試驗四、WEB 安全試驗1、試驗?zāi)康?1) 了解WEB 服務(wù)器（IIS 或Apache ）的安全漏洞以及安全配置(2) 了解SSL 協(xié)議的工作原理與流程。(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務(wù)器

試驗四、WEB 安全試驗

1、試驗?zāi)康?/p>

(1) 了解WEB 服務(wù)器（IIS 或Apache ）的安全漏洞以及安全配置

(2) 了解SSL 協(xié)議的工作原理與流程。

(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務(wù)器下SSL 的配置。

2、試驗設(shè)備與試驗環(huán)境

若干臺PC ，其中一臺安裝Windows 2003 Server，安裝并配置證書服務(wù)，充當(dāng)CA 服務(wù)器，其它安裝WindowsXP ，并安裝IIS 或Apache 服務(wù)，充當(dāng)WEB 服務(wù)器，并互相充當(dāng)WEB 瀏覽器。

3、試驗內(nèi)容與步驟

(1) IIS 服務(wù)器的安全配置

I 確認(rèn)IIS 與系統(tǒng)安裝在不同的分區(qū)。

如果IIS 安裝在系統(tǒng)分區(qū)，IIS 的安全漏洞課直接威脅到系統(tǒng)的安全，建議卸載重新安裝。

II 刪除不必要的虛擬目錄。

打開*wwwroot（*代表IIS 安裝的路徑）文件夾，刪除在IIS 安裝完成后默認(rèn)生成的目錄，包括IISHelp 、IISAdmin 、IISSamples 和MSADC 等。

III 停止默認(rèn)網(wǎng)站或修改主目錄。

在“Internet 服務(wù)管理器”中，右擊“默認(rèn)Web 站點”，在彈出的快捷菜單中單擊“停止”命令。根據(jù)需要啟用自己創(chuàng)建的站點，或者在“Internet 服務(wù)管理器”中右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“主目錄”頁面中修改本地路徑。

IV 對IIS 中的文件和目錄進行分類，區(qū)別設(shè)置權(quán)限。

右擊Web 主目錄中的文件和目錄，在“屬性”中按需給他們分配適當(dāng)?shù)臋?quán)限。一般情況下，靜態(tài)文件允許讀，拒絕寫；ASP 腳本文件和exe 可執(zhí)行查詢等則允許執(zhí)行，拒絕讀、寫。除外，所有的文件和目錄要將Everyone 用戶組的權(quán)限設(shè)置為“只讀”權(quán)限。

V 刪除不必要的應(yīng)用程序映射。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“主目錄”頁面中，單擊“配置”按鈕。在彈出的“應(yīng)用程序配置”對話框上網(wǎng)“應(yīng)用程序映射”頁面，刪除無用的程序映射。大多數(shù)情況下，只需要留下.asp 、.aspx 、即可，將.ida 、.idq 、.htr 等全部刪除。

VI 維護日志安全。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，當(dāng)選中“啟用日志目錄”時，單擊旁邊的“屬性”按鈕，在打開的對話框中，選擇“常規(guī)屬性”頁面，單擊“瀏覽”按鈕或直接在輸入框中輸入修改后的日志存放路徑即可。

日志文件要適當(dāng)設(shè)置權(quán)限，建議對系統(tǒng)管理員設(shè)置為完全控制，其它用戶為只讀；同時建議與Web 主目錄文件不要放在同一個分區(qū)，以增加攻擊者利用路徑瀏覽日志廚房的路徑難度，防止攻擊者惡意篡改日志。

VII 修改端口值

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，Web 服務(wù)器默認(rèn)的TCP 端口值為80，將該端口值改為其他值，可以增強安全性。

(2) Windows 2003 Server系統(tǒng)中安裝證書服務(wù)器

證書服務(wù)器用于向Web 站點發(fā)放證書，默認(rèn)情況下Windows Server 2003（SP1）系統(tǒng)沒有安裝證書服務(wù)器，因此需要進行手動安裝，操作步驟如下所述：

I 在“控制面板”窗口中雙擊“添加或刪除程序”選項，打開“添加或刪除程序”窗口。然后在左窗格中單擊“添加/刪除Windows 組件”按鈕，打開“Windows組件向?qū)А睂υ捒颉?/p>

II 在“組件”列表中找到并選中“證書服務(wù)”選項，然后單擊“詳細(xì)信息”按鈕，在打開的“證書服務(wù)”對話框中選中“證書服務(wù)Web 注冊支持”和“證書服務(wù)頒發(fā)機構(gòu)（CA ）”復(fù)選框。依次單擊“確定”→“下一步”按鈕，如圖所示。

III 在打開的“CA類型”對話框中選中“獨立根（CA ）”單選框，單擊“下一步”按鈕，如圖所示。

IV 打開“CA識別信息”對話框，輸入CA 名稱等標(biāo)識信息（如“安全站點”）。在“有效期限”編輯框中設(shè)置CA 識別信息的有效期限，單擊“下一步”按鈕，如圖所示。

V 打開“證書數(shù)據(jù)庫設(shè)置”對話框，建議保持默認(rèn)路徑，并依次單擊“下一步”→“完成”按鈕。

小提示：

在安裝過程中系統(tǒng)會提示安裝向?qū)⑼Ｖ笽IS 服務(wù)，單擊“是”按鈕停止繼續(xù)安裝。如果IIS 當(dāng)前沒有啟用ASP 支持，想到將提示用戶啟用ASP 。單擊“是”按鈕將繼續(xù)安裝。另外在復(fù)制文件的過程中會要求用戶提供Windows 2000 Server安裝光盤或指定安裝源，并且在完

成安裝后證書服務(wù)會自動啟動。

VI 在開始菜單中依次單擊“管理工具”→“證書頒發(fā)機構(gòu)”菜單項，打開“證書頒發(fā)機構(gòu)”窗口。在左窗中右鍵單擊“安全站點”（即證書服務(wù)標(biāo)識）目錄，依次選擇“所有任務(wù)”→“啟動服務(wù)”命令啟動證書服務(wù)，如圖所示。

(3) IIS 服務(wù)器中SSL 配置

以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：

I 生成服務(wù)器證書請求文件；

在“Internet 服務(wù)管理器”中，右鍵點擊要使用SSL 安全加密機制功能的網(wǎng)站，在彈出菜單中選擇“屬性”，然后切換到“目錄安全性”標(biāo)簽頁，接著點擊“服務(wù)器證書”按鈕。在“IIS證書向?qū)А贝翱谥羞x擇“新建證書”選項，點擊“下一步”，選中“現(xiàn)在準(zhǔn)備證書請求，但稍后發(fā)送”，接著在“名稱”欄中為該證書起個名字，在“位長”下拉列表中選擇“密鑰的位長”，這里要注意，位長不能設(shè)置的過大，否則會影響通信質(zhì)量; 接著設(shè)置證書的單位、部門、和地理信息，在站點“公用名稱欄”中輸入該網(wǎng)站的域名，然后指定證書請求文件的保存位置。這樣就完成了證書請求文件的生成。

II 提交服務(wù)器證書申請；

運行 Internet Explorer 瀏覽器，輸入證書頒發(fā)機構(gòu)的URL 地址。微軟證書頒發(fā)機構(gòu)的地址格式為http://證書服務(wù)器名/certsrv，打開歡迎界面。

接著在“Microsoft 證書服務(wù)”歡迎窗口中點擊“申請一個證書”鏈接，然后在證書申請類型中點擊“高級證書申請”鏈接，在高級證書申請窗口中點擊“使用BASE64編碼的 CMC 或PKCS#10文件提交….”鏈接，接著將前面保存的證書請求文件的內(nèi)容全部復(fù)制到“保存的申請”輸入框中，最后點擊“提交”按鈕。此時證書掛起，需要等待服務(wù)器端的證書管理員審查并頒發(fā)已經(jīng)提交的申請。

III 管理員在服務(wù)器端審查并頒發(fā)證書；

在“控制面板→管理工具”中，運行Certification Authority（證書頒發(fā)機構(gòu)）程序，在“證書頒發(fā)機構(gòu)”左側(cè)窗口中展開目錄，選中Pending Request（掛起的證書申請）目錄，在右側(cè)

窗口找到剛才申請的證書，鼠標(biāo)右鍵點擊該證書，選擇“所有任務(wù)→頒發(fā)”。

IV 獲得服務(wù)器證書

運行 Internet Explorer瀏覽器，輸入證書頒發(fā)機構(gòu)的URL 地址。單擊View the Status of a Pending Certification Request，選擇要查看的證書申請。

在證書頒發(fā)界面，選擇證書耳朵編碼格式，下載證書。

V 安裝服務(wù)器證書

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的 “目錄安全性”標(biāo)簽頁中，點擊“服務(wù)器證書”按鈕，這時彈出“掛起的證書請求”對話框，選擇“處理掛起的請求并安裝證書”選項，點擊“下一步”后，指定好剛才導(dǎo)出的IIS 網(wǎng)站證書文件的位置，接著指定SSL 使用的端口，建議使用默認(rèn)的“443”，最后點擊“完成”按鈕，完成服務(wù)器證書的安裝。

VI 在WEB 服務(wù)器中啟用SSL

安裝服務(wù)器證書后，IIS 網(wǎng)站這時還沒有啟用SSL 安全加密功能，需要對IIS 服務(wù)器進行配置。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，設(shè)置SSL 端口，默認(rèn)端口443。這樣，Web 網(wǎng)站就具備了SSL 安全通信的功能，支持HTTP 和HTTPS 兩種通信連接。

在“Internet 服務(wù)管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“目錄安全性”標(biāo)簽頁，點擊“安全通信”欄的“編輯”按鈕，進入“安全通信”對話框，如果強制瀏覽器與WEB 站點建立SSL 安全通信，則選中“要求安全通道(SSL)”，這時只支持HTTPS 上網(wǎng)通信連接。

4、分析與思考

(1) 描述在使用SSL 機制時，客戶端和服務(wù)器端之間建立一個安全通道的大型過程。

(2) 在IIS 服務(wù)器安全配置試驗部分，只是進行了一些簡單的安全配置，對于實際中使

用的Web 服務(wù)器所受攻擊的防護還遠(yuǎn)遠(yuǎn)不夠，還需要采用一系列的安全措施，請

思考還有那些措施可以應(yīng)用？

(3) 安裝Apache 服務(wù)器，并對Apache 服務(wù)器進行安全配置。

(4) 配置Apache 服務(wù)器中SSL 協(xié)議并進行測試。