计算机网络安全技术 第8章 Web服务的安全性.ppt

计算机网络安全 计算机网络安全技术 主讲： Email: 电话： 第八章 Web服务的安全性 Web服务的概念、类型与应用 Web服务的安全防范及对应的技术措施 Web服务中受到的攻击、密码破解的方法 邮箱系统的管理与安全配置 8.1 Web服务的安全概述 8.1.1 网络服务概念 8.1.2 Web服务的安全威胁 8.1.3 防御措施 8.1.1 网络服务概念 目前，C/S结构逐渐向B/S结构发展，Web服务在很短时间内成为因特网上的主要服务。 新技术使Web服务更方便用户发布信息，完成信息交互。 在标准协议基础之上扩展的某些服务同时也给用户带来了不安全因素。 8.1.2 Web服务的安全威胁 Web服务所面临的安全威胁可归纳为两种： 1. 机密信息的安全威胁 对于机密信息需要防止非授权用户阅读，致使机密信息泄露而带来损失。 2. 主机面临的威胁 这种威胁则是由扩展Web服务的某些软件所带来的。 8.1.3 防御措施 通常采用以下几种技术措施： 在现有的网络上安装防火墙，对需要保护的资源建立隔离区。 对机密敏感的信息进行加密存储和传输。 在现有网络协议的基础上，为C/S通信双方提供身份认证并通过加密手段建立秘密通道。 对没有安全保证的软件实施数字签名。 8.2 Web服务中的IE安全 互联网上的陷阱越来越多，作为最流行的浏览器软件，IE也成为互联网陷阱的一部分。 我们经常可以看到：强行篡改IE首页、标题栏等内容，或者将它们的链接强行添加到历史浏览记录中而且无法删除，甚至使相关按钮变灰，无法修复。 本节主要讲述IE被修改的解决方法。 8.3 Web服务的安全实验 8.3.1 FTP服务的安全 8.3.2 E-mail服务的安全 8.3.1 FTP服务的安全 1.实训目的 （1）掌握FTP服务的工作方式。 （2）掌握FTP服务客户端的配置。 （3）了解FTP服务中可能遭遇的密码破解。 2.实训内容 （1）FTP服务客户端的配置。 （2） FTP服务的密码破解。 3.实训理论基础 FTP是File Transfer Protocol(文件传输协议)的缩写，用来在两台计算机之间互相传送文件。相比HTTP，FTP协议要复杂得多。 复杂的原因是FTP协议要用到两个TCP连接，一个是命令链路，用来在FTP客户端与服务器之间传递命令；另一个是数据链路，用来上传或下载数据。 FTP协议有两种工作方式：PORT方式和PASV方式，中文意思为主动式和被动式。 从上面可以看出，两种方式的命令链路连接方法是一样的，而数据链路的建立方法就完全不同。而FTP的复杂性就在于此。 4.实训步骤 1）FTP客户端的配置 用PASV方式还是PORT方式登录FTP服务器，选择权在FTP客户端。 客户端只有内网IP，没有公网IP。 如果用PORT方式，因为客户端没有公网IP，FTP将无法连接客户端建立数据链路。因此，在这种情况下，客户端必须要用PASV方式，才能连接FTP服务器。 客户端有公网IP，但安装了防火墙 若用PASV方式登录，因为建立数据链 路的时候是由客户端向服务器发送连接 请求，没有问题。反过来，如果PORT 方式登录，因为建立数据链路的时候是 由服务器向客户端发送连接请求，此时 连接请求会被防火墙拦截。如果要用 PORT方式登录FTP服务器，请在防火 墙上打开1 024以上的高端端口。 常见的FTP客户端软件PORT方式与PASV方式的切换方法 大部分FTP客户端默认使用PASV方式。 IE默认使用PORT方式。 对IE客户端：执行“工具” →“Internet选 项”命令，在弹出的对话框中打开“高 级”选项卡，选中“使用被动FTP”复选框 (IE 6.0以上才支持)。 尽量不要用IE作为FTP客户端 IE只是个很粗糙的FTP客户端工具。首 先，IE 6.0以下的版本不支持PASV方 式；其次，IE在登录FTP的时候，看不 到登录信息。在登录出错的时候，无法 找到错误的原因。在测试FTP的时候， 建议不要使用IE。 2）FTP口令破解实例 Brutus是英国的Hoobie公司出品的一款功能 很强大的密码破解工具。运行Brutus，对 Brutus运行界面中的各参数进行相应设置后开 始扫描破解。 5. 实训思考题 （1）如何配置各种FTP客户端？ （2）如何防范FTP密码破解？ 8.3.2 E-mail服务的安全 1.实训目的 （1）掌握E-mail服务的工作原理。 （2）掌握E-mail服务中安全证书的获取。 （3）了解E-mail服务中可能遭遇的密码破解。 （4）掌握反垃圾邮件的方法。 2.实