第八讲网站管理和安全
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/11/16
3 性能优化
• 硬件配置:可靠性、稳定性、兼容性、 网络连接速度、数据处理速度等;
• 软件平台选择:稳定性、伸缩性、集成 性
• 参数优化:最大连接、带宽、最大请求 超时数、计算复杂度等
2020/11/16
31 服 务 进 程 管 理
2020/11/16
3 2 日 志 管 理
Everyone组用户: 对D:\04jsj目录及其子目录可读、执行
本地09104021用户: 对D:\04jsj\09104021目录及其子目录可读、执行、写
本地09104022用户: 对D:\04jsj\09104022目录及其子目录可读、执行、写
本地Adminstrator、System用户: 对D:\04jsj目录及其子目录可读、执行、写
• IIS应用程序:驻留在某站点的特定目录下的一组 页面文件、资源文件、脚本程序文件。
• 创建一个站点时就创建了一个应用程序,应用程 序名叫“默认应用程序”,应用程序名可更改。
• 创建一个虚拟目录时也创建了一个应用程序,默 认的应用程序名是虚拟目录名(别名)。
• 站点或虚拟目录下的文件和目录是应用程序的一 部分。
– 独立(高):应用程序在独立进程中运行
2020/11/16
。
2-3-1-1 图
2020/11/16
2-3-2 服务器程序运行环境
• Web站点根据浏览器请求URL的文件扩 展名确定由那个ISAPI或机器平台处理 请求的程序。 如:action1.asp请求由asp.dll处理; action2.cgi请求在服务器OS上运行 ; action3.jsp请求由JSP Container处 理。
4-4 防火墙
• 地址 • 端口 • 内容
2020/11/16
4-7 认证
浏览器
Web服务器
2020/11/16
认证中心
4-7-1 服务器证 书
2020/11/16
4-7-2 客户端证 书
2020/11/16
5 传输安全
1. 验证加密 2. 内容加密
– 信号加密:接口层加密 – 数据加密:应用层加密
2020/11/16
主目录
• 主目录是每个站点Web应用的根目录; • 浏览器能够访问主目录及其子目录中的所有
文件、文件夹; • IIS默认站点的主目录是C:\InetPub\wwwroot • 站点主目录设置为:
1. 本地文件目录 2. 局域网共享目录 3. 重定向URL
2020/11/16
虚拟目录
http://hostname/ http://hostname/images/ http://hostname/resouce/ http://hostname/hlp/ http://hostname/dir1/
http://host1name/
\\coputername\fld1 \ 2020/11/16
2020/11/16
2-3-4 应用程序调试
➢启用程序调试。 ➢IIS5在服务器端调试,在服务器端
debuger调试器中显示; ➢IIS5&.net在服务器端调试,在客户端IE
中显示。
2020/11/16
2-4 重定向请求
• 当浏览器请求站点页面时,IIS重定位到 URL指定的页面。 如:更新站点时,希望访问原来的站点 内容,可利用重定向URL。
设置方法: HTTP头/启动内容失效/在此时刻失效: 2004年10月30日 0:0:0
2020/11/16
4-3-3-1 图
2020/11/16
4-3-4 例:实验课站点 目录
服务器:物理目录 主目录 D:\04jsj\ 物理子目录 D:\04jsj\09104021 物理子目录 D:\04jsj\09104022 ……
• 从主目录及其子目录以外的目录发布页面,则需要 利用虚拟目录;
• 虚拟目录是物理上尉包含在主目录中的目录; • 浏览器访问站点时认为虚拟目录包含在主目录中; • 使用虚拟目录便于移动、管理站点中目录; • 虚拟目录和物理目录的结构上不对应; • 对应虚拟目录的物理目录名,虚拟目录名叫别名; • 在虚拟目录下可以建立虚拟目录; • 站点的目录名和虚拟目录名一般用英文字符命名。
• 操作员可管理只影响各自站点的属性,如 访问权限、默认文档、截止日期等。
• 无权操作影响IIS、维护IIS、服务器、网 络的属性,如站点标识、匿名账户、用户 和密码、限制带宽、创建虚拟目录等。
站点操作员只可操作你站点的属性。
2020/11/16
221 图
2020/11/16
2-3 应用程序配置
2020/11/16
4314 所 有 者
2020/11/16
4-3-1-5 文件夹权限
2020/11/16
4-3-1-6 文件和文件夹特权
2020/11/16
4-3-2 身份验证
• 匿名 • 基本验
证 • 集成
Window s验证
2020/11/16
4-3-3 访问时间控制
• 为保护敏感信息,设置站点、虚拟目录 、子目录和文件的允许访问时间。
2020/11/16
*8 Linux & Apache服务器配 置
http.conf 基本配置 srm.conf 资源配置 access.conf 访问配置Linux文件系统安全
(UID/SID/SUID/SGID设置) /root /home/user1 /usr/local/apache /bin
• 可能某文件和目录属于多个应用程序。
2020/11/16
2-3-1 应用程序保护
• 执行许可: –无
IIS服务进程:Inetinfor.exe 共有进程:DLLHost.exe
– 纯脚本
– 脚本和可执行程序
• 应用程序保护
– IIS(低):应用程序与Web服务在同一进 程中运行;
– 共用(中):应用程序与其他应用程序在 同一进程中运行;
2020/11/16
建立虚拟目录
1. 输入虚拟目录别名; 2. 输入物理目录路径; 3. 在虚拟目录下建立虚拟目录。
2020/11/16
启动文档
• 主目录、子目录、虚拟目录都可以设置 默认文档文件名;
• IIS默认启动文档名是 Default.htm Default.asp Default.aspx
•默认的站点(80) •通过使用附加端口号建立站点 •通过多IP地址建立站点 •通过IP地址的主机头建立站点 (Windows 2000 Server 高级服务器版)
2020/11/16
211 站 点 与 IP 邦 定
2020/11/16
2-2 站点操作员
• 站点操作员授予Windows用户账户在此 Web站点的操作员特权。
http://hostname/dir2/
2 面向对象的站点管理
• 站点的属性设置: 启动文档、站点权限、安全性等
• 面向对象属性的传递: 站点级目录级文件级
2020/11/16
2-1 添加站点向导
1. 站点说明 2. 站点地址:IP地址和服务端口设置 3. 站点主目录 4. 站点访问权限 5. 站点启动、停止、暂停
2020/11/16
4-3-4-2 服务器平台
• Windows2000Server + IIS(Web,FTP) • Windows2000Server + IIS(Web) +
Uftp • Windows2000Server + Tomcat + Uftp • Red Hat Linux 7 + Apache +Wftp
2020/11/16
5-1 加密验证
2020/11/16
5-2 Kerberos身份验证
2020/11/16
5-2-1 关于Kerberos V5协议
2020/11/16
5-3 接口层加密
2020/11/16
6 Asp应用系统安全问题
1. 打补丁、防病毒、服务支持 2. 站点文件目录用户访问限制 3. 站点匿名访问限制 4. 客户IP限制 5. 端口限制 6. 数据库服务器安全限制 7. 包含文件、Access数据库文件扩展名.asp 8. .asp文件加密(IIS可解释)
第八讲网站管理和安全
1 存储结构
• 物理结构:网页、程序、数据等文件在服 务器本地的目录组织结构。 物理存储结构应便于文件管理、安全管理 。
• 逻辑结构:以站点主目录为根,物理子目 录、虚拟子目录等组织结构。 逻辑结构的设定应便于网站内容分类、导 航层次。
2020/11/16
图 : 站 点 和 站 点 目 录
2020/11/16
• 失败的登录尝试就是一个应该被审核的事件的范例 。
• 应该被审核的最普通的事件类型包括: 1. 访问对象,例如文件和文件夹 2. 用户和组帐户的管理 3. 用户登录以及从系统注销时
• 除了审核与安全有关的事件,还将生成安全日志, 2020/11/16 该日志提供了查看日志中所报告的安全事件的方法
4314 图
浏览器:逻辑目录 站点根目录 http://192.168.4.65/ 站点用户目录 http://192.168.4.65/09104021 站点用户目录 http://192.168.4.65/09104022 ……
2020/11/16
4-3-4-1 例:实验课站点权限
Web站点:匿名用户:读、浏览、执行脚本 Ftp站点:匿名用户无权限,其他用户可读、写
2020/11/16
2-3-21图
2020/11/16
2-3-3 应用程序选项
1. 启用会话状况、会话超时 2. 启用缓冲(相当response.buffer ) 3. 启用父路径:允许ASP页使用当前目
录的父目录或更高层目录的相对路径 。
2020/11/16
2331 图
2020/11/16
2-3-3-2 帮助剪图
逻辑目录: http://hostname/ http://hostname/image/ http://hostname/asp/
2020/11/16
1-2 物理结构和逻辑结构不一
致 逻辑目录:
站点主目录:
C:\myweb\ 站点页面文件目录
:
D:\data\images D:\data\resouce C:\myweb\iishelp
• 可添加默认文档文件名,如index.htm
2020/11/16
1-1 物理结构和逻辑结构一致
站点主目录: C:\myweb\ 站点页面文件目录: C:\myweb\images C:\myweb\resouce C:\myweb\script C:\myweb\script\js C:\myweb\script\asp
2020/11/16
3-3 事件查看器
2020/11/16
4 访问安全限制
1. IP地址访问控制 2. Web服务器许可 3. NT源自文库S文件系统限制
2020/11/16
4-1 站点 权限
2020/11/16
42 IP 地 址 访 问 控 制
2020/11/16
4-3 目 录和文 件的 NTFS 权限
2020/11/16
4-3-0 帐户
2020/11/16
4-3-1 文件权限的传递
2020/11/16
4311 帐 户 权 限
2020/11/16
4-3-1-2 帐户权限
2020/11/16
431-3 更 改 帐 户 权 限
2020/11/16
4-3-1-4 审核
• 监视各种与安全相关的事件,监视系统事件对于检 测入侵者以及危及系统数据安全性的尝试是非常必 要的。
2020/11/16
4-3-4-3 客户端
浏览器(http):Internet Explorer, Mozilla Firefox 发布网站(ftp)工具: Internet Explorer, CutFtp 开发工具:EditPlus、FrontPage、Java NetBeans
2020/11/16
3 性能优化
• 硬件配置:可靠性、稳定性、兼容性、 网络连接速度、数据处理速度等;
• 软件平台选择:稳定性、伸缩性、集成 性
• 参数优化:最大连接、带宽、最大请求 超时数、计算复杂度等
2020/11/16
31 服 务 进 程 管 理
2020/11/16
3 2 日 志 管 理
Everyone组用户: 对D:\04jsj目录及其子目录可读、执行
本地09104021用户: 对D:\04jsj\09104021目录及其子目录可读、执行、写
本地09104022用户: 对D:\04jsj\09104022目录及其子目录可读、执行、写
本地Adminstrator、System用户: 对D:\04jsj目录及其子目录可读、执行、写
• IIS应用程序:驻留在某站点的特定目录下的一组 页面文件、资源文件、脚本程序文件。
• 创建一个站点时就创建了一个应用程序,应用程 序名叫“默认应用程序”,应用程序名可更改。
• 创建一个虚拟目录时也创建了一个应用程序,默 认的应用程序名是虚拟目录名(别名)。
• 站点或虚拟目录下的文件和目录是应用程序的一 部分。
– 独立(高):应用程序在独立进程中运行
2020/11/16
。
2-3-1-1 图
2020/11/16
2-3-2 服务器程序运行环境
• Web站点根据浏览器请求URL的文件扩 展名确定由那个ISAPI或机器平台处理 请求的程序。 如:action1.asp请求由asp.dll处理; action2.cgi请求在服务器OS上运行 ; action3.jsp请求由JSP Container处 理。
4-4 防火墙
• 地址 • 端口 • 内容
2020/11/16
4-7 认证
浏览器
Web服务器
2020/11/16
认证中心
4-7-1 服务器证 书
2020/11/16
4-7-2 客户端证 书
2020/11/16
5 传输安全
1. 验证加密 2. 内容加密
– 信号加密:接口层加密 – 数据加密:应用层加密
2020/11/16
主目录
• 主目录是每个站点Web应用的根目录; • 浏览器能够访问主目录及其子目录中的所有
文件、文件夹; • IIS默认站点的主目录是C:\InetPub\wwwroot • 站点主目录设置为:
1. 本地文件目录 2. 局域网共享目录 3. 重定向URL
2020/11/16
虚拟目录
http://hostname/ http://hostname/images/ http://hostname/resouce/ http://hostname/hlp/ http://hostname/dir1/
http://host1name/
\\coputername\fld1 \ 2020/11/16
2020/11/16
2-3-4 应用程序调试
➢启用程序调试。 ➢IIS5在服务器端调试,在服务器端
debuger调试器中显示; ➢IIS5&.net在服务器端调试,在客户端IE
中显示。
2020/11/16
2-4 重定向请求
• 当浏览器请求站点页面时,IIS重定位到 URL指定的页面。 如:更新站点时,希望访问原来的站点 内容,可利用重定向URL。
设置方法: HTTP头/启动内容失效/在此时刻失效: 2004年10月30日 0:0:0
2020/11/16
4-3-3-1 图
2020/11/16
4-3-4 例:实验课站点 目录
服务器:物理目录 主目录 D:\04jsj\ 物理子目录 D:\04jsj\09104021 物理子目录 D:\04jsj\09104022 ……
• 从主目录及其子目录以外的目录发布页面,则需要 利用虚拟目录;
• 虚拟目录是物理上尉包含在主目录中的目录; • 浏览器访问站点时认为虚拟目录包含在主目录中; • 使用虚拟目录便于移动、管理站点中目录; • 虚拟目录和物理目录的结构上不对应; • 对应虚拟目录的物理目录名,虚拟目录名叫别名; • 在虚拟目录下可以建立虚拟目录; • 站点的目录名和虚拟目录名一般用英文字符命名。
• 操作员可管理只影响各自站点的属性,如 访问权限、默认文档、截止日期等。
• 无权操作影响IIS、维护IIS、服务器、网 络的属性,如站点标识、匿名账户、用户 和密码、限制带宽、创建虚拟目录等。
站点操作员只可操作你站点的属性。
2020/11/16
221 图
2020/11/16
2-3 应用程序配置
2020/11/16
4314 所 有 者
2020/11/16
4-3-1-5 文件夹权限
2020/11/16
4-3-1-6 文件和文件夹特权
2020/11/16
4-3-2 身份验证
• 匿名 • 基本验
证 • 集成
Window s验证
2020/11/16
4-3-3 访问时间控制
• 为保护敏感信息,设置站点、虚拟目录 、子目录和文件的允许访问时间。
2020/11/16
*8 Linux & Apache服务器配 置
http.conf 基本配置 srm.conf 资源配置 access.conf 访问配置Linux文件系统安全
(UID/SID/SUID/SGID设置) /root /home/user1 /usr/local/apache /bin
• 可能某文件和目录属于多个应用程序。
2020/11/16
2-3-1 应用程序保护
• 执行许可: –无
IIS服务进程:Inetinfor.exe 共有进程:DLLHost.exe
– 纯脚本
– 脚本和可执行程序
• 应用程序保护
– IIS(低):应用程序与Web服务在同一进 程中运行;
– 共用(中):应用程序与其他应用程序在 同一进程中运行;
2020/11/16
建立虚拟目录
1. 输入虚拟目录别名; 2. 输入物理目录路径; 3. 在虚拟目录下建立虚拟目录。
2020/11/16
启动文档
• 主目录、子目录、虚拟目录都可以设置 默认文档文件名;
• IIS默认启动文档名是 Default.htm Default.asp Default.aspx
•默认的站点(80) •通过使用附加端口号建立站点 •通过多IP地址建立站点 •通过IP地址的主机头建立站点 (Windows 2000 Server 高级服务器版)
2020/11/16
211 站 点 与 IP 邦 定
2020/11/16
2-2 站点操作员
• 站点操作员授予Windows用户账户在此 Web站点的操作员特权。
http://hostname/dir2/
2 面向对象的站点管理
• 站点的属性设置: 启动文档、站点权限、安全性等
• 面向对象属性的传递: 站点级目录级文件级
2020/11/16
2-1 添加站点向导
1. 站点说明 2. 站点地址:IP地址和服务端口设置 3. 站点主目录 4. 站点访问权限 5. 站点启动、停止、暂停
2020/11/16
4-3-4-2 服务器平台
• Windows2000Server + IIS(Web,FTP) • Windows2000Server + IIS(Web) +
Uftp • Windows2000Server + Tomcat + Uftp • Red Hat Linux 7 + Apache +Wftp
2020/11/16
5-1 加密验证
2020/11/16
5-2 Kerberos身份验证
2020/11/16
5-2-1 关于Kerberos V5协议
2020/11/16
5-3 接口层加密
2020/11/16
6 Asp应用系统安全问题
1. 打补丁、防病毒、服务支持 2. 站点文件目录用户访问限制 3. 站点匿名访问限制 4. 客户IP限制 5. 端口限制 6. 数据库服务器安全限制 7. 包含文件、Access数据库文件扩展名.asp 8. .asp文件加密(IIS可解释)
第八讲网站管理和安全
1 存储结构
• 物理结构:网页、程序、数据等文件在服 务器本地的目录组织结构。 物理存储结构应便于文件管理、安全管理 。
• 逻辑结构:以站点主目录为根,物理子目 录、虚拟子目录等组织结构。 逻辑结构的设定应便于网站内容分类、导 航层次。
2020/11/16
图 : 站 点 和 站 点 目 录
2020/11/16
• 失败的登录尝试就是一个应该被审核的事件的范例 。
• 应该被审核的最普通的事件类型包括: 1. 访问对象,例如文件和文件夹 2. 用户和组帐户的管理 3. 用户登录以及从系统注销时
• 除了审核与安全有关的事件,还将生成安全日志, 2020/11/16 该日志提供了查看日志中所报告的安全事件的方法
4314 图
浏览器:逻辑目录 站点根目录 http://192.168.4.65/ 站点用户目录 http://192.168.4.65/09104021 站点用户目录 http://192.168.4.65/09104022 ……
2020/11/16
4-3-4-1 例:实验课站点权限
Web站点:匿名用户:读、浏览、执行脚本 Ftp站点:匿名用户无权限,其他用户可读、写
2020/11/16
2-3-21图
2020/11/16
2-3-3 应用程序选项
1. 启用会话状况、会话超时 2. 启用缓冲(相当response.buffer ) 3. 启用父路径:允许ASP页使用当前目
录的父目录或更高层目录的相对路径 。
2020/11/16
2331 图
2020/11/16
2-3-3-2 帮助剪图
逻辑目录: http://hostname/ http://hostname/image/ http://hostname/asp/
2020/11/16
1-2 物理结构和逻辑结构不一
致 逻辑目录:
站点主目录:
C:\myweb\ 站点页面文件目录
:
D:\data\images D:\data\resouce C:\myweb\iishelp
• 可添加默认文档文件名,如index.htm
2020/11/16
1-1 物理结构和逻辑结构一致
站点主目录: C:\myweb\ 站点页面文件目录: C:\myweb\images C:\myweb\resouce C:\myweb\script C:\myweb\script\js C:\myweb\script\asp
2020/11/16
3-3 事件查看器
2020/11/16
4 访问安全限制
1. IP地址访问控制 2. Web服务器许可 3. NT源自文库S文件系统限制
2020/11/16
4-1 站点 权限
2020/11/16
42 IP 地 址 访 问 控 制
2020/11/16
4-3 目 录和文 件的 NTFS 权限
2020/11/16
4-3-0 帐户
2020/11/16
4-3-1 文件权限的传递
2020/11/16
4311 帐 户 权 限
2020/11/16
4-3-1-2 帐户权限
2020/11/16
431-3 更 改 帐 户 权 限
2020/11/16
4-3-1-4 审核
• 监视各种与安全相关的事件,监视系统事件对于检 测入侵者以及危及系统数据安全性的尝试是非常必 要的。
2020/11/16
4-3-4-3 客户端
浏览器(http):Internet Explorer, Mozilla Firefox 发布网站(ftp)工具: Internet Explorer, CutFtp 开发工具:EditPlus、FrontPage、Java NetBeans
2020/11/16