如何用IIS建立高安全性Web服務(wù)器
IIS(Internet Information Server)作為當(dāng)今流行的Web服務(wù)器之一,提供了強(qiáng)大的Internet和Intranet服務(wù)功能�����,如何加強(qiáng)IIS的安全機(jī)制��,建立一個(gè)高安全性能的Web服務(wù)器����,已成為IIS設(shè)置中不可忽視的重要組成部分。
第二電腦網(wǎng)將通過(guò)以下兩個(gè)方面來(lái)闡述加強(qiáng)IIS安全機(jī)制的方法���。
一�、 以Windows NT的安全機(jī)制為基礎(chǔ)
作為運(yùn)行在 Windows NT操作系統(tǒng)環(huán)境下的IIS�,其安全性也應(yīng)建立在Windows NT安全性的基礎(chǔ)之上�。
1.應(yīng)用NTFS文件系統(tǒng)
NTFS可以對(duì)文件和目錄進(jìn)行管理����,而FAT(文件分配表)文件系統(tǒng)只能提供共享級(jí)的安全,建議在安裝Windows NT時(shí)使用NTFS系統(tǒng)��。
2.共享權(quán)限的修改
在缺省情況下����,每建立一個(gè)新的共享,其everyone用戶就能享有“完全控制”的共享權(quán)限���,因此�����,在建立新共享后要立即修改everyone缺省權(quán)限���。
3.為系統(tǒng)管理員賬號(hào)更名
域用戶管理器雖可限制猜測(cè)口令的次數(shù),但對(duì)系統(tǒng)管理員賬號(hào)卻用不上���,這可能給非法用戶帶來(lái)攻擊管理員賬號(hào)口令的機(jī)會(huì),通過(guò)域用戶管理器對(duì)管理員賬號(hào)更名不失為一種好辦法����。具體設(shè)置如下:
(1) 啟動(dòng)“域用戶管理器”;
(2) 選中管理員賬號(hào);
(3) 啟動(dòng)“用戶”選單下的“重命名”對(duì)其進(jìn)行修改�����。
4.廢止TCP/IP上的NetBIOS
管理員可以通過(guò)構(gòu)造目標(biāo)站NetBIOS名與其IP地址之間的映像��,對(duì)Internet上的其他服務(wù)器進(jìn)行管理�,非法用戶也可從中找到可乘之機(jī)�����。如果這種遠(yuǎn)程管理不是必須的��,應(yīng)立即廢止(通過(guò)網(wǎng)絡(luò)屬性的綁定選項(xiàng)�,廢止NetBIOS與TCP/IP之間的綁定)。
二����、 設(shè)置IIS的安全機(jī)制
1.安裝時(shí)應(yīng)注意的安全問(wèn)題
(1)避免安裝在主域控制器上
在安裝IIS之后,將在安裝的計(jì)算機(jī)上生成IUSR_Computername匿名賬戶��,該賬戶被添加到域用戶組中����,從而把應(yīng)用于域用戶組的訪問(wèn)權(quán)限提供給訪問(wèn)Web服務(wù)器的每個(gè)匿名用戶����,這不僅給IIS帶來(lái)巨大的潛在危險(xiǎn)���,而且還可能牽連整個(gè)域資源的安全�����,要盡可能避免把IIS安裝在域控制器上�,尤其是主域控制器��。
(2)避免安裝在系統(tǒng)分區(qū)上
把IIS安放在系統(tǒng)分區(qū)上���,會(huì)使系統(tǒng)文件與IIS同樣面臨非法訪問(wèn)���,容易使非法用戶侵入系統(tǒng)分區(qū)。
2.用戶控制的安全性
(1)匿名用戶
安裝IIS后產(chǎn)生的匿名用戶IUSR_Computername(密碼隨機(jī)產(chǎn)生)�����,其匿名訪問(wèn)給Web服務(wù)器帶來(lái)潛在的安全性問(wèn)題���,應(yīng)對(duì)其權(quán)限加以控制�����。如無(wú)匿名訪問(wèn)需要�,可取消Web的匿名服務(wù)�����。具體方法:
①啟動(dòng)ISM(Internet Server Manager);
②啟動(dòng)WWW服務(wù)屬性頁(yè);
③取消其匿名訪問(wèn)服務(wù)����。
(2)一般用戶
通過(guò)使用數(shù)字與字母(包括大小寫)結(jié)合的口令,提高修改密碼的頻率��,封鎖失敗的登錄嘗試以及賬戶的生存期等對(duì)一般用戶賬戶進(jìn)行管理��。
3.登錄認(rèn)證的安全性
IIS服務(wù)器提供對(duì)用戶三種形式的身份認(rèn)證��。
匿名訪問(wèn):不需要與用戶之間進(jìn)行交互��,允許任何人匿名訪問(wèn)站點(diǎn)��,在這三種身份認(rèn)證中的安全性是最低的����。
基本(Basic)驗(yàn)證:在此方式下用戶輸入的用戶名和口令以明文方式在網(wǎng)絡(luò)上傳輸����,沒(méi)有任何加密����,非法用戶可以通過(guò)網(wǎng)上監(jiān)聽來(lái)攔截?cái)?shù)據(jù)包,并從中獲取用戶名及密碼���,安全性能一般��。
Windows NT請(qǐng)求/響應(yīng)方式:瀏覽器通過(guò)加密方式與IIS服務(wù)器進(jìn)行交流���,有效地防止了竊聽者,是安全性比較高的認(rèn)證形式��。這種方式的缺點(diǎn)是只有IE3.0及以上版本才支持����。
4.訪問(wèn)權(quán)限控制
(1)文件夾和文件的訪問(wèn)權(quán)限:安放在NTFS文件系統(tǒng)上的文件夾和文件,一方面要對(duì)其權(quán)限加以控制��,對(duì)不同的用戶組和用戶進(jìn)行不同的權(quán)限設(shè)置;另外���,還可利用NTFS的審核功能對(duì)某些特定用戶組成員讀文件的企圖等方面進(jìn)行審核�����,有效地通過(guò)監(jiān)視如文件訪問(wèn)���、用戶對(duì)象的使用等發(fā)現(xiàn)非法用戶進(jìn)行非法活動(dòng)的前兆,及時(shí)加以預(yù)防制止�。具體方法:
①啟動(dòng)“域用戶管理器”;
②啟動(dòng)“規(guī)則”選單下的“審核”選項(xiàng);
③設(shè)置“審核規(guī)則”。
(2)WWW目錄的訪問(wèn)權(quán)限:已經(jīng)設(shè)置成Web目錄的文件夾�,可以通過(guò)操作Web站點(diǎn)屬性頁(yè)實(shí)現(xiàn)對(duì)WWW目錄訪問(wèn)權(quán)限的控制,而該目錄下的所有文件和子文件夾都將繼承這些安全性���。WWW服務(wù)除了提供NTFS文件系統(tǒng)提供的權(quán)限外��,還提供讀取權(quán)限����,允許用戶讀取或下載WWW目錄中的文件;執(zhí)行權(quán)限���,允許用戶運(yùn)行WWW目錄下的程序和腳本���。具體設(shè)置方法:
①啟動(dòng)ISM(Internet服務(wù)器管理器);
②啟動(dòng)Web屬性頁(yè)并選擇“目錄”選項(xiàng)卡;
③選擇WWW目錄;
④選擇“編輯屬性”中的“目錄屬性”進(jìn)行設(shè)置�。
5.IP地址的控制
IIS可以設(shè)置允許或拒絕從特定IP發(fā)來(lái)的服務(wù)請(qǐng)求�,有選擇地允許特定節(jié)點(diǎn)的用戶訪問(wèn)服務(wù),你可以通過(guò)設(shè)置來(lái)阻止除指定IP地址外的整個(gè)網(wǎng)絡(luò)用戶來(lái)訪問(wèn)你的Web服務(wù)器�。具體設(shè)置:
(1) 啟動(dòng)ISM(Internet服務(wù)器管理器);
(2) 啟動(dòng)Web屬性頁(yè)中“高級(jí)”選項(xiàng)卡;
(3) 進(jìn)行指定IP地址的控制設(shè)置。
6.端口安全性的實(shí)現(xiàn)
對(duì)于IIS服務(wù)����,無(wú)論是WWW站點(diǎn)、FTP站點(diǎn)�����,還是NNTP�����、SMTP服務(wù)等都有各自監(jiān)聽和接收瀏覽器請(qǐng)求的TCP端口號(hào)(Post)�����,一般常用的端口號(hào)為:WWW是80���,F(xiàn)TP是21��,SMTP是25����,你可以通過(guò)修改端口號(hào)來(lái)提高IIS服務(wù)器的安全性。如果你修改了端口設(shè)置�����,只有知道端口號(hào)的用戶才可以訪問(wèn)���,但用戶在訪問(wèn)時(shí)需要指定新端口號(hào)�����。
7.IP轉(zhuǎn)發(fā)的安全性
IIS服務(wù)可提供IP數(shù)據(jù)包轉(zhuǎn)發(fā)功能,此時(shí)�,充當(dāng)路由器角色的IIS服務(wù)器將會(huì)把從Internet接口收到的IP數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中,禁用這一功能不失為提高安全性的好辦法���。具體設(shè)置如下:
(1) 啟動(dòng)“網(wǎng)絡(luò)屬性”并選擇“協(xié)議”選項(xiàng)卡;
(2) 在TCP/IP屬性中去掉“路由選擇”���。
8.SSL安全機(jī)制
IIS的身份認(rèn)證除了匿名訪問(wèn)、基本驗(yàn)證和Windows NT請(qǐng)求/響應(yīng)方式外����,還有一種安全性更高的認(rèn)證:通過(guò)SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書��。
SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間���,建立用戶與服務(wù)器之間的加密通信,確保所傳遞信息的安全性��。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的����,任何用戶都可以獲得公共密鑰來(lái)加密數(shù)據(jù),但解密數(shù)據(jù)必須要通過(guò)相應(yīng)的私人密鑰�����。使用SSL安全機(jī)制時(shí)��,首先客戶端與服務(wù)器建立連接��,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端���,客戶端隨機(jī)生成會(huì)話密鑰����,用從服務(wù)器得到的公共密鑰對(duì)會(huì)話密鑰進(jìn)行加密����,并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器����,而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密���,這樣���,客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。具體步驟如下:
(1) 啟動(dòng)ISM并打開Web站點(diǎn)的屬性頁(yè);
(2) 選擇“目錄安全性”選項(xiàng)卡;
(3) 單擊“密鑰管理器”按鈕;
(4) 通過(guò)密鑰管理器生成密鑰對(duì)文件和請(qǐng)求文件;
(5) 從身份認(rèn)證權(quán)限中申請(qǐng)一個(gè)證書;
(6) 通過(guò)密鑰管理器在服務(wù)器上安裝證書;
(7) 激活Web站點(diǎn)的SSL安全性����。
建立了SSL安全機(jī)制后�����,只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信���,并且在使用URL資源定位器時(shí)��,輸入https:// �,而不是http:// ����。
SSL安全機(jī)制的實(shí)現(xiàn)��,將增大系統(tǒng)開銷���,增加了服務(wù)器CPU的額外負(fù)擔(dān),從而降低了系統(tǒng)性能��,在規(guī)劃時(shí)建議僅考慮為高敏感度的Web目錄使用��。另外����,SSL客戶端需要使用IE 3.0及以上版本才能使用。
