IIS安全保卫战(2)
来源:asp之家 发布时间:2010-04-06 17:55:00
二、IIS Advanced安全性能与Exchange Server一样,Internet信息服务器提供Advanced安全性能,使你通信绝对安全。它们由SSL(安全插接层)2.0版和3.0版以及PCT(保密通信技术)1.0组成。SSL可对TCP/IP通信进行数据加密、服务器验证和邮件集成功能
安全插接层安全插接层(SSL)是一个由Netscape通信公司开发的协议,并提交环球网联盟(W3C)作为保证Internet通信安全的标准。当支持SSL的一台客户机(Internet Explorer2.0和3.x和Netscape 3.x)与支持SSL的服务器连接时,在TCP/IP连接时就出现“信号交换的交接关系”来进行验证,以确定在通信中将实施哪一级安全保护。
在建立连接后,SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密,其中包括客户机下在请示的统一资源定位符(URL)、其它形式的数据(如你的地址或食用卡号码)、任何验证信息(用户名和口令)以及所有由服务器返回到客户机的数据。
SSL是位于应用协议(如HTTP)之下,SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密(HTTPS)访问方式。尽管SSL能提供实际不可破译的加密功能,但SSL加密传输的速度要低于非加密传输。因此,为了防止你整个WEB网站的性能下降,你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息,如提交的包含信用卡信息的表格。
你可以在你WEB网站的根目录(\InetPub\Wwwroot是缺省值)或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后,只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。
在WEB服务器上启动SSL安全性能,需要进行以下几步工作:
1、使用密钥管理器来生成一个密钥对文件和一个请求文件。
2、从一个认证机构获得一个证书。
3、在你的服务器上安装新获得的证书。
4、激活WEB服务文件夹中的SSL安全功能。
对于保密和公用内容,微软公司建议你使用公开的目录。比如,c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。
应注意以下几点:
(1)为IIS生成一个密钥对时,在任何域中不要使用逗号,原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。
(2)如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时,要确定具体服务器的IP地址,否则系统创建的所有虚拟服务都适用同一个证书。
(3)如果你启动SSL,任何指向支持SSL的WWW文件夹中文档的URL必须使用http://,而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。
IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时,要确保网络安全性。除了我们以前讲座过后IIS功能外,你还要做到以下各点:
(1)为系统分区和各项IIS服务程序生成分开的区,这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。
(2)对机器的所有分区使用NTFS,要保证用户权限设置正确。
(3)将IIS服务器放置于其自己的域中,并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息,那个帐户也无法对你的用户域进行访问。
(4)为各项INTERNET服务使用单独帐户(如果你计划运行的不止是WEB服务器的话),这使得跟踪用户的活动相当容易。
(5)核查,然后再三核查为指定进行匿名访问的帐户分配的权限和许可权。需要给用户分配最小的许可权,通常这是读许可权。
(6)只在你IIS机器上存储非机密信息,并将信息放置在防火墙。这样,如果信息安全性遭到破坏,黑客仍必须穿越防火墙。
(7)在服务器上使用windows NT SERVER的TCP/IP过滤功能,只允许连接到你需要支持IIS服务的端口。比如,如果你只想运行WEB服务器只须启动端口80。
(8)如果用户利用非匿名帐户对服务器进行访问,务必通过加密口令进行验证。


猜你喜欢
- .htaccess文件是非常有用的,下面一篇介绍:• Part 1 – Introduct
- 一、系统配置1、关闭sudo密码为了避免每次使用sudo命令时都输入密码,我们可以将密码关闭。操作方法:1、终端输⼊命令 sudo visu
- ModSecurity 是一个强大的包过滤工具,将检查每一个进入web服务器的包。它将根据内部规则,比较每一个包,并且确定是否需要禁止这个包
- 一种被称为“缓存溢出(buffer overflow)”的设计缺陷,正在严重危害着系统的安全,成为比y2k更为头痛的问题。一旦这个缺陷被别有
- 修改discuz,uchome,ucenter兼容自己开发的通行证最近稍有接触,修改其中的部分代码,就贡献其中的关键部分吧。目前discuz
- 不远的将来,手机上网wap2.0将成为人们日常生活所需。相关文章:wap中的ASP技术 1、中国经济的快速发展,人民生活水平日益提高。这是生
- 核心提示:任何行业都存在竞争,SEO领域同样不例外,而且相对来讲网站搜索引擎优化领域显得更加激烈。如果SEO是一场比赛,搜索引擎就好比裁判。
- Eclipse启动Tomcat后无法访问项目解决办法前言:Eclipse中的Tomcat可以正常启动,不过发布项目之后,无法访问,包括htt
- 实例如下:/* * BlockingQueue.h * * Created on: 2014年6月10日 * Author:
- 一、 介绍: 安全模板是 windows 2000 的新特性。它是 安全配置的物理表示方法,由 Windows 2000 支持的安全属性的文
- 首先,要明白一个问题。我们现在要做的谷歌还是百度。就我个人经验而言,做WordPress博客,谷歌是比较好做的,收录也是最快做多的。但是,很
- 国外VPS 大多数是 Linux /Unix平台,Linux/Unix平台的优点也很多,重点是它还是免费的,(用过美国VPS 的朋友都知道国
- 您 6 月份的预期收入累计共 68.28 元, 扣除阿里妈妈技术服务费 10.24 元后,预计 6 月税前实际收入为 58.04 元阿里妈妈
- 在Windows系统中,磁盘碎片是一个常见的问题,如果不注意,系统性能可能被侵蚀。Linux使用第二扩展文件系统(ext2),它以一种完全不
- 通常,当我们开发Linux程序时有两种方案:在Linux上直接编写程序并进行运行测试和调试在Windows或Mac OS X上借助工具进行远
- 要使你的IIS服务器支持伪静态重写,按以下步骤来:1. 安装重写插件Rewrite.dll 如果你的 IIS 服务器加载过 Rewrite.
- 我应该关注什么?它也起作用了,这还不够吗?每一个网站设计的项目都有一个时间限制,客户也都希望它们的网站能够提前完成。所以网络开发人员和设计人
- 系统默认的个人求职列表标签没有调用会员的学历,有点遗憾,那该如何调用呢?方法如下:打开 根目录下的yp\include\tag.func.p
- Discuz!7.0是康盛创想(Comsenz)公司于2008年12月份发布的一款论坛BBS建站产品。在Discuz!7.0中,道具中心为论
- 10月12日消息,据国外媒体报道,安全研究人员日前公布了谷歌Android移动平台的两处漏洞。开源计算机响应小组(oCert)称,这两处漏洞