第7章 网络安全教程-- 安全性.ppt

《第7章 网络安全教程-- 安全性.ppt》由会员分享，可在线阅读，更多相关《第7章 网络安全教程-- 安全性.ppt（26页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章第七章 WWWWWW安全性安全性第七章第七章 WWW安全性安全性7.1 HTTP协议及协议及WWW服务服务7.2 WWW服务器的安全性服务器的安全性7.3 Web欺骗欺骗7.4 WWW客户安全性客户安全性7.5 增强增强WWW的安全性的安全性第七章第七章 WWWWWW安全性安全性本章学习目标本章学习目标本章本章主要介绍了本章本章主要介绍了WWW的有关安全问题。通过本章学习，读者的有关安全问题。通过本章学习，读者应该掌握以下内容：应该掌握以下内容：Web与与HTTP协议，协议，HTTP数据包的过滤特性和代理特性，数据包的过滤特性和代理特性，Web的的访问控制，访问控制，HTTP的安全问题，

2、的安全问题，S-HTTP和和SSL的简介，缓存的安的简介，缓存的安全性；全性；WWW服务器的安全漏洞；服务器的安全漏洞；NCSA、Apache、Netscape的安全问的安全问题；题；CGI程序的安全性问题；程序的安全性问题；Plug-in的安全性问题；的安全性问题；Java与与JavaScript的安全性问题；的安全性问题；Cookies的安全性；的安全性；ActiveX的安全性；的安全性；Web攻击的行为特点；与攻击的行为特点；与Web安全相关的决策；安全相关的决策；WWW客户安全性；客户安全性；如何增强如何增强WWW的安全性；的安全性；返回本章首页返回本章首页第七章第七章 WWWWWW安

3、全性安全性7.1 HTTP协议及协议及WWW服务服务7.1.1HTTP协议及其安全性7.1.2Web的访问控制7.1.3 安全超文本传输协议安全超文本传输协议S-HTTP 7.1.5 安全套接层安全套接层SSL 7.1.6 缓存的安全性缓存的安全性 返回本章首页返回本章首页第七章第七章 WWWWWW安全性安全性7.1.1 HTTP协议及其安全性协议及其安全性 HTTP协议（协议（Hypertext Transfer Protocol，超文本，超文本传输协议）是分布式的传输协议）是分布式的Web应用的核心技术协议，在应用的核心技术协议，在TCP/IP协议栈中属于应用层。它定义了协议栈中属于应用层

4、。它定义了Web浏览器浏览器向向Web服务器发送服务器发送Web页面请求的格式，以及页面请求的格式，以及Web页页面在面在Internet上的传输方式。上的传输方式。HTTP协议允许远程用户对远程服务器的通信请求，协议允许远程用户对远程服务器的通信请求，这会危及这会危及Web服务器和客户的安全服务器和客户的安全HTTP的另一个安全漏洞就是服务器日志。的另一个安全漏洞就是服务器日志。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.1.2 Web的访问控制的访问控制IP地址并不能得到解析，因为客户机本地名字服务器配置可能不正确，地址并不能得到解析，因为客户机本地名字服务器配置可能不正确，

5、这个时候这个时候HTTP服务器就伪造一个域名继续工作。服务器就伪造一个域名继续工作。一旦一旦Web服务器获服务器获得得IP地址及相应客户的域名，便开始进行验证，来决定客户是否有权地址及相应客户的域名，便开始进行验证，来决定客户是否有权访问请求的文档。这其中隐含着安全漏洞。访问请求的文档。这其中隐含着安全漏洞。可用一些方法来增强服务器的安全性可用一些方法来增强服务器的安全性 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.1.3 安全超文本传输协议安全超文本传输协议S-HTTP S-HTTP（Secure Hyper Text Transfer Protocol）是保护）是保护Inte

6、rnet上所传输的敏感信息的安全协议。随着上所传输的敏感信息的安全协议。随着Internet和和Web对身份验证的需求的日益增长，用户在彼此收发加密文件之前需要对身份验证的需求的日益增长，用户在彼此收发加密文件之前需要身份验证。身份验证。S-HTTP协议也考虑了这种需要。协议也考虑了这种需要。S-HTTP的目标是保证蓬勃发展的商业交易的传输安全，因而推的目标是保证蓬勃发展的商业交易的传输安全，因而推动了电子商务的发展。动了电子商务的发展。S-HTTP使使Web客户和服务器均处于安全保客户和服务器均处于安全保护之下，其信息交换也是安全的。护之下，其信息交换也是安全的。返回本节返回本节第七章第七章

7、 WWWWWW安全性安全性7.1.5 安全套接层安全套接层SSL SSL（Secure Sockets Layer）是是Netscape公公司司设设计计和和开开发发的的，其其目目的的在在于于提提高高应应用用层层协协议议（如如HTTP，Telnet，NNTP，FTP等等）的的安安全全性性。SSL协协议议的的功功能能包包括括：数数据据加加密密、服服务务器器验验证证、信信息息完完整整性性以以及及可可选选的的客客户户TCP/IP连连接接验验证证。SSL的的主主要要目目的的是是增增强强通通信应用程序之间的保密性和可靠性。信应用程序之间的保密性和可靠性。SSL是两层协议，它依赖了一些可靠的传输协议是两层协

8、议，它依赖了一些可靠的传输协议 SSL不同于不同于S-HTTP之处在于后者是之处在于后者是HTTP的超集，只限于的超集，只限于Web SSL 可以使用各种类型的加密算法和密钥验证机制可以使用各种类型的加密算法和密钥验证机制 安全方案不仅仅只有安全方案不仅仅只有SSL和和S-HTIP 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.1.6 缓存的安全性缓存的安全性 缓缓存存通通过过在在本本地地磁磁盘盘中中存存储储高高频频请请求求文文件件，从从而而大大大大提提高高Web服服务务的的性性能能。不不过过，如如果果远远程程服服务务器器上上的的文文件件更更新新了了，用用户户从从缓缓存存中中检检索

9、索到到的的文文件件就就有有可可能能过过时时。而而且且，由由于于这这些些文文件件可可由由远远程程用用户户取取得得，因因而而可可能能暴暴露露一一些些公公众众或或外外部部用用户户不不能能读读取的信息。取的信息。HTTP服服务务器器通通过过将将远远程程服服务务器器上上文文件件的的日日期期与与本本地地缓缓存存的的文文件日期进行比较可以解决这个问题。件日期进行比较可以解决这个问题。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.2 WWW服务器的安全性服务器的安全性7.2.1 WWW服务器的安全漏洞服务器的安全漏洞 7.2.2通用网关接口通用网关接口(CGI)的安全性的安全性 7.2.3 Plu

10、g-in的安全性的安全性 7.2.4 Java与与JavaScript的安全性的安全性 7.2.5 Cookies的安全性的安全性 7.2.6 ActiveX的安全性的安全性 返回本章首页返回本章首页第七章第七章 WWWWWW安全性安全性7.2.1 WWW服务器的安全漏洞服务器的安全漏洞 1NCSA服务器的安全漏洞服务器的安全漏洞 2Apache WWW服务器的安全问题服务器的安全问题 3Netscape的的WWW服务器的安全问题服务器的安全问题 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.2.2通用网关接口通用网关接口(CGI)的安全性的安全性 公共网关接口（公共网关接口（CG

11、I）提供了扩展）提供了扩展Web页面功能的最灵活的页面功能的最灵活的方法。客户方方法。客户方CGI的编程用的编程用HTML标记，让窗口捕获用户的标记，让窗口捕获用户的输入，并把它传到服务器方的应用程序，服务器方的输入，并把它传到服务器方的应用程序，服务器方的CGI把把这些信息传递给应用程序，由它返回给客户系统更新的这些信息传递给应用程序，由它返回给客户系统更新的Web页面和其他信息。页面和其他信息。1CGI程序的编写应注意的问题程序的编写应注意的问题 2.CGI脚本的激活方式脚本的激活方式 3.不要依赖于隐藏变量的值不要依赖于隐藏变量的值 4.CGI的权限问题的权限问题返回本节返回本节第七章第

12、七章 WWWWWW安全性安全性7.2.3 Plug-in的安全性的安全性 把把任任何何一一个个命命令令行行shell、解解释释器器、宏宏处处理理器器或或脚脚本本语语言言处处理器作为一种文档类型的阅读器，都会受到理器作为一种文档类型的阅读器，都会受到Web上的攻击。上的攻击。不不要要为为任任何何可可能能包包含含可可执执行行语语句句的的文文件件声声明明任任何何外外部部阅阅读读器器。Java和和安安全全Tcl这这些些脚脚本本语语言言会会检检测测到到这这个个安安全全问问题题：它它们们可可以防止那些危险的功能。以防止那些危险的功能。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.2.4 Jav

13、a与与JavaScript的安全性的安全性 尽尽管管名名字字上上很很相相似似，但但Java与与JavaScript之之间间毫毫无无瓜瓜葛葛。Java是是Sun公公司司设设计计的的一一种种语语言言。用用Java编编写写的的代代码码编编译译成成一一种种紧紧凑凑的的格格式式并并存存在在连连接接的的服服务务器器端端。JavaScript是是Netscape公公司司设设计计的的一一系系列列HTML语语言言扩扩展展，它它增增强强了了HTML语语言言的的动动态态交交互互能能力力，并并且且可可以以把把部部分分处处理理移移到到客客户户机，减轻服务器的负载。机，减轻服务器的负载。1.Java applet的安全性

14、的问题的安全性的问题 2.JavaScript的安全性问题的安全性问题 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.2.5 Cookies的安全性的安全性 Cookie是是Netscape公司开发的一种机制。用来改善公司开发的一种机制。用来改善HTTP协协议的无状态性。议的无状态性。Cookie是一段很小的信息，通常只有一个短是一段很小的信息，通常只有一个短短的章节标记那么大。它是在浏览器第一次连接时由短的章节标记那么大。它是在浏览器第一次连接时由HTTP服服务器送到浏览器的。以后，浏览器每次连接都把这个务器送到浏览器的。以后，浏览器每次连接都把这个Cookie的的一个拷贝返回给

15、服务器。一个拷贝返回给服务器。Cookie不能用来偷关于用户或用户的计算机系统的信息。但不能用来偷关于用户或用户的计算机系统的信息。但是大多数的是大多数的Cookie是试图改善是试图改善Web浏览体验的良性尝试，而浏览体验的良性尝试，而不是侵犯隐私。不是侵犯隐私。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.2.6 ActiveX的安全性的安全性 ActiveX是是 Microsoft 公公司司开开发发的的用用来来在在Internet上上分分发发软软件件的的产产品品。ActiveX控控件件有有许许多多是是为为Microsoft Internet Explorer(目目前前唯唯一一支

16、支持持它它们们的的浏浏览览器器)而而做做的的,ActiveX的的安安全全模模型型与与Java applet有有很大不同。很大不同。ActiveX的的授授权权过过程程保保证证ActiveX不不能能被被匿匿名名分分发发，并并且且控控件件在在公公布以后不会被第三者修改。布以后不会被第三者修改。ActiveX可可以以从从Microsoft Internet Explorer的的选选项项菜菜单单里里完完全全关闭。只要找到活跃内容一项并选择最安全选项即可实现关闭。关闭。只要找到活跃内容一项并选择最安全选项即可实现关闭。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.3 Web欺骗欺骗 7.Web

17、攻击的行为和特点攻击的行为和特点 7.攻击的原理和过程攻击的原理和过程 返回本章首页返回本章首页第七章第七章 WWWWWW安全性安全性7.Web攻击的行为和特点攻击的行为和特点 Web欺骗是指攻击者建立一个使人相信的欺骗是指攻击者建立一个使人相信的、Web页站点的拷贝，页站点的拷贝，这个假的这个假的Web站点拷贝就像真的一样：它具有所有的页面和连接。然站点拷贝就像真的一样：它具有所有的页面和连接。然而攻击者控制了这个假的而攻击者控制了这个假的Web页，被攻击对象和真的页，被攻击对象和真的Web站点之间站点之间的所有信息流动都被攻击者所控制了。的所有信息流动都被攻击者所控制了。攻击者可以监视和控

18、制整个过程攻击者可以监视和控制整个过程 静态地观察静态地观察 实施破坏实施破坏 攻击的简单性攻击的简单性 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.攻击的原理和过程攻击的原理和过程 攻攻击击的的关关键键在在于于攻攻击击者者的的Web服服务务器器能能够够插插在在浏浏览览者者和和其其他他的的Web之间之间 1改写改写URL 2开始攻击开始攻击 3制造假象制造假象攻击者的伪Web服务器 Web服务器受骗用户返回本节返回本节第七章第七章 WWWWWW安全性安全性7.4 WWW客户安全性客户安全性 7.4.防范恶意代码防范恶意代码 7.4.2 隐私侵犯隐私侵犯 返回本章首页返回本章首页第

19、七章第七章 WWWWWW安全性安全性几种清除恶意代码的方法几种清除恶意代码的方法(1)解开被禁用的注册表(2)解决IE属性主页不能修改(3)修改IE的标题栏(4)IE默认连接首页的修改(5)右键菜单中的网页广告7.4.防范恶意代码防范恶意代码2采取防范措施，杜绝恶意代码采取防范措施，杜绝恶意代码（1）管住自己（2）禁用ActiveX插件、控件和Java脚本（3）安装防病毒软件（4）注册表加锁（5）对Win2000用户，禁用远程注册表操作服务（6）升级IE为IE6.0以上版本（7）下载微软最新的MicrosoftWindowsScript5.6（8）避免重蹈覆辙返回本节返回本节第七章第七章 WW

20、WWWW安全性安全性7.4.2 隐私侵犯隐私侵犯 广广泛泛使使用用的的英英特特网网技技术术已已经经引引起起了了许许多多个个人人隐隐私私方方面面的的问问题题，它它还还会会在在将将来来发发展展的的过过程程中中对对个个人人自自由由的的许许多多方方面面带带来来意意想想不不到到的的问问题题。涉涉及及到到一一个个个个人人隐隐私私权权的的尊尊重重与与保保护护和和公公共共安安全全之之间间的的冲冲突突问问题题。需需要要指指出出的的是是，并并不不是是在在任任何何时时候候保保护护公公共共安安全全的的需需要要都都应应当当优优先先于于保保护护和尊重个人隐私权的需要。和尊重个人隐私权的需要。1网上数据搜集的方法网上数据搜

21、集的方法 2网上数据搜集对个人隐私可能造成的侵害网上数据搜集对个人隐私可能造成的侵害 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.5 增强增强WWW的安全性的安全性 7.5.WWW安全建议安全建议 7.5.2 Web保护方法保护方法 7.5.3 Web服务器的安全措施服务器的安全措施 返回本章首页返回本章首页第七章第七章 WWWWWW安全性安全性7.5.WWW安全建议安全建议尽可能使用一台专用堡垒主机尽可能使用一台专用堡垒主机,应仔细配置服务器来控制它访问的东应仔细配置服务器来控制它访问的东西；特别要注意某人会设法向系统装载程序西；特别要注意某人会设法向系统装载程序,然后通过然后

22、通过HTTP服务器来服务器来执行。执行。在没有允许内部主机访问所有在没有允许内部主机访问所有TCP端口的情况下，不能允许它们访问端口的情况下，不能允许它们访问所有所有HTTP服务器服务器。代理。代理HTTP使用一个高速缓存代理服务器即可。这样既有利于扩展网络宽度，又使用一个高速缓存代理服务器即可。这样既有利于扩展网络宽度，又有利于安全。有利于安全。返回本节返回本节第七章第七章 WWWWWW安全性安全性7.5.2 Web保护方法保护方法 虽然虽然Web欺骗是危险的和几乎不可察觉的，然而还是可以采用下面的一些方法欺骗是危险的和几乎不可察觉的，然而还是可以采用下面的一些方法进行保护。进行保护。跟踪攻

23、击者跟踪攻击者 可以使用网络监听或用netstat之类的工具找到攻击者所用的服务器 2短期的解决方法短期的解决方法（1）关闭浏览器的JavaScript，使得攻击者不能隐藏攻击的迹象。（2）确信你的浏览器的地址行总是可见的。（3）留意浏览器地址行上显示的URL，确信它们一定是指向所想的服务器。3长期办法长期办法 访问限制方法：IP地址、子网、域的限制；用户名和密码；加密 返回本节返回本节第七章第七章 WWWWWW安全性安全性7.5.3 Web服务器的安全措施服务器的安全措施 限制限制IP地址可以提供一定程序的安全性，但并不能阻止黑客攻击站点。地址可以提供一定程序的安全性，但并不能阻止黑客攻击站

24、点。比较理想的方法是，对比较理想的方法是，对IP地址的限制与其他一些验证方法，如检查用户地址的限制与其他一些验证方法，如检查用户名和密码等，结合起来。名和密码等，结合起来。运行运行Web服务器可以采取的一些基本安全手段服务器可以采取的一些基本安全手段（1）保证注册账户的时效性。（2）删除死账户。（3）强制用户登录时使用好的密码（4）不要保留不用的服务。（5）有不用的shell或解释程序，则删除它们。（6）定期检查系统和Web记录以发现可疑活动。（7）检查系统文件的权限设置是否正确。返回本节返回本节第七章第七章 WWWWWW安全性安全性THANK YOU VERY MUCH！本章到此结束，本章到此结束，谢谢您的光临！谢谢您的光临！返回本章首页返回本章首页结结 束束放映放映