Web服务器安全管理.pptx

TNT2006-0512 Web服务器安全管理全文共50页，当前为第1页。 IIS 6.0 Web服务器安全管理最佳实践 姓名 职务 公司名称 Web服务器安全管理全文共50页，当前为第2页。 首先具备的知识 掌握 Windows 2000/Windows Server 2003 的日常操作 了解 IIS（ Internet Information Server ）或者 IIS 日常操作 如果能够了解常见攻击方法或相关内容更佳 级别 200 Web服务器安全管理全文共50页，当前为第3页。 概览 IIS 服务器不仅仅能够提供常见的 WEB 应用而且和很多服务器集合使用在企业中已经非常广泛，如何加固IIS 服务器安全您了解多少？ 是否安装了系统补丁并配置了防火墙就万无一失了？ 您是否了解 IIS 6.0 基础架构 了解如何保护IIS Web服务器安全、防范攻击以及优化IIS Web服务器的技巧、实践与工具 Web服务器安全管理全文共50页，当前为第4页。 内容安排 IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源 简单快速有效的安全 Web服务器安全管理全文共50页，当前为第5页。 DLLHOST.exe ISAPI Extensions (ASP, etc.) ISAPI Filters metabase IIS 6.0 架构 TCP/IP INETINFO ASP.NET ISAPI Aspnet_wp.exe CLR App Domain CLR App Domain CLR App Domain metabase INETINFO HTTP.SYS WAS Config Mgr Process Mgr W3WP.EXE Application Pool 1 ASP.NET ISAPI CLR App Domain CLR App Domain W3WP.EXE ISAPI Extensions (ASP, etc.) ISAPI Filters Application Pool 2 W3WP.EXE ASP.NET ISAPI CLR App Domain CLR App Domain W3WP.EXE ASP.NET ISAPI CLR App Domain CLR App Domain W3WP.EXE ASP.NET ISAPI CLR App Domain CLR App Domain Web Garden W3WP.EXE ISAPI Extensions (ASP, etc.) ISAPI Filters Web服务器安全管理全文共50页，当前为第6页。 IIS 6.0 必备知识 Web服务器安全管理全文共50页，当前为第7页。 内容安排 IIS 6.0 基础架构 Web Services 面对的主要威胁和攻击 常用安全利器 场景学习 总结 参考资源 简单快速有效的安全 Web服务器安全管理全文共50页，当前为第8页。 我们将讨论… 现在应立即采取的安全手段 未来要作的事情 Web服务器安全管理全文共50页，当前为第9页。 安全术语 资产 （Asset） 脆弱性 （Vulnerability） 威胁 （Threat） 威胁因素 （Association） 风险 （Risk） 利用/暴露 (Exploits/Exposure) 对策 (Countermeasure) Web服务器安全管理全文共50页，当前为第10页。 Web Services 面对的主要威胁和攻击 Web服务器安全管理全文共50页，当前为第11页。 Web Services 面对的主要威胁和攻击 未授权的访问 漏洞 可导致通过 Web Services 进行未授权的访问的漏洞包括： 未使用身份验证 密码在 SOAP 头信息中以明文形式传递 在未加密的通信通道中使用基本身份验证 Web服务器安全管理全文共50页，当前为第12页。 Web Services 面对的主要威胁和攻击 参数操纵 参数操纵是指对 Web Services 客户与 Web Services 之间发送的数据进行未经授权的修改。例如，攻击者可以截获 Web Services 消息（例如，在通过中间节点到达目标的路由中），然后在将其发送到目标终结点前对其进行修改 Web服务器安全管理全文共50页，当前为第13页。 Web Services 面对的主要威胁和攻击 网络窃听 通过网络窃听，当 Web Services 消息在网络中传输时，攻击者可以查看这些消息。例如，攻击者可以使用网络监视软件检索 SOAP 消息中包含的敏感数据。其中有可能包括敏感的应用程序级别的数据或凭据信息 Web服务器安全管理全文共50页，当前为第1