WEB安全试验

试验四、WEB 安全试验1、试验目的(1) 了解WEB 服务器（IIS 或Apache ）的安全漏洞以及安全配置(2) 了解SSL 协议的工作原理与流程。(3) 能够实现IIS 或Apache 服务器

试验四、WEB 安全试验

1、试验目的

(1) 了解WEB 服务器（IIS 或Apache ）的安全漏洞以及安全配置

(2) 了解SSL 协议的工作原理与流程。

(3) 能够实现IIS 或Apache 服务器下SSL 的配置。

2、试验设备与试验环境

若干台PC ，其中一台安装Windows 2003 Server，安装并配置证书服务，充当CA 服务器，其它安装WindowsXP ，并安装IIS 或Apache 服务，充当WEB 服务器，并互相充当WEB 浏览器。

3、试验内容与步骤

(1) IIS 服务器的安全配置

I 确认IIS 与系统安装在不同的分区。

如果IIS 安装在系统分区，IIS 的安全漏洞课直接威胁到系统的安全，建议卸载重新安装。

II 删除不必要的虚拟目录。

打开*wwwroot（*代表IIS 安装的路径）文件夹，删除在IIS 安装完成后默认生成的目录，包括IISHelp 、IISAdmin 、IISSamples 和MSADC 等。

III 停止默认网站或修改主目录。

在“Internet 服务管理器”中，右击“默认Web 站点”，在弹出的快捷菜单中单击“停止”命令。根据需要启用自己创建的站点，或者在“Internet 服务管理器”中右击所选网站，选择“属性”命令，在“网站属性”对话框的“主目录”页面中修改本地路径。

IV 对IIS 中的文件和目录进行分类，区别设置权限。

右击Web 主目录中的文件和目录，在“属性”中按需给他们分配适当的权限。一般情况下，静态文件允许读，拒绝写；ASP 脚本文件和exe 可执行查询等则允许执行，拒绝读、写。除外，所有的文件和目录要将Everyone 用户组的权限设置为“只读”权限。

V 删除不必要的应用程序映射。

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“网站属性”对话框的“主目录”页面中，单击“配置”按钮。在弹出的“应用程序配置”对话框上网“应用程序映射”页面，删除无用的程序映射。大多数情况下，只需要留下.asp 、.aspx 、即可，将.ida 、.idq 、.htr 等全部删除。

VI 维护日志安全。

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“网站属性”对话框的“网站”页面中，当选中“启用日志目录”时，单击旁边的“属性”按钮，在打开的对话框中，选择“常规属性”页面，单击“浏览”按钮或直接在输入框中输入修改后的日志存放路径即可。

日志文件要适当设置权限，建议对系统管理员设置为完全控制，其它用户为只读；同时建议与Web 主目录文件不要放在同一个分区，以增加攻击者利用路径浏览日志厨房的路径难度，防止攻击者恶意篡改日志。

VII 修改端口值

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“网站属性”对话框的“网站”页面中，Web 服务器默认的TCP 端口值为80，将该端口值改为其他值，可以增强安全性。

(2) Windows 2003 Server系统中安装证书服务器

证书服务器用于向Web 站点发放证书，默认情况下Windows Server 2003（SP1）系统没有安装证书服务器，因此需要进行手动安装，操作步骤如下所述：

I 在“控制面板”窗口中双击“添加或删除程序”选项，打开“添加或删除程序”窗口。然后在左窗格中单击“添加/删除Windows 组件”按钮，打开“Windows组件向导”对话框。

II 在“组件”列表中找到并选中“证书服务”选项，然后单击“详细信息”按钮，在打开的“证书服务”对话框中选中“证书服务Web 注册支持”和“证书服务颁发机构（CA ）”复选框。依次单击“确定”→“下一步”按钮，如图所示。

III 在打开的“CA类型”对话框中选中“独立根（CA ）”单选框，单击“下一步”按钮，如图所示。

IV 打开“CA识别信息”对话框，输入CA 名称等标识信息（如“安全站点”）。在“有效期限”编辑框中设置CA 识别信息的有效期限，单击“下一步”按钮，如图所示。

V 打开“证书数据库设置”对话框，建议保持默认路径，并依次单击“下一步”→“完成”按钮。

小提示：

在安装过程中系统会提示安装向导将停止IIS 服务，单击“是”按钮停止继续安装。如果IIS 当前没有启用ASP 支持，想到将提示用户启用ASP 。单击“是”按钮将继续安装。另外在复制文件的过程中会要求用户提供Windows 2000 Server安装光盘或指定安装源，并且在完

成安装后证书服务会自动启动。

VI 在开始菜单中依次单击“管理工具”→“证书颁发机构”菜单项，打开“证书颁发机构”窗口。在左窗中右键单击“安全站点”（即证书服务标识）目录，依次选择“所有任务”→“启动服务”命令启动证书服务，如图所示。

(3) IIS 服务器中SSL 配置

以系统管理员的身份进行下面内容的实验：

I 生成服务器证书请求文件；

在“Internet 服务管理器”中，右键点击要使用SSL 安全加密机制功能的网站，在弹出菜单中选择“属性”，然后切换到“目录安全性”标签页，接着点击“服务器证书”按钮。在“IIS证书向导”窗口中选择“新建证书”选项，点击“下一步”，选中“现在准备证书请求，但稍后发送”，接着在“名称”栏中为该证书起个名字，在“位长”下拉列表中选择“密钥的位长”，这里要注意，位长不能设置的过大，否则会影响通信质量; 接着设置证书的单位、部门、和地理信息，在站点“公用名称栏”中输入该网站的域名，然后指定证书请求文件的保存位置。这样就完成了证书请求文件的生成。

II 提交服务器证书申请；

运行 Internet Explorer 浏览器，输入证书颁发机构的URL 地址。微软证书颁发机构的地址格式为http://证书服务器名/certsrv，打开欢迎界面。

接着在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，然后在证书申请类型中点击“高级证书申请”链接，在高级证书申请窗口中点击“使用BASE64编码的 CMC 或PKCS#10文件提交….”链接，接着将前面保存的证书请求文件的内容全部复制到“保存的申请”输入框中，最后点击“提交”按钮。此时证书挂起，需要等待服务器端的证书管理员审查并颁发已经提交的申请。

III 管理员在服务器端审查并颁发证书；

在“控制面板→管理工具”中，运行Certification Authority（证书颁发机构）程序，在“证书颁发机构”左侧窗口中展开目录，选中Pending Request（挂起的证书申请）目录，在右侧

窗口找到刚才申请的证书，鼠标右键点击该证书，选择“所有任务→颁发”。

IV 获得服务器证书

运行 Internet Explorer浏览器，输入证书颁发机构的URL 地址。单击View the Status of a Pending Certification Request，选择要查看的证书申请。

在证书颁发界面，选择证书耳朵编码格式，下载证书。

V 安装服务器证书

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“网站属性”对话框的 “目录安全性”标签页中，点击“服务器证书”按钮，这时弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”后，指定好刚才导出的IIS 网站证书文件的位置，接着指定SSL 使用的端口，建议使用默认的“443”，最后点击“完成”按钮，完成服务器证书的安装。

VI 在WEB 服务器中启用SSL

安装服务器证书后，IIS 网站这时还没有启用SSL 安全加密功能，需要对IIS 服务器进行配置。

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“网站属性”对话框的“网站”页面中，设置SSL 端口，默认端口443。这样，Web 网站就具备了SSL 安全通信的功能，支持HTTP 和HTTPS 两种通信连接。

在“Internet 服务管理器”中，右击所选网站，选择“属性”命令，在“目录安全性”标签页，点击“安全通信”栏的“编辑”按钮，进入“安全通信”对话框，如果强制浏览器与WEB 站点建立SSL 安全通信，则选中“要求安全通道(SSL)”，这时只支持HTTPS 上网通信连接。

4、分析与思考

(1) 描述在使用SSL 机制时，客户端和服务器端之间建立一个安全通道的大型过程。

(2) 在IIS 服务器安全配置试验部分，只是进行了一些简单的安全配置，对于实际中使

用的Web 服务器所受攻击的防护还远远不够，还需要采用一系列的安全措施，请

思考还有那些措施可以应用？

(3) 安装Apache 服务器，并对Apache 服务器进行安全配置。

(4) 配置Apache 服务器中SSL 协议并进行测试。