試驗(yàn)四、WEB 安全試驗(yàn)1、試驗(yàn)?zāi)康?1) 了解WEB 服務(wù)器（IIS 或Apache ）的安全漏洞以及安全配置(2) 了解SSL 協(xié)議的工作原理與流程。(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務(wù)器

試驗(yàn)四、WEB 安全試驗(yàn)

1、試驗(yàn)?zāi)康?/p>

(1) 了解WEB 服務(wù)器（IIS 或Apache ）的安全漏洞以及安全配置

(2) 了解SSL 協(xié)議的工作原理與流程。

(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務(wù)器下SSL 的配置。

2、試驗(yàn)設(shè)備與試驗(yàn)環(huán)境

若干臺(tái)PC ，其中一臺(tái)安裝Windows 2003 Server，安裝并配置證書服務(wù)，充當(dāng)CA 服務(wù)器，其它安裝WindowsXP ，并安裝IIS 或Apache 服務(wù)，充當(dāng)WEB 服務(wù)器，并互相充當(dāng)WEB 瀏覽器。

3、試驗(yàn)內(nèi)容與步驟

(1) IIS 服務(wù)器的安全配置

I 確認(rèn)IIS 與系統(tǒng)安裝在不同的分區(qū)。

如果IIS 安裝在系統(tǒng)分區(qū)，IIS 的安全漏洞課直接威脅到系統(tǒng)的安全，建議卸載重新安裝。

II 刪除不必要的虛擬目錄。

打開*wwwroot（*代表IIS 安裝的路徑）文件夾，刪除在IIS 安裝完成后默認(rèn)生成的目錄，包括IISHelp 、IISAdmin 、IISSamples 和MSADC 等。

III 停止默認(rèn)網(wǎng)站或修改主目錄。

在“Internet 服務(wù)管理器”中，右擊“默認(rèn)Web 站點(diǎn)”，在彈出的快捷菜單中單擊“停止”命令。根據(jù)需要啟用自己創(chuàng)建的站點(diǎn)，或者在“Internet 服務(wù)管理器”中右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的“主目錄”頁面中修改本地路徑。

IV 對(duì)IIS 中的文件和目錄進(jìn)行分類，區(qū)別設(shè)置權(quán)限。

右擊Web 主目錄中的文件和目錄，在“屬性”中按需給他們分配適當(dāng)?shù)臋?quán)限。一般情況下，靜態(tài)文件允許讀，拒絕寫；ASP 腳本文件和exe 可執(zhí)行查詢等則允許執(zhí)行，拒絕讀、寫。除外，所有的文件和目錄要將Everyone 用戶組的權(quán)限設(shè)置為“只讀”權(quán)限。

V 刪除不必要的應(yīng)用程序映射。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的“主目錄”頁面中，單擊“配置”按鈕。在彈出的“應(yīng)用程序配置”對(duì)話框上網(wǎng)“應(yīng)用程序映射”頁面，刪除無用的程序映射。大多數(shù)情況下，只需要留下.asp 、.aspx 、即可，將.ida 、.idq 、.htr 等全部刪除。

VI 維護(hù)日志安全。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的“網(wǎng)站”頁面中，當(dāng)選中“啟用日志目錄”時(shí)，單擊旁邊的“屬性”按鈕，在打開的對(duì)話框中，選擇“常規(guī)屬性”頁面，單擊“瀏覽”按鈕或直接在輸入框中輸入修改后的日志存放路徑即可。

日志文件要適當(dāng)設(shè)置權(quán)限，建議對(duì)系統(tǒng)管理員設(shè)置為完全控制，其它用戶為只讀；同時(shí)建議與Web 主目錄文件不要放在同一個(gè)分區(qū)，以增加攻擊者利用路徑瀏覽日志廚房的路徑難度，防止攻擊者惡意篡改日志。

VII 修改端口值

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的“網(wǎng)站”頁面中，Web 服務(wù)器默認(rèn)的TCP 端口值為80，將該端口值改為其他值，可以增強(qiáng)安全性。

(2) Windows 2003 Server系統(tǒng)中安裝證書服務(wù)器

證書服務(wù)器用于向Web 站點(diǎn)發(fā)放證書，默認(rèn)情況下Windows Server 2003（SP1）系統(tǒng)沒有安裝證書服務(wù)器，因此需要進(jìn)行手動(dòng)安裝，操作步驟如下所述：

I 在“控制面板”窗口中雙擊“添加或刪除程序”選項(xiàng)，打開“添加或刪除程序”窗口。然后在左窗格中單擊“添加/刪除Windows 組件”按鈕，打開“Windows組件向?qū)А睂?duì)話框。

II 在“組件”列表中找到并選中“證書服務(wù)”選項(xiàng)，然后單擊“詳細(xì)信息”按鈕，在打開的“證書服務(wù)”對(duì)話框中選中“證書服務(wù)Web 注冊(cè)支持”和“證書服務(wù)頒發(fā)機(jī)構(gòu)（CA ）”復(fù)選框。依次單擊“確定”→“下一步”按鈕，如圖所示。

III 在打開的“CA類型”對(duì)話框中選中“獨(dú)立根（CA ）”單選框，單擊“下一步”按鈕，如圖所示。

IV 打開“CA識(shí)別信息”對(duì)話框，輸入CA 名稱等標(biāo)識(shí)信息（如“安全站點(diǎn)”）。在“有效期限”編輯框中設(shè)置CA 識(shí)別信息的有效期限，單擊“下一步”按鈕，如圖所示。

V 打開“證書數(shù)據(jù)庫設(shè)置”對(duì)話框，建議保持默認(rèn)路徑，并依次單擊“下一步”→“完成”按鈕。

小提示：

在安裝過程中系統(tǒng)會(huì)提示安裝向?qū)⑼Ｖ笽IS 服務(wù)，單擊“是”按鈕停止繼續(xù)安裝。如果IIS 當(dāng)前沒有啟用ASP 支持，想到將提示用戶啟用ASP 。單擊“是”按鈕將繼續(xù)安裝。另外在復(fù)制文件的過程中會(huì)要求用戶提供Windows 2000 Server安裝光盤或指定安裝源，并且在完

成安裝后證書服務(wù)會(huì)自動(dòng)啟動(dòng)。

VI 在開始菜單中依次單擊“管理工具”→“證書頒發(fā)機(jī)構(gòu)”菜單項(xiàng)，打開“證書頒發(fā)機(jī)構(gòu)”窗口。在左窗中右鍵單擊“安全站點(diǎn)”（即證書服務(wù)標(biāo)識(shí)）目錄，依次選擇“所有任務(wù)”→“啟動(dòng)服務(wù)”命令啟動(dòng)證書服務(wù)，如圖所示。

(3) IIS 服務(wù)器中SSL 配置

以系統(tǒng)管理員的身份進(jìn)行下面內(nèi)容的實(shí)驗(yàn)：

I 生成服務(wù)器證書請(qǐng)求文件；

在“Internet 服務(wù)管理器”中，右鍵點(diǎn)擊要使用SSL 安全加密機(jī)制功能的網(wǎng)站，在彈出菜單中選擇“屬性”，然后切換到“目錄安全性”標(biāo)簽頁，接著點(diǎn)擊“服務(wù)器證書”按鈕。在“IIS證書向?qū)А贝翱谥羞x擇“新建證書”選項(xiàng)，點(diǎn)擊“下一步”，選中“現(xiàn)在準(zhǔn)備證書請(qǐng)求，但稍后發(fā)送”，接著在“名稱”欄中為該證書起個(gè)名字，在“位長(zhǎng)”下拉列表中選擇“密鑰的位長(zhǎng)”，這里要注意，位長(zhǎng)不能設(shè)置的過大，否則會(huì)影響通信質(zhì)量; 接著設(shè)置證書的單位、部門、和地理信息，在站點(diǎn)“公用名稱欄”中輸入該網(wǎng)站的域名，然后指定證書請(qǐng)求文件的保存位置。這樣就完成了證書請(qǐng)求文件的生成。

II 提交服務(wù)器證書申請(qǐng)；

運(yùn)行 Internet Explorer 瀏覽器，輸入證書頒發(fā)機(jī)構(gòu)的URL 地址。微軟證書頒發(fā)機(jī)構(gòu)的地址格式為http://證書服務(wù)器名/certsrv，打開歡迎界面。

接著在“Microsoft 證書服務(wù)”歡迎窗口中點(diǎn)擊“申請(qǐng)一個(gè)證書”鏈接，然后在證書申請(qǐng)類型中點(diǎn)擊“高級(jí)證書申請(qǐng)”鏈接，在高級(jí)證書申請(qǐng)窗口中點(diǎn)擊“使用BASE64編碼的 CMC 或PKCS#10文件提交….”鏈接，接著將前面保存的證書請(qǐng)求文件的內(nèi)容全部復(fù)制到“保存的申請(qǐng)”輸入框中，最后點(diǎn)擊“提交”按鈕。此時(shí)證書掛起，需要等待服務(wù)器端的證書管理員審查并頒發(fā)已經(jīng)提交的申請(qǐng)。

III 管理員在服務(wù)器端審查并頒發(fā)證書；

在“控制面板→管理工具”中，運(yùn)行Certification Authority（證書頒發(fā)機(jī)構(gòu)）程序，在“證書頒發(fā)機(jī)構(gòu)”左側(cè)窗口中展開目錄，選中Pending Request（掛起的證書申請(qǐng)）目錄，在右側(cè)

窗口找到剛才申請(qǐng)的證書，鼠標(biāo)右鍵點(diǎn)擊該證書，選擇“所有任務(wù)→頒發(fā)”。

IV 獲得服務(wù)器證書

運(yùn)行 Internet Explorer瀏覽器，輸入證書頒發(fā)機(jī)構(gòu)的URL 地址。單擊View the Status of a Pending Certification Request，選擇要查看的證書申請(qǐng)。

在證書頒發(fā)界面，選擇證書耳朵編碼格式，下載證書。

V 安裝服務(wù)器證書

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的 “目錄安全性”標(biāo)簽頁中，點(diǎn)擊“服務(wù)器證書”按鈕，這時(shí)彈出“掛起的證書請(qǐng)求”對(duì)話框，選擇“處理掛起的請(qǐng)求并安裝證書”選項(xiàng)，點(diǎn)擊“下一步”后，指定好剛才導(dǎo)出的IIS 網(wǎng)站證書文件的位置，接著指定SSL 使用的端口，建議使用默認(rèn)的“443”，最后點(diǎn)擊“完成”按鈕，完成服務(wù)器證書的安裝。

VI 在WEB 服務(wù)器中啟用SSL

安裝服務(wù)器證書后，IIS 網(wǎng)站這時(shí)還沒有啟用SSL 安全加密功能，需要對(duì)IIS 服務(wù)器進(jìn)行配置。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對(duì)話框的“網(wǎng)站”頁面中，設(shè)置SSL 端口，默認(rèn)端口443。這樣，Web 網(wǎng)站就具備了SSL 安全通信的功能，支持HTTP 和HTTPS 兩種通信連接。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“目錄安全性”標(biāo)簽頁，點(diǎn)擊“安全通信”欄的“編輯”按鈕，進(jìn)入“安全通信”對(duì)話框，如果強(qiáng)制瀏覽器與WEB 站點(diǎn)建立SSL 安全通信，則選中“要求安全通道(SSL)”，這時(shí)只支持HTTPS 上網(wǎng)通信連接。

4、分析與思考

(1) 描述在使用SSL 機(jī)制時(shí)，客戶端和服務(wù)器端之間建立一個(gè)安全通道的大型過程。

(2) 在IIS 服務(wù)器安全配置試驗(yàn)部分，只是進(jìn)行了一些簡(jiǎn)單的安全配置，對(duì)于實(shí)際中使

用的Web 服務(wù)器所受攻擊的防護(hù)還遠(yuǎn)遠(yuǎn)不夠，還需要采用一系列的安全措施，請(qǐng)

思考還有那些措施可以應(yīng)用？

(3) 安裝Apache 服務(wù)器，并對(duì)Apache 服務(wù)器進(jìn)行安全配置。

(4) 配置Apache 服務(wù)器中SSL 協(xié)議并進(jìn)行測(cè)試。