IIS安全技術

IIS安全技術

本書專門介紹了IIS安全技術。本書的第I部分首先介紹了網路在給人們帶來便捷的同時所帶來的不安全因素,並著重介紹了IISWeb伺服器所面臨的安全問題以及應該採取的預防措施。第II部分按照Web站點的生命周期分別從站點的規劃、設計、實現、後期運行等方面闡述了各個階段所面臨的安全問題及其解決方案。第III部分則介紹了一些比較高級的安全主題,包括WindowsNT/2000上的服務以及活動目錄的安全性等。

基本信息

出版社:清華大學出版社

原出版社:McGraw-Hill

作者:MartyJost等/

譯者:肖國尊等/

出版日期:2003年6月

版別版次:2003年6月第一版第一次印刷

本書勘誤:有(0)條勘誤

綜合評價:暫無評價(0)條評論

國標編號:ISBN7-302-06607-8/TP.4948

條形碼:9787302066071

字數:563千字印張:22

印數:0001-3000頁數:334

開本:787*10921/16

附帶物:無附帶物

前言

新聞媒體經常在突出位置報導新病毒的出現、入侵和一些不幸的公共機構或公司所遭受的竊取事件(這些機構或公司的站點缺少恰當的安全)。這些新聞聽起來讓人感到有些驚慌,而這還只是您所聽說過的新聞。有誰知道有多少站點由於認證或目錄安全存在缺陷,而丟失代價昂貴的數字資產或智慧財產權呢?這些損失甚至有可能是這些站點的Intranet上的雇員所造成的,只是他們不知道罷了。那么。該怎么辦呢?不再使用Internet還是關閉自己的Web站點?當然不能這樣。如果關閉Web站點並且不再使用Internet,那么您在業務上又怎么跟別人竟爭呢?很明顯,應當採取相應的對策,解決的辦法是了解存在的威脅和弱點,然後採取恰當的措施來減少風險。

本書是一本指南性書籍,介紹了讀者應當知道的有關站點安全的需求、方法、實踐和過程,其目的是幫助您保護自己的MicrosoftIISWeb站點,使其不成為下一個不幸的受害者。與此同時,我們進行了逐步的闡述,解釋如何使用由Microsoft提供的安全特性。然而,我們認為應當在安全方面採取更為廣泛的方法,因此我們將用比較多的篇幅來討論Web安全措施,以便幫助您計畫並實現安全,從而保護所有與其MicrosoftIISWeb環境進行互動的系統和應用程式。

保護Web環境並非只需要在Web伺服器上進行少數非默認特性的配置,還需要計畫、實現、測試、維護和監控的協同工作,以達到整個系統的安全。我們編寫本書的目的是提供一些背景知識,這些背景知識將有助於您構思與實現一個用來保護自己的站點的實用和可行的安全框架。因此,我們在本書中會花費一些時間來解釋站點面臨的危險、為避免這些危險應遵循的最佳安全專業習慣、安全專家使用的許多工具、這些工具的配置及幫助組織機構時刻保持警惕的一些方法。

我們將這本書分為4個部分,前3個部分講述了上面的所有問題,此外,我們還在本書的第IV部分介紹了一些附錄和一個參考表,在您學習完本書之後,這些附錄與安全設定參考表可能有助於您繼續有關安全的研究。

第I部分暴露、風險與預防

第I部分提供了一些背景知識,這些背景知識將幫助您了解一些常見的Web站點弱點、解釋黑客的工作原理,並仔細分析攻擊事件以展示站點上的入侵可能發生的方式。這些信息將為對防禦策略的相關討論打下基礎。

在第I部分的闡述過程中,我們會討論如何設定和加固伺服器並對硬體和軟體配置提供一些建議。您還將看到如何克服一些已知的弱點,並知道在Internet和Intranet上應該開展一些什麼工作,而哪些工作是不應該做的。

第1章“Web安全威脅”將討論並對Web站點所面對的所有外部和內部威脅進行分類。在這一章中,我們將定義和解釋各種類型的安全事件。您將進入一個黑客的世界,並且能夠透視這些事件的發生過程。這一章的討論將列出黑客使用的方法、工具和資源。第2章“醜化、破壞與拒絕”將分析一些由黑客發現的最常見的Web站點弱點。本章的討論將考慮惡意代碼攻擊(如病毒、蠕蟲和特洛伊木馬)。示例和案例研究將分析一些眾所周知的攻擊方法,如緩衝區溢出和分散式拒絕服務攻擊。我們將解釋為什麼這類攻擊方法中的一些方法能夠攻破某些保護機制,同時我們還將提供一些工具和步驟來幫助防止發生危及未來安全的事件。第3章“準備與加固Web伺服器”將闡述如何排除常見的管理疏忽、易受攻擊的默認設定、為未經授權的入口打開通道的錯誤配置、信息竊取、數據修改以及惡意代碼或程式的引入。這一章將逐步展示如何排除漏洞,排除方法包括:最初禁用所有的服務,而只啟用需要的最低限度的服務,然後只在應用程式需要時才添加相應的服務。在這些過程中,我們會討論每種服務的作用,以便幫助Web管理員完全理解配置所帶來的後果。第3章還將討論如何使用Microsoft工具和核對清單來設定安全的底線,並提供最好的實踐建議來對這個基礎加以改進。第4章“賬號、授權和安全策略”將討論物理訪問限制、多級管理、目錄安全以及站點上角色的權利與許可權。您將需要進行匿名用戶賬號和認證機制的配置。我們將特別注意Windows2000和IIS中的賬號管理、授權和訪問控制。

第5章“安全審核與日誌”將討論對日誌與審核特性的配置,目的是監控Web站點,從而檢測攻擊或入侵的跡象。我們將學習如何設定和配置安全日誌檔案以及如何開展維護過程。這一章同時包括了審核設定的每個過程,這樣您可以建立一種正當的、可實施的(您的站點上的)用戶活動審核跟蹤方法。

第II部分管理

第II部分討論在第I部分中沒有包含的計畫、策略和過程的實現。這一部分包含了使用MicrosoftIIS來配置安全的網路以及Web環境的其他細節,並將提供許多與安全問題有關的建議。第6章“部署問題”包含在將站點投入使用之前最後要進行的準備工作。本章將討論最後的檢查、備份和恢復措施,這些措施對於確保Web伺服器配置正確是必需的。這些討論將包括域的安全、流量過濾以及對Internet地址的禁止。在這一章中還將討論用於邊界防護的DMZ的正確使用方法,以此來增強您在第1到5章中學習到的安全措施。最後,這一章還將討論將站點託管在ISP或需要託管服務時所需的遠程管理。第7章“安全管理的生命周期”將介紹站點的後期部署(post-deployment)——管理生命周期,並將討論用於監控Web站點狀態的方法和工具,以及如何對可能的攻擊加以應對。我們將討論Web站點的正常配置方法,並對使用系統警告和其他特性與工具提供建議,以此來幫助您系統地掌握方法。這一章還包括用於回響安全事件的建議以及一些最好的習慣。我們還討論了審核,通過審核可以跟蹤和識別站點有可能遇到的破壞以及產生這些破壞的原因。第8章“加密套用”將討論Windows2000和IIS可以用來保護站點和站點內容的加密特性。在這一章中,我們解釋了加密系統、公鑰加密術、數字證書和公鑰的基礎結構。您將學習如何獲取和安裝Microsoft和第三方數字證書。最後,您將學習如何配置IIS伺服器上的SSL和/或TLS加密會話。

第9章“使用第三方工具增強安全”將集中討論可以用來增強IIS的物理安全、軟體安全和日誌與審核功能的大多數非Microsoft硬體和軟體產品,這些產品包括防火牆、VPN、日誌分析器、加密加速器等等。

第III部分高級主題</strong>

在您已經成功安裝和配置了基本的IISWebServices之後,還存在大量您可能添加到Web站點的其他服務、介質和特性,這些服務、介質和特性同樣必須進行安全配置。這一部分包含這些高級服務和功能,以及保護這些服務和功能可以採取的措施。第10章“保護FTP、NNTP和其他IIS服務”將概要地描述安全使用IISFTP、NNTP和SMTP服務、WindowsMediaServices以及FrontPage伺服器擴展的過程。第11章“活動內容安全”將討論用於保護互動腳本(可添加到Web站點中,為站點提供更為新式的和動態的畫面)、伺服器頁面和應用程式的方法和工具。這一章中將要學習的安全技術可以幫助確保活動內容的部署,而不是損害IIS伺服器的安全。第12章“Web隱私”。隱私是一個與安全相關的主題,它是Web站點的衍生物。許多Web站點保存有關顧客和客戶的詳細信息,您要在自己的站點上提供業務和法律上的可信度,維護這些信息的保密性,並進行適當的管理。本章會討論這個問題,並對如何處理隱私管理提供實用的建議。

第IV部分附錄第IV部分提供一些幫助和資源信息,這些信息應該可以使您對本書中學到的內容加以充分利用。以一種安全的方式安裝和配置Web環境只是安全管理過程的一部分。因為您是自己的Web環境的保護人,在管理自己的Web環境的過程中應當具備勤勉的態度,儘可能提前採取措施。

附錄A“安全資源”。只靠一個人的力量保護一個站點是遠遠不夠的。本附錄將為您介紹其他的安全資源、專業組織、培訓和公共域信息的網址,獲取它們的信息有助於您及時了解最新的安全威脅、提示、研究、產品、培訓和其他有用信息。

附錄B“辭彙表”提供了許多安全術語,這些術語不一定出現在本書中,但在安全文獻中比較常見。本附錄還包括這些術語的首字母縮略詞,以此來幫助查找(在本書中或者您所看到的其他安全信息中遇到的)某個術語的定義。

附錄C安全設定“參考表”,正如這個標題所示意的那樣,這個附錄(為了方便)通過表格列出了Windows2000和IIS的訪問控制、審核以及其他安全設定。

附錄D“MicrosoftIIS認證方法”。在第4章中,除了提到匿名認證外,我們只是簡略提到了Web站點的認證設定,而這個附錄中對此進行了深入討論,這是因為這些認證方法是特定於Windows環境的。這個附錄完善了第4章中關於Web站點認證的討論。

作者

MartyJost是一位有經驗的安全專家與顧問,擅長於WindowsNT/2000、IIS、防火牆、PKI及認證。他經常在業界的安全會議上發表演講,並且已經出版和發表了若干關於計算機網路和安全的書籍和文章。

MichaelCobb(MCDBA、CISSP)是一位公認的信息安全專家,他有顯赫的金融系統背景,擅長網路、資料庫和Internet安全。作為E-BusinessSecurityAdvisorMagazine雜誌的有貢獻的編輯之一,Mike定期報告最新的安全技術和威脅。

章節

第I部分暴露、風險與預防

第1章Web安全威脅

1.1安全事件

1.1.1威脅源

1.1.2事件分類

1.1.3社會攻擊和物理攻擊

1.1.4網路攻擊

1.2防禦目標

1.3黑客策略

1.4安全是相互依賴的

1.4.1破壞安全示例

1.4.2書面形式的安全策略

1.5破解方法

1.5.1廣播攻擊方法

1.5.2指定目標的攻擊方法

1.6威脅的核對清單

第2章醜化、破壞與拒絕

2.1問題來源

2.2 Internet協定初步

2.2.1網際協定

2.2.2域名系統

2.2.3應用程式與服務

2.3己知弱點

2.3.1影響所有系統的最常見的弱點

2.3.2與平台相關的弱點

2.4機會掃描

2.4.1假定受到監控

2.4.2ping和掃描的工作原理

2.4.3識別Web伺服器或作業系統

2.4.4用來避免檢測的掃描技術

2.5弱點探索

2.5.1配置探測

2.5.2惡意或不友善的代碼

2.5.3分散式拒絕服務

2.6已知弱點核對清單

第3章準備與加固Web伺服器

3.1安裝與配置前的計畫

3.2伺服器安全安裝的要求

3.2.1一般的建議

3.2.2組件安裝

3.2.3服務包和安全補丁

3.3加固系統

3.3.1加固工具

3.3.2加固過程概述

3.3.3使用MicrosoftIISLockdown工具

3.3.4手動加固過程

3.4保護物理設定、引導設定和介質設定

3.5安裝計畫核對清單

3.6加固建議核對清單

第4章賬號、授權和安全策略

4.1運用安全策略

4.2Windows2000與IIS的安全概念

4.2.1信任關係

4.2.2工作組和域

4.2.3身份驗證

4.2.4Intranet與Internet的比較

4.2.5本地安全管理

4.2.6訪問控制列表

4.2.7篩選器

4.2.8繼承

4.3本地安全管理工具

4.3.1微軟的管理控制台

4.3.2用模板定製安全策略

4.4為Windows2000配置Web伺服器的訪問控制

4.4.1修改默認的組和管理員設定

4.4.2分配管理

4.4.3修改默認的用戶賬號設定

4.5配置IIS站點的屬性

4.5.1IIS安全屬性

4.5.2在同一個伺服器上管理多個Web站點

4.5.3使用虛擬目錄

4.6Windows2000賬號許可權核對清單

4.7IIS站點屬性核對清單

第5章審核與日誌

5.1網站監控概述

5.1.1網站監控信息

5.1.2審核

5.2建立和維護日誌的過程

5.2.1審核的目標和結果

5.2.2日誌管理

5.3審核

5.3.1設定審核策略

5.3.2審核Windows2000的對象和資源

5.3.3IIS審核功能

5.3.4對備份的審核

5.4日誌和審核核對清單

第II部分管理

第6章部署問題

6.1恢復規劃

6.1.1緊急修復

6.1.2備份註冊表以及其他的系統狀態信啟

6.1.3備份的安全問題

6.2網路布局以及Intranet上的篩選

6.2.1Windows2000的篩選特性

6.2.2IIS的篩選特性

6.3保護網路邊界

6.3.1防火牆和路由器篩選

6.3.2使用網路DMZ

6.4保護遠程管理

6.4.1虛擬專用網路

6.4.2Windows2000終端服務

6.5部署準備核對清單

第7章安全管理的生命周期

7.1生命周期方法

7.2弱點評估和主動監控

7.2.1評估弱點

7.2.2進一步了解日誌檔案監控

7.2.3設定Windows2000和IIS警告

7.3緊急事件回響

7.4安全管理的生命周期核對清單

第8章加密套用

8.1加密的基本概念

8.1.1密鑰與加密算法

8.1.2對稱密鑰(秘密密鑰)加密

8.1.3非對稱(公鑰)加密

8.1.4綜合加密方案

8.1.5數字證書與公鑰基礎結構

8.1.6公鑰協定身份驗證

8.2使用IIS安全通信

8.2.1安全的Web通信如何工作

8.2.2配置IIS的SSL/TLS

8.2.3保證站點或目錄的安全

8.3SSL配置核對清單

第9章使用第三方工具增強安全

9.1防火牆

9.1.1防火牆技術

9.1.2決定所需要的防火牆特徵

9.1.3最主要的防火牆產品

9.2入侵檢測系統

9.2.1入侵檢測的工作方式

9.2.2推薦選用的產品

9.3日誌分析程式

9.3.1收集線索

9.3.2建議與資源

9.4病毒掃描程式

9.4.1工作方式

9.4.2鎖定的方法

9.4.3集中與合作

9.4.4模型解決方案

9.4.5流行的病毒掃描程式

9.5安全意識培訓

9.6修改控制

9.7硬體性能和訪問控制

9.7.1硬體性能解決方案

9.7.2硬體身份驗證解決方案

9.8其他推薦的安全增強工具

9.8.1Web安全掃描程式

9.8.2基準測試工具

9.8.3Web站點監控服務

9.8.4網路文檔編製程序

9.9核對清單

第III部分高級主題

第10章保護FTP、NNTP和其他IIS服務

10.1安裝IIS子組件

10.2檔案傳輸協定服務

10.2.1確保FTP站點安全

10.2.2賬號安全

10.2.3訊息

10.2.4主目錄

10.2.5目錄安全

10.3網路新聞傳輸協定服務

10.3.1確保NNTP站點的安全

10.3.2管理新聞組

10.4Microsoft索引伺服器和內容索引服務

10.4.1配置索引伺服器

10.4.2用NTFS檔案安全來保護索引伺服器上的檔案

10.4.3用索引目錄來限制對內容的訪問

10.4.4限制遠程管理

10.5簡單郵件傳輸協定服務

10.6開始與停止服務

10.7Windows媒體服務

10.7.1Windows媒體安全

10.7.2管理和日誌

10.7.3Windows媒體服務和防火牆

10.8簡單的TCP/IP服務

10.9核對清單

第11章活動內容安全

11.1活動內容技術

11.2公共同關接口

11.2.1活動伺服器頁面

11.2.2ActivePerl

11.3活動內容的資料夾結構

11.3.1腳本檔案許可

11.3.2應用程式設定

11.4應用程式映射

11.5源控制

11.5.1源控制軟體

11.5.2備份

11.5.3著作權保護

11.6用戶輸入確認

11.6.1篩選輸入數據

11.6.2HTML編碼

11.6.3為特定字元編碼輸出

11.7ISAPI篩選器

11.7.1配置ISAPI篩選器

11.7.2利用ISAPI篩選器保護專有代碼

11.7.3腳本編碼器

11.8對Web內容安全訪問的其他方法

11.8.1使用ASP保護頁面

11.8.2檔案系統加密

11.9調試活動內容

11.9.1錯誤俘獲

11.9.2ASP錯誤和Windows事件日誌

11.10代碼簽名

11.11FrontPage伺服器擴展

11.11.1管理FPSE

11.11.2擴展的FrontPageWeb

11.11.3FPSE動態程式庫

11.11.4訪問許可

11.11.5子Web

11.11.6刪除FPSE

11.11.7FPSE配置變數

11.12Robot和蜘蛛人

11.12.1robot排除協定

11.12.2robotMETA標記

11.13核對清單

第12章Web隱私

12.1Web隱私概述

12.1.1隱私悖論

12.1.2隱私前景

12.1.3隱私策略與聲明

12.2隱私原則及實踐

12.2.1基本原則

12.2.2經濟合作與開發組織對隱私指導方針的保護

12.2.3公平的信息實踐原則

12.3隱私法律

12.3.1網上兒童隱私保護法

12.3.2Gramm-Leach-Bliley

12.3.3HealthInsurancePortabilityandAccountabilityAct

12.3.4全世界的隱私法律

12.4建立和執行隱私策略的工具

12.4.1Web隱私產品

12.4.2Web隱私封條

12.4.3隱私權選擇平台方案(P3P)

12.5Web隱私和責任

12.5.1隱私聲明和FTC

12.5.2隱私聲明和P3P

12.6Web隱私和E-mail

12.6.1E-mail還是垃圾郵件

12.6.2可靠的E-mail

12.6.3E-mail的基本注意事項

12.6.4E-mail隱私技術

12.7結束語

12.8核對清單

第IV部分附錄

附錄A安全資源

A.1安全Web站點

A.2黑客Web站點

附錄B術語表

附錄C配置參考表

適用範圍

由於IISWeb站點的安全是一項系統工程,它需要綜合運用一整套技術,所以這樣一本全面的、專門的介紹書籍是非常實用的。本書適合於希望了解並掌握IIS安全技術及其解決方案的Web站點管理人員和設計人員閱讀。

相關詞條

相關搜尋

熱門詞條

聯絡我們