任务5.1 Web站点的安全配置

计算机网络安全管理技术项目五任务5.1Web站点的安全配置任务5.2SSL安全站点的配置任务5.3Web应用程序的安全配置Web应用的安全管理【学习目标】知识目标1．识记：Web应用的体系架构；SSL协议的概念、特性和体系结构；SSL证书的功能和类型；Web应用程序的安全威胁及危害。2．领会：Web应用的安全威胁和防护方法；SSL协议的工作过程；SQL注入的工作原理；SQL注入攻击的防御方法。技能目标1．能实现Web站点的身份验证；2．学会SSL证书的安装、配置和应用的操作；3．能使用注入工具模拟SQL注入；4．会SQL注入防御的操作方法。素质目标

1．树立正确的网络道德观、人生观、世界观和价值观；2．具有协同合作的团队精神和良好的组织纪律性。项目五任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

子任务2Web站点其他安全的配置

Web应用的安全管理【任务目标】

1．会正确配置Web站点基本身份认证服务，防止非法用户登录；2．能配置Web站点访问权限控制，合理分配用户访问权限；3．能配置Web站点IP地址控制服务，根据使用情况合理添加允许或拒绝的IP地址；4．能通过修改Web站点端口号，提高Web站点安全性。项目五任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

子任务2Web站点其他安全的配置

Web应用的安全管理【任务环境】1、主流PC机一台

2、VMwareWorkstation软件任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置【知识支撑】

一、Web应用的体系架构1、C/S体系结构传统的信息系统应用模式是Client/Server（C/S）的体系结构。在C/S体系结构中，服务器端完成存储数据、对数据进行统一的管理、统一处理多个客户端的并发请求等功能。客户端作为和用户交互的程序，完成用户界面设计、数据请求和表示等工作。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置2、B/S体系结构随着浏览器的普遍应用，浏览器和Web应用的结合造就了Browse/Server（B/S）体系结构。在B/S体系结构中，浏览器作为“瘦”客户端，只完成数据的显示和展示功能，使得Web应用程序的更新、维护不需要向大量客户端分发、安装、更新任何软件，大大提升了部署和应用的便捷性，有效地促进了Web应用的飞速发展。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置3、Web服务器软件Web服务器软件接收客户端对资源的请求,在这些请求上执行一些基本的解析处理后，将它传送给Web应用程序进行业务处理，待Web应用程序处理完成并返回响应时，Web服务器再将响应结果返回给客户端，在浏览器上进行本地执行、展示和渲染。目前常见的Web服务器软件有微软公司的IIS、开源的Apache等。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

二、Web应用的安全威胁针对Web应用体系结构的4个组成部分，Web应用的安全威胁主要集中在下面4个方面。

1、针对Web服务器软件的安全威胁

IIS等流行的Web服务器软件都存在一些安全漏洞，攻击者可以利用这些漏洞对Web服务器进行入侵渗透。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

2、针对Web应用程序的安全威胁

开发人员在使用ASP、PHP等脚本语言实现Web应用程序时，由于缺乏安全意识或者编程习惯不良等原因，导致开发出来的Web应用程序存在安全漏洞，从而容易被攻击者所利用。典型的安全威胁有SQL注入攻击、XSS跨站脚本攻击等。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

3、针对传输网络的安全威胁该类威胁具体包括针对HTTP明文传输协议的网络监听行为，在网络层、传输层和应用层都存在的假冒身份攻击，传输层的拒绝服务攻击等。4、针对浏览器和终端用户的Web浏览安全威胁这方面的安全威胁主要包括网页挂马、网站钓鱼、浏览器劫持、Cookie欺骗等。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

三、Web安全的实现方法从TCP/IP协议栈的角度,实现Web安全的方法可以划分为三种。1、基于网络层实现Web安全传统的安全体系一般都建立在应用层上，但是由于在网络层的IP数都包本身不具备任何安全特性，很容易被查看、篡改、伪造和重播，因此存在很大的安全隐息，而基于网络层的Web安全技术能够很好地解决这一问题。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置IPSec可提供基于端到端的安全机制，可以在网络层上对数据包进行安全处理，以保证数据的机密性和完整性。这样，各种应用层的程序就可以享用IPSec提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，降低了产生安全漏洞的可能性。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

2、基于传输层实现Web安全SSL协议就是一种常见的基于传输层实现Web安全的解决方案。SSL提供的安全服务采用了对称加密机制，对Web服务器和客户端的通信提供了机密性、完整性和认证服务。SSL协议在应用层协议通信之前，就已经完成加密算法、通信密钥的协商，以及服务器认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了通信的安全。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置3、基于应用层实现Web安全这种解决方案是将安全服务直接嵌人到应用程序中，从而在应用层实现通信安全。PGP系统和SET协议都是具体的例子。它们都可以在相应的应用中提供机密性、完整性、认证和不可否认性等安全服务。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

【任务实施】1、实训基本环境的搭建1）启动VMwareWorkstation2）开启虚拟机WindowsServer2012作为Web服务器端，开启虚拟机Win7-1作为Web客户端3）服务器端的IP地址设置为/24，客户端的IP地址设置为/24，使两者之间可以互通

4）服务器端新建用户user1任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

2、服务器端架设IIS网站打开服务器管理器，在管理菜单栏中选择“添加角色和功能”选项，在其中的向导模式中选择安装Web服务器(IIS)，如图所示。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

3、客户端登录网站打开网页浏览器，在地址栏中输入，就会出现如图所示的画面。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

4、服务器端安装身份认证服务打开服务器管理器，在管理菜单栏中选择“添加角色和功能”选项，在Web服务器（IIS）中选择“Windows身份认证”和“基本身份认证”选项，如图所示。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

5、配置基本身份认证服务在管理工具中打开InternetInformationServices（IIS）管理器，选择“DefaultWebSite”网站中的身份认证选项，禁用“匿名身份认证”，开启“基本身份认证”，如图所示。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置设置完成后，在客户端上打开网站时就会弹出如图所示的身份认证对话框，此时只有输入正确的用户名和密码，才可以登录到网站上。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

6、配置Windows身份认证服务在管理工具中打开InternetInformationServices（IIS）管理器，选择“DefaultWebSite”网站中的身份认证选项，禁用“基本身份认证”，开启“Windows身份验证”，如图所示。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置设置完成后，在客户端上打开网站时同样会弹出身份认证对话框，同样只有输入正确的用户名和密码才可以登录到网站上。

这种身份验证方法的安全级别要高于基本身份验证，因为基本身份验证发送密码的方式是明文传输，而Windows身份验证方式为密文传输，所以推荐使用这种方式做为网站的身份验证方式。任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置项目五任务5.1Web站点的安全配置

子任务1Web站点身份验证的配置

子任务2Web站点其他安全的配置

Web应用的安全管理【任务环境】1、主流PC机一台

2、VMwareWorkstation软件任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置

【任务实施】1、启动VMwareWorkstation，然后开启虚拟机WindowsServer2012作为Web服务器，开启虚拟机Win7-1作为Web客户端2、新建用户test1和用户组test，并将用户test1加入到用户组test中

任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置

3、配置Web站点访问权限控制右击Web站点主目录，默认主目录为C:\inetpub\

wwwroot，在弹出的菜单中选择属性，在属性文本框中单击安全选项卡，将安全权限设置为如图所示的权限，即Administrators管理员组拥有完全控制权限，test组仅拥有读取权限，其他组没有权限。任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置

此时在客户端使用user1和test1用户再次登录网站，只有test1可以登录，而user1则无法登录。

任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置

4、配置Web站点IP地址控制

1）安装IP地址控制服务打开服务器管理器，在管理菜单栏中选择“添加角色和功能”选项，在Web服务器（IIS）中选择“IP和域控制”选项，如图所示。任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置

2）配置IP地址控制服务在管理工具中打开InternetInformationServices（IIS）管理器，选择“DefaultWebSite”网站中的IP地址和域限制选项，如图所示。任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置在其中可以选择添加允许条目或者添加拒绝条目。如果访问网站的客户端较少，则选择添加允许条目，将允许访问网站的IP地址或者IP地址范围添加进去，同时在编辑功能设置中将未指定的客户端的访问权设置为拒绝，这样在允许条目的IP地址可以访问网站，而其他地址则不可以访问。如果访问网站的客户端较多，则选择添加拒绝条目，将拒绝访问网站的IP地址或者IP地址范围添加进去，这样在拒绝条目的IP地址不可以访问网站，而其他地址则可以访问。任务5.1Web站点的安全配置

子任务2Web站点其他安全的配置此处配置拒绝的地址访问网站，如图所示。任务5.1Web