，首先必须为WindowsServer2008系统安装ActiveDirectory证书服务，本任务中将IIS服务和ActiveDirectory证书服务分开，分别安装在Server和PC上，以避免在申请证书时出现Server既是证书申请方又是证书颁发方，IIS服务和ActiveDirectory证书服务混淆的情况。依次选择“开始”-“管理工具”-“服务器管理器”-“角色”-“添加角色”，进入添加角色向导，单击“下一步”按钮，在选择服务器角色时，选择“ActiveDirectory证书服务”，如图16所示。图16单击“下一步”按钮，在“选择角色服务”窗口勾选“证书颁发机构Web注册”复选框，如图17所示。图17单击“下一步”按钮，在“指定安装类型”窗口选择“独立”，如图18所示。图18单击“下一步”按钮，在“指定CA类型”窗口选择“根CA（R）”，如图19所示。

单击“下一步”按钮，在“设置私钥”窗口选择“新建私钥（R）”，如图20所示。图19图20

单击“下一步”按钮，在“为CA配置加密”窗口选择此CA颁发的签名证书的哈希算法（H）为“SHA1”，如图21所示。依次单击“下一步”按钮，完成证书服务安装，安装成功后，在管理工具中会添加“证书颁发机构”一项。图21第2步：在Server上生成证书申请文件通过第1步操作，已经在Server上安装了CA服务器，接下来对index站点应用SSL安全机制，为index站点创建请求证书文件。在（IIS)管理器窗口，单击主机名PDC，在PDC主页栏中双击“服务器证书”图标，打开服务器证书窗口，如图22所示。图22在服务器证书窗口右侧栏中，选择“创建证书申请”，进入申请证书界面，并填写相应的申请信息，如图23所示。单击“下一步”按钮，确认加密服务选项，如图24所示。图23图24单击“下一步”按钮，在为证书申请指定文件时输入文件路径及文件名C:\CAzhengshu.txt，如图25所示。单击“完成”按钮，即可完成证书申请。打开C:\CAzhengshu.txt，可以查看到证书文件，如图26所示。图25图26第3步：在Server上申请SSL证书完成上述设置后，接下来把前面申请到的证书文件提交到CA服务器。在上述安装CA服务的过程中，系统会在Web服务中建立一个默认站点，并在该站点下创建一个证书服务的虚拟目录certsrv。在IE浏览器输入PC端网址“/certsrv”，进入证书服务页面，如图27所示。图27在证书服务页面，点击“申请证书”，进入证书申请页面，如图28所示。在证书申请页面，点击“高级证书申请”，进入高级证书申请页面，如图29所示。图28图29在高级证书申请页面，点击“使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用base64编码的PKCS#7文件续订证书申请。”，进入提交一个证书申请或续订申请界面，复制证书申请文件“C:\certzhengshu.txt”的内容，粘贴到“保存的申请”文本框，如图30所示。图30单击“提交”按钮，打开“证书正在挂起”页面，提示证书申请已经收到，必须等待管理员颁发所申请的证书，证书ID号为2，如图31所示，证书申请完成。图31

第4步：在PC上审核并颁发SSL证书在提交证书申请以后，作为CA服务器的管理员，需要查看并颁发服务器证书。选择“开始”—“管理工具”—“证书颁发机构”菜单命令，打开“证书颁发机构”窗口，展开“挂起的申请”节点，如图32所示。在“证书颁发机构”窗口，右击证书申请，在弹出的快捷菜单中选择“所有任务”—“颁发”命令，颁发该证书。展开“颁发的证书”节点，显示该证书已颁发，如图33所示。图32图33

第5步：在Server上安装SSL证书

在上述的操作步骤中，在PC上已经为index站点申请了证书，现在需要下载并安装Web服务器证书。打开申请证书的网站“/certsrv”，如图34所示。图34单击“查看挂起的证书申请的状态”超链接，打开“查看挂起的证书申请的状态”页面，单击“保存的申请证书”链接，进入“证书已颁发”界面，如图35所示。单击“下载证书”超链接，打开“文件下载”对话框，单击“保存”按钮，将证书文件下载保存为文件C:\certnew.cer，如图36所示。图35图36在IIS管理器窗口，单击根节点PDC，在PDC主页中右键单击“服务器证书”图标，打开服务器证书窗口，在右侧“操作”栏中点击“创建自签名证书”，打开“创建自签名证书”窗口，为证书指定一个好记的名称，如图37所示。自签名证书创建完成后，在服务器证书窗口中添加了该证书，如图38所示。图37图38在IIS管