第4章 网络应用服务的安全

4.2.2 Web服务器权限 服务器权限 与NTFS权限 权限
网络管理员可控制哪些用户及计算机可以 访问网站并使用其资源。可以同时使用NTFS 访问网站并使用其资源。可以同时使用 服务器的安全功能， 及 Web服务器的安全功能 ， 将某些文件夹或 服务器的安全功能 文件的访问权指定给特定的用户。 文件的访问权指定给特定的用户。
4.2.2 Web服务器权限 服务器权限 与NTFS权限 权限
网络管理员可控制哪些用户及计算机可以 访问网站并使用其资源。可以同时使用NTFS 访问网站并使用其资源。可以同时使用 服务器的安全功能， 及 Web服务器的安全功能 ， 将某些文件夹或 服务器的安全功能 文件的访问权指定给特定的用户。 文件的访问权指定给特定的用户。 1. 访问控制的过程
全国高等职业教育计算机类规划教材 实例与实训教程系列
网络安全应用技术
第4章网络应用服务的安全
在这一章中
你将学习 文件系统； ◇ NTFS文件系统； 文件系统 共享文件夹的安全管理； ◇ 共享文件夹的安全管理； 安全配置Web服务器和 服务器和FTP服务器 服务器。 ◇ 安全配置Web服务器和FTP服务器。 你将获取 服务器的安全配置方法； △ Web与FTP服务器的安全配置方法； 与 服务器的安全配置方法 使用NTFS权限与 权限与Web服务器访问权限； 服务器访问权限； △ 使用 权限与 服务器访问权限 使用SSL构建安全的 构建安全的Web服务器的方法。 服务器的方法。 △ 使用 构建安全的 服务器的方法
4.2.2 Web服务器权限 服务器权限 与NTFS权限 权限
3. NTFS权限及其与 权限及其与Web服务器权限的联合 权限及其与 服务器权限的联合 使用 Internet服务管理器依靠 服务管理器依靠NTFS权限来保护 服务管理器依靠 权限来保护 个别文件和文件夹不会受到未经授权访问。 个别文件和文件夹不会受到未经授权访问。 Web服务器权限适用于所有的用户，而 服务器权限适用于所有的用户， 服务器权限适用于所有的用户 NTFS权限则用来明确定义用户访问内容的资 权限则用来明确定义用户访问内容的资 以及处理内容的方式。 格，以及处理内容的方式。
4.2.3 网络应用服务的安全配置
1. 身份验证和访问控制 Internet信息服务提供了三种登录认证方式， 信息服务提供了三种登录认证方式， 信息服务提供了三种登录认证方式 它们分别是匿名方式、明文方式和询问/应答 它们分别是匿名方式、明文方式和询问 应答 方式。 方式。用户采用那种方式取决于用户建立 Internet信息服务器的目的。 信息服务器的目的。 信息服务器的目的
4.2.1 文件系统安全
NTFS是一个特别为网络和磁盘配额、文件 是一个特别为网络和磁盘配额、 是一个特别为网络和磁盘配额 加密等管理安全特性设计的磁盘格式。 加密等管理安全特性设计的磁盘格式。 NTFS支持文件访问控制，人们可以设置文 支持文件访问控制， 支持文件访问控制 件和目录的访问权限， 件和目录的访问权限，控制谁可以使用这个 文件，以及如何使用这个文件。 文件，以及如何使用这个文件。
4.2.1 文件系统安全
3. 共享文件夹权限管理 共享文件夹是被用来向网络用户提供对文件资源 的访问，可以包括应用程序、 的访问，可以包括应用程序、公用数据或用户个人 数据。 数据。 读权限：用户可以阅读文件夹中文件内容。 读权限：用户可以阅读文件夹中文件内容。 修改权限：用户可以创建文件夹、向文件夹中添 修改权限：用户可以创建文件夹、 加文件、改变文件中的数据、向文件中添加数据、 加文件、改变文件中的数据、向文件中添加数据、 改变文件属性、删除文件夹和文件、 改变文件属性、删除文件夹和文件、并能执行读权 限允许的操作。 限允许的操作。 完全控制权限：用户可以改变文件权限、 完全控制权限：用户可以改变文件权限、获取文 件的所有权、并执行修改权限允许的所有任务。 件的所有权、并执行修改权限允许的所有任务。 （读权限+修改权限 完全控制权限） 读权限 修改权限≠完全控制权限） 修改权限 完全控制权限
4.1.1 案例说明
3. 解决方案 实行网络应用服务质量管理， ⑸ 实行网络应用服务质量管理，实现内部 用户的分级管理， 用户的分级管理，对用户下载和上传做相应 的带宽限制。 的带宽限制。 ⑹ 提供灵活详细的访问统计报表，以便掌 提供灵活详细的访问统计报表， 握学校师生对校园网和Internet的使用情况， 的使用情况， 握学校师生对校园网和 的使用情况 及时地对安全访问策略做出及时的调整。 及时地对安全访问策略做出及时的调整。
4.2.2 Web服务器权限 服务器权限 与NTFS权限 权限
2. 设置 设置Web服务器权限 服务器权限 Web 服 务 器 权 限 适 用 于 所 有 访 问 Web 和 FTP站点的用户。 站点的用户。 站点的用户 NTFS权限只针对合法 权限只针对合法Windows帐户内的特 权限只针对合法 帐户内的特 定用户或用户组而设置。 定用户或用户组而设置。 NTFS控制服务器实体文件夹的访问 ， 而 控制服务器实体文件夹的访问， 控制服务器实体文件夹的访问 Web和FTP权限则控制 权限则控制Web或FTP站点的虚拟 和 权限则控制 或 站点的虚拟 目录访问。 目录访问。 通常联合使用这两种权限来进行安全管理。 通常联合使用这两种权限来进行安全管理 。
4.1 案例问题
4.1.1 案例说明 4.1.2 思考与讨论
4.1.1 案例说明
1. 背景描述 学校由三个校区的办公、教学、科研、 学校由三个校区的办公、教学、科研、实 实训场所组成的网络应用服务区域， 验、实训场所组成的网络应用服务区域，需 要面对5000多名师生、三个校区与一批学生 多名师生、 要面对 多名师生 宿舍，建立综合的、集成的网络应用服务安 宿舍，建立综合的、 全防护平台。 全防护平台。
4.1.1 案例说明
3. 解决方案 安装和配置Web服务器，通过身份认证登陆系 服务器， ⑴ 安装和配置 服务器 安装和配置 和配置FTP服务器，授权学校师生通过域 服务器， 统。安装和配置 服务器 用户名和密码登录FTP服务器，使用不同的权 服务器， 名，用户名和密码登录 服务器 限来访问FTP服务器的教学资源。 服务器的教学资源。 限来访问 服务器的教学资源 ⑵ 同一工作性质不同地理位置的计算机划分为同 一IP段，并编排在工作组模式的局域网中，这些计 段 并编排在工作组模式的局域网中， 算机通过网上邻居实现高速互访，传送资料文件等。 算机通过网上邻居实现高速互访，传送资料文件等。
4.2.3 网络应用服务的安全配置
2. IP地址及域名限制 地址及域名限制 通过IP地址及域名限制 地址及域名限制， 通过 地址及域名限制，用户可禁止某些特定的 计算机或者某些区域中的主机对Web和FTP站点及 计算机或者某些区域中的主机对 和 站点及 SMTP虚拟服务器的访问。 虚拟服务器的访问。 虚拟服务器的访问 进行IP地址及域名限制的条件是用户必须知道黑 进行 地址及域名限制的条件是用户必须知道黑 客的计算机使用哪些IP地址或属于哪些网络区域 地址或属于哪些网络区域， 客的计算机使用哪些 地址或属于哪些网络区域， 否则无法进行限制。 否则无法进行限制。 对基于Internet的信息服务器，网站接受来自于 的信息服务器， 对基于 的信息服务器 各个方面的访问，用户很难进行地址限制。一般， 各个方面的访问，用户很难进行地址限制。一般， 只有基于内部网络的信息服务器才使用IP地址及域 只有基于内部网络的信息服务器才使用 地址及域 名进行安全保护。 名进行安全保护。
4.2.3 网络应用服务的安全配置
3. SMTP虚拟服务器的安全设置 虚拟服务器的安全设置 指定SMTP虚拟服务器的名称和 地址 虚拟服务器的名称和IP地址 指定 虚拟服务器的名称和 限制其他计算机、 限制其他计算机、网络或用户的访问权 限 设置邮件本身的相关参数 设置SMTP虚拟服务器邮件寄送的相关 设置 虚拟服务器邮件寄送的相关 事项 设置SMTP虚拟服务器的操作者，主要 虚拟服务器的操作者， 设置 虚拟服务器的操作者 是指定SMTP虚拟服务器的使用权限 是指定 虚拟服务器的使用权限
4.1.2 思考与讨论
专题讨论 ⑴ 校园网的应用服务主要有哪些？ 校园网的应用服务主要有哪些？ 电子邮件可能遇到的安全风险？ ⑵ 电子邮件可能遇到的安全风险？
4.2 技术视角
4.2.1 文件系统安全 4.2.2 Web服务器权限与 服务器权限与NTFS权限 服务器权限与 权限 4.2.3 网络应用服务的安全配置
4.1.2 思考与讨论
阅读案例并思考以下问题 以你的分析和观察， ⑴ 以你的分析和观察，说明对于校园网什 么样的解决方案才能满足其需求呢？ 么样的解决方案才能满足其需求呢？ 以你的学习基础和理解， ⑵ 以你的学习基础和理解，说明校园网对 账户设置与权限配置有什么要求？ 账户设置与权限配置有什么要求？
4.1.1 案例说明
2. 需求分析 需要构建一个网站，对外发布学校信息， ⑴ 需要构建一个网站，对外发布学校信息， 对内实现教学教育统一化管理。 对内实现教学教育统一化管理。 校园网内部需要实现计算机间高速互访， ⑵ 校园网内部需要实现计算机间高速互访， 同时可以访问Internet。 同时可以访问 。 通过校园网实现办公自动化， ⑶ 通过校园网实现办公自动化，提高工作 效率。 效率。
4.2.1 文件系统安全
2. NTFS权限的继承性 权限的继承性 在同一个NTFS分区内移动文件或文件夹， 分区内移动文件或文件夹， ① 在同一个 分区内移动文件或文件夹 权限不变； 权限不变； 在不同NTFS分区之间移动文件或文件夹， 分区之间移动文件或文件夹， ② 在不同 分区之间移动文件或文件夹 继承目的分区中文件夹的权限； 继承目的分区中文件夹的权限； 在同一个NTFS分区内拷贝文件或文件夹， 分区内拷贝文件或文件夹， ③ 在同一个 分区内拷贝文件或文件夹 继承目的位置中文件夹的权限； 继承目的位置中文件夹的权限； 在不同NTFS分区之间拷贝文件或文件夹， 分区之间拷贝文件或文件夹， ④ 在不同 分区之间拷贝文件或文件夹 继承目的位置中文件夹的权限。 继承目的位置中文件夹的权限。
4.1.1 案例说明
3. 解决方案 实行统一的用户管理， ⑶ 实行统一的用户管理，对访问权限实行分级管 理等要求，实现流量控制、端口镜象，针对老师、 理等要求，实现流量控制、端口镜象，针对老师、 学生、领导上网做不同的设置， 学生、领导上网做不同的设置，满足他们的相关要 同时，对师生访问的网站、使用的上网软件、 求。同时，对师生访问的网站、使用的上网软件、 下载和上传等做不同的限制。 下载和上传等做不同的限制。 建立证书机制， ⑷ 建立证书机制，让服务器和客户端之间彼此相 互验证。 互验证。服务器与客户端的浏览器之间通过认证建 立加密套接字协议层的连接， 立加密套接字协议层的连接，使得信息加密后再进 行传送。 行传送。
4.2.2 Web服务器权限 服务器权限 与NTFS权限 权限
网络管理员可控制哪些用户及计算机可以 访问网站并使用其资源。可以同时使用NTFS 访问网站并使用其资源。可以同时使用 服务器的安全功能， 及 Web服务器的安全功能 ， 将某些文件夹或 服务器的安全功能 文件的访问权指定给特定的用户。 文件的访问权指定给特定的用户。
4.1.1 案例说明
需要有文件传输，实现资源共享； ⑷ 需要有文件传输，实现资源共享；师生 通过校园网连接和登录服务器， 通过校园网连接和登录服务器，下载和上传 教学资料。 教学资料。 将校园网构建成安全稳定、 ⑸ 将校园网构建成安全稳定、可管理的网 络。 ⑹ 当启用新的网络应用服务和有新的用户 加入时，需要调整安全配置、 加入时，需要调整安全配置、实施新的网络 安全策略、 安全策略、针对所出现的问题采取新的防范 措施。 措施。
4.2.1 文件系统安全
1. NBiblioteka BaiduFS的优点 的优点 ① 具备错误预警的文件系统 ② 文件读取速度更高效 效率比FAT高 ③ NTFS效率比 效率比 高 ④ 磁盘自我修复功能 防灾赈灾” ⑤ “防灾赈灾”的事件日志功能 NTFS还提供了磁盘压缩、数据加密、磁盘 还提供了磁盘压缩、 还提供了磁盘压缩 数据加密、 配额、动态磁盘管理等功能。 配额、动态磁盘管理等功能。