試驗四、WEB 安全試驗1、試驗目的(1) 了解WEB 服務器（IIS 或Apache ）的安全漏洞以及安全配置(2) 了解SSL 協(xié)議的工作原理與流程。(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務器

試驗四、WEB 安全試驗

1、試驗目的

(1) 了解WEB 服務器（IIS 或Apache ）的安全漏洞以及安全配置

(2) 了解SSL 協(xié)議的工作原理與流程。

(3) 能夠?qū)崿F(xiàn)IIS 或Apache 服務器下SSL 的配置。

2、試驗設備與試驗環(huán)境

若干臺PC ，其中一臺安裝Windows 2003 Server，安裝并配置證書服務，充當CA 服務器，其它安裝WindowsXP ，并安裝IIS 或Apache 服務，充當WEB 服務器，并互相充當WEB 瀏覽器。

3、試驗內(nèi)容與步驟

(1) IIS 服務器的安全配置

I 確認IIS 與系統(tǒng)安裝在不同的分區(qū)。

如果IIS 安裝在系統(tǒng)分區(qū)，IIS 的安全漏洞課直接威脅到系統(tǒng)的安全，建議卸載重新安裝。

II 刪除不必要的虛擬目錄。

打開*wwwroot（*代表IIS 安裝的路徑）文件夾，刪除在IIS 安裝完成后默認生成的目錄，包括IISHelp 、IISAdmin 、IISSamples 和MSADC 等。

III 停止默認網(wǎng)站或修改主目錄。

在“Internet 服務管理器”中，右擊“默認Web 站點”，在彈出的快捷菜單中單擊“停止”命令。根據(jù)需要啟用自己創(chuàng)建的站點，或者在“Internet 服務管理器”中右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“主目錄”頁面中修改本地路徑。

IV 對IIS 中的文件和目錄進行分類，區(qū)別設置權(quán)限。

右擊Web 主目錄中的文件和目錄，在“屬性”中按需給他們分配適當?shù)臋?quán)限。一般情況下，靜態(tài)文件允許讀，拒絕寫；ASP 腳本文件和exe 可執(zhí)行查詢等則允許執(zhí)行，拒絕讀、寫。除外，所有的文件和目錄要將Everyone 用戶組的權(quán)限設置為“只讀”權(quán)限。

V 刪除不必要的應用程序映射。

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“主目錄”頁面中，單擊“配置”按鈕。在彈出的“應用程序配置”對話框上網(wǎng)“應用程序映射”頁面，刪除無用的程序映射。大多數(shù)情況下，只需要留下.asp 、.aspx 、即可，將.ida 、.idq 、.htr 等全部刪除。

VI 維護日志安全。

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，當選中“啟用日志目錄”時，單擊旁邊的“屬性”按鈕，在打開的對話框中，選擇“常規(guī)屬性”頁面，單擊“瀏覽”按鈕或直接在輸入框中輸入修改后的日志存放路徑即可。

日志文件要適當設置權(quán)限，建議對系統(tǒng)管理員設置為完全控制，其它用戶為只讀；同時建議與Web 主目錄文件不要放在同一個分區(qū)，以增加攻擊者利用路徑瀏覽日志廚房的路徑難度，防止攻擊者惡意篡改日志。

VII 修改端口值

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，Web 服務器默認的TCP 端口值為80，將該端口值改為其他值，可以增強安全性。

(2) Windows 2003 Server系統(tǒng)中安裝證書服務器

證書服務器用于向Web 站點發(fā)放證書，默認情況下Windows Server 2003（SP1）系統(tǒng)沒有安裝證書服務器，因此需要進行手動安裝，操作步驟如下所述：

I 在“控制面板”窗口中雙擊“添加或刪除程序”選項，打開“添加或刪除程序”窗口。然后在左窗格中單擊“添加/刪除Windows 組件”按鈕，打開“Windows組件向?qū)А睂υ捒颉?/p>

II 在“組件”列表中找到并選中“證書服務”選項，然后單擊“詳細信息”按鈕，在打開的“證書服務”對話框中選中“證書服務Web 注冊支持”和“證書服務頒發(fā)機構(gòu)（CA ）”復選框。依次單擊“確定”→“下一步”按鈕，如圖所示。

III 在打開的“CA類型”對話框中選中“獨立根（CA ）”單選框，單擊“下一步”按鈕，如圖所示。

IV 打開“CA識別信息”對話框，輸入CA 名稱等標識信息（如“安全站點”）。在“有效期限”編輯框中設置CA 識別信息的有效期限，單擊“下一步”按鈕，如圖所示。

V 打開“證書數(shù)據(jù)庫設置”對話框，建議保持默認路徑，并依次單擊“下一步”→“完成”按鈕。

小提示：

在安裝過程中系統(tǒng)會提示安裝向?qū)⑼Ｖ笽IS 服務，單擊“是”按鈕停止繼續(xù)安裝。如果IIS 當前沒有啟用ASP 支持，想到將提示用戶啟用ASP 。單擊“是”按鈕將繼續(xù)安裝。另外在復制文件的過程中會要求用戶提供Windows 2000 Server安裝光盤或指定安裝源，并且在完

成安裝后證書服務會自動啟動。

VI 在開始菜單中依次單擊“管理工具”→“證書頒發(fā)機構(gòu)”菜單項，打開“證書頒發(fā)機構(gòu)”窗口。在左窗中右鍵單擊“安全站點”（即證書服務標識）目錄，依次選擇“所有任務”→“啟動服務”命令啟動證書服務，如圖所示。

(3) IIS 服務器中SSL 配置

以系統(tǒng)管理員的身份進行下面內(nèi)容的實驗：

I 生成服務器證書請求文件；

在“Internet 服務管理器”中，右鍵點擊要使用SSL 安全加密機制功能的網(wǎng)站，在彈出菜單中選擇“屬性”，然后切換到“目錄安全性”標簽頁，接著點擊“服務器證書”按鈕。在“IIS證書向?qū)А贝翱谥羞x擇“新建證書”選項，點擊“下一步”，選中“現(xiàn)在準備證書請求，但稍后發(fā)送”，接著在“名稱”欄中為該證書起個名字，在“位長”下拉列表中選擇“密鑰的位長”，這里要注意，位長不能設置的過大，否則會影響通信質(zhì)量; 接著設置證書的單位、部門、和地理信息，在站點“公用名稱欄”中輸入該網(wǎng)站的域名，然后指定證書請求文件的保存位置。這樣就完成了證書請求文件的生成。

II 提交服務器證書申請；

運行 Internet Explorer 瀏覽器，輸入證書頒發(fā)機構(gòu)的URL 地址。微軟證書頒發(fā)機構(gòu)的地址格式為http://證書服務器名/certsrv，打開歡迎界面。

接著在“Microsoft 證書服務”歡迎窗口中點擊“申請一個證書”鏈接，然后在證書申請類型中點擊“高級證書申請”鏈接，在高級證書申請窗口中點擊“使用BASE64編碼的 CMC 或PKCS#10文件提交….”鏈接，接著將前面保存的證書請求文件的內(nèi)容全部復制到“保存的申請”輸入框中，最后點擊“提交”按鈕。此時證書掛起，需要等待服務器端的證書管理員審查并頒發(fā)已經(jīng)提交的申請。

III 管理員在服務器端審查并頒發(fā)證書；

在“控制面板→管理工具”中，運行Certification Authority（證書頒發(fā)機構(gòu)）程序，在“證書頒發(fā)機構(gòu)”左側(cè)窗口中展開目錄，選中Pending Request（掛起的證書申請）目錄，在右側(cè)

窗口找到剛才申請的證書，鼠標右鍵點擊該證書，選擇“所有任務→頒發(fā)”。

IV 獲得服務器證書

運行 Internet Explorer瀏覽器，輸入證書頒發(fā)機構(gòu)的URL 地址。單擊View the Status of a Pending Certification Request，選擇要查看的證書申請。

在證書頒發(fā)界面，選擇證書耳朵編碼格式，下載證書。

V 安裝服務器證書

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的 “目錄安全性”標簽頁中，點擊“服務器證書”按鈕，這時彈出“掛起的證書請求”對話框，選擇“處理掛起的請求并安裝證書”選項，點擊“下一步”后，指定好剛才導出的IIS 網(wǎng)站證書文件的位置，接著指定SSL 使用的端口，建議使用默認的“443”，最后點擊“完成”按鈕，完成服務器證書的安裝。

VI 在WEB 服務器中啟用SSL

安裝服務器證書后，IIS 網(wǎng)站這時還沒有啟用SSL 安全加密功能，需要對IIS 服務器進行配置。

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“網(wǎng)站屬性”對話框的“網(wǎng)站”頁面中，設置SSL 端口，默認端口443。這樣，Web 網(wǎng)站就具備了SSL 安全通信的功能，支持HTTP 和HTTPS 兩種通信連接。

在“Internet 服務管理器”中，右擊所選網(wǎng)站，選擇“屬性”命令，在“目錄安全性”標簽頁，點擊“安全通信”欄的“編輯”按鈕，進入“安全通信”對話框，如果強制瀏覽器與WEB 站點建立SSL 安全通信，則選中“要求安全通道(SSL)”，這時只支持HTTPS 上網(wǎng)通信連接。

4、分析與思考

(1) 描述在使用SSL 機制時，客戶端和服務器端之間建立一個安全通道的大型過程。

(2) 在IIS 服務器安全配置試驗部分，只是進行了一些簡單的安全配置，對于實際中使

用的Web 服務器所受攻擊的防護還遠遠不夠，還需要采用一系列的安全措施，請

思考還有那些措施可以應用？

(3) 安裝Apache 服務器，并對Apache 服務器進行安全配置。

(4) 配置Apache 服務器中SSL 協(xié)議并進行測試。