快捷搜索:  

IIS安全保卫战(2)

  安全插接层安全插接层(SSL)是一个由Netscape通信公司开发的协议,并提交环球网联盟(W3C)作为保证Internet通信安全的标准。当支持SSL的一台客户机(Internet Explorer2.0和3.x和Netscape 3.x)与支持SSL的服务器连接时,在TCP/IP连接时就出现“信号交换的交接关系”来进行验证,以确定在通信中将实施哪一级安全保护。

  在建立连接后,SSL接着对流经使用中的应用协议的数据进行加密和解密。所有请示和响应信息都应该加密,其中包括客户机下在请示的统一资源定位符(URL)、其它形式的数据(如你的地址或食用卡号码)、任何验证信息(用户名和口令)以及所有由服务器返回到客户机的数据。

  SSL是位于应用协议(如HTTP)之下,SMTP位于连接协议TCP/IP之上。MICROSOFT INTERNET信息服务器支持超文本传输协议保密(HTTPS)访问方式。尽管SSL能提供实际不可破译的加密功能,但SSL加密传输的速度要低于非加密传输。因此,为了防止你整个WEB网站的性能下降,你可以考虑只把SSL作为虚拟的文件夹用来处理高度机密信息,如提交的包含信用卡信息的表格。

  你可以在你WEB网站的根目录(\InetPub\Wwwroot是缺省值)或在一个或多个虚拟文件夹中启动SSL安全功能。一旦SSL配置好和启动后,只有支持SSL的客户机能与支持SSL的WWW公文夹进行通信交流。

  在WEB服务器上启动SSL安全性能,需要进行以下几步工作:

  1、使用密钥管理器来生成一个密钥对文件和一个请求文件。

  2、从一个认证机构获得一个证书。

  3、在你的服务器上安装新获得的证书。

  4、激活WEB服务文件夹中的SSL安全功能。

  对于保密和公用内容,微软公司建议你使用公开的目录。比如,c:\InetPub\Wwwroot\Secure和C:\InetPub\Wwwroot\Public。

  应注意以下几点:

  (1)为IIS生成一个密钥对时,在任何域中不要使用逗号,原因是逗号被解释为字段的结尾。它们会在没有警告的情况下产生无效请求。

  (2)如果你拥有多台具有IIS的虚拟服务器功能的WEB服务器在安装你的证书时,要确定具体服务器的IP地址,否则系统创建的所有虚拟服务都适用同一个证书。

  (3)如果你启动SSL,任何指向支持SSL的WWW文件夹中文档的URL必须使用http://,而不是在URL中的http://。使用在URL中的http://的任何链路不支持安全文件夹。

  IIS的一般性安全提示你使用IIS随意向INTERNET发布信息时,要确保网络安全性。除了我们以前讲座过后IIS功能外,你还要做到以下各点:

  (1)为系统分区和各项IIS服务程序生成分开的区,这样黑客无法轻易地从某项服务程序的某个漏洞对整个机器访问。

  (2)对机器的所有分区使用NTFS,要保证用户权限设置正确。

  (3)将IIS服务器放置于其自己的域中,并与你的帐户建立一种单向委托关系。如果黑客能得到某个有效帐户的信息,那个帐户也无法对你的用户域进行访问。


顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论