第5章Web安全.ppt

《第5章Web安全.ppt》由会员分享，可在线阅读，更多相关《第5章Web安全.ppt（47页珍藏版）》请在优知文库上搜索。

1、第第5章章 Web安全安全5.1 Web技术简介技术简介5.2 Web的安全需求的安全需求5.3 Web服务器安全策略服务器安全策略5.4 Web浏览器安全策略浏览器安全策略5.5 Web站点安全八要素站点安全八要素5.6 小结小结网络安全就是网络上的信息安全。从广义来说，凡网络安全就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的真实性和可控性的相关技术和理论都是网络安全的研究领域。研究领域。网络安全的具体含义从不同角度有不同的内容。网络安全的具体含义从不同角度有不同的内容。

2、网络安全是一个关系国家安全和主权、社会稳定、网络安全是一个关系国家安全和主权、社会稳定、民族文化的继承和发扬的重要问题。其重要性，正民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变得越来越重要。安随着全球信息化步伐的加快而变得越来越重要。安全问题刻不容缓。全问题刻不容缓。20世纪世纪80年代末，年代末，Berners-Lee和他的助手创建了和他的助手创建了一个从各种各样资源中链接信息的接口。最终的结一个从各种各样资源中链接信息的接口。最终的结果是定义了果是定义了URL、HTTP和和HTML等规范，而等规范，而WWW(World Wide Web)就基于此。今天，就基于此

3、。今天，Web技技术可使用户创建格式化的信息页面，而这些页面又术可使用户创建格式化的信息页面，而这些页面又可可“链接链接”到其他信息页面并访问整个网络。到其他信息页面并访问整个网络。简言之，简言之，Web是可通过是可通过Web浏览器访问的信息集合。浏览器访问的信息集合。第一个重要的第一个重要的Web浏览器是浏览器是Mosaic。当前，。当前，Netscape Navigator和和Microsoft Internet Explorer共执共执Web浏览器市场之牛耳。浏览器市场之牛耳。5.1 Web技术简介技术简介除文字外，除文字外，Web页面还包括图像、声音、动画及其页面还包括图像、声音、动画

4、及其他特殊的效果。单独的页面能被链接到其他页面，他特殊的效果。单独的页面能被链接到其他页面，以提供对附加信息的访问。以提供对附加信息的访问。Web的发展速度是惊人的。的发展速度是惊人的。现实是现实是Internet 和和Web对于各种安全泄密非常脆弱。对于各种安全泄密非常脆弱。因此，各个机构对于因此，各个机构对于Web安全的要求在逐渐增加。安全的要求在逐渐增加。Web本质上是运行在本质上是运行在Internet和和TCP/IP内联网上的内联网上的客户客户/服务器应用程序。服务器应用程序。WWW为用户带来世界范为用户带来世界范围的超级文本服务。此外，围的超级文本服务。此外，WWW还可以为用户提还

5、可以为用户提供传统的因特网服务，如供传统的因特网服务，如Telnet、FTP、Gopher、Usernet、News等。等。基于基于Web的开发技术有的开发技术有Java、XML、Ejb、Enhydra、Jboss、Linux、Mysql等。等。从硬件上来说，服务器是指具有固定的地址，并为从硬件上来说，服务器是指具有固定的地址，并为网络用户提供服务的节点，它是实现资源共享的重网络用户提供服务的节点，它是实现资源共享的重要组成部分。服务器主要有网络服务器、打印服务要组成部分。服务器主要有网络服务器、打印服务器、终端服务器、磁盘服务器和文件服务器等。它器、终端服务器、磁盘服务器和文件服务器等。它是

6、一种高性能计算机，作为网络的节点，存储、处是一种高性能计算机，作为网络的节点，存储、处理网络上理网络上80%的数据、信息，因此也称为网络的灵的数据、信息，因此也称为网络的灵魂。从软件的角度上，魂。从软件的角度上，Web服务器是驻留在服务器服务器是驻留在服务器上的一个程序，使用超文本传输协议上的一个程序，使用超文本传输协议HTTP(hypertext transfer protocol)，它和用户方面它和用户方面的浏览器不断地传送各种信息。当然，还存在着使的浏览器不断地传送各种信息。当然，还存在着使用其他协议标准的服务器，如用其他协议标准的服务器，如FTP、GOPHER和和5.1.1 Web服务

7、器服务器WAIS等。等。Web服务器的作用就是管理服务器的作用就是管理WWW的大的大量信息，处理用户发来的各种请求，将满足用户要量信息，处理用户发来的各种请求，将满足用户要求的信息返回给用户。求的信息返回给用户。Web服务器是服务器是Internet上最暴露的服务器。上最暴露的服务器。如果说用于防止如果说用于防止Internet从内部网络进行攻击的防从内部网络进行攻击的防火墙是最重要网络安全领域的话，火墙是最重要网络安全领域的话，Web服务器就可服务器就可以说是第二个需要高度安全的领域了。以说是第二个需要高度安全的领域了。服务器安全由几个安全区域组成，安全必须在每一服务器安全由几个安全区域组成

8、，安全必须在每一个区域得以实现。个区域得以实现。(1)基础设施区。该区用于定义服务器在网络中的基础设施区。该区用于定义服务器在网络中的位置。这个区域必须能够防止数据窃听、网络映射位置。这个区域必须能够防止数据窃听、网络映射和端口扫描等黑客技术的威胁。和端口扫描等黑客技术的威胁。(2)网络协议区。该区一般指的是网络协议区。该区一般指的是TCP/IP通信。操通信。操作系统内核对通信负责并保证一个透明的通信流，作系统内核对通信负责并保证一个透明的通信流，因此内核必须经过必要的配置。因此内核必须经过必要的配置。(3)服务区。该区定义需要哪些服务。服务器上最服务区。该区定义需要哪些服务。服务器上最好只配

9、置完成必要操作所必须的服务。好只配置完成必要操作所必须的服务。(4)应用区。为安全起见，每个服务最好单独配置，应用区。为安全起见，每个服务最好单独配置，否则可能被用来发送垃圾邮件。否则可能被用来发送垃圾邮件。(5)操作系统区。最后的保护机制是操作系统本身。操作系统区。最后的保护机制是操作系统本身。Web浏览器是一个安装在硬盘上用于阅读浏览器是一个安装在硬盘上用于阅读Web信息信息的客户端的应用软件，就像一个字处理程序一样的客户端的应用软件，就像一个字处理程序一样。通俗地讲，把用户连接到网上并显示网上有什么的通俗地讲，把用户连接到网上并显示网上有什么的软件就是浏览器软件就是浏览器是一个面向是一个

10、面向WWW的窗口。浏的窗口。浏览器在很大程度上决定了能看到或不能看到什么，览器在很大程度上决定了能看到或不能看到什么，能做或不能做什么。浏览器在网络上与能做或不能做什么。浏览器在网络上与Web服务器服务器打交道，从服务器上下载文件，把在互联网上找到打交道，从服务器上下载文件，把在互联网上找到的文本文档的文本文档(和其他类型的文件和其他类型的文件)翻译成网页。翻译成网页。HTML是网络所基于的格式化语言。浏览器的缓存是网络所基于的格式化语言。浏览器的缓存(cache)是另一个重要的因素。是另一个重要的因素。Web浏览器有许多种，浏览器有许多种，包括包括:Mosaic、Netscape Navig

11、ator、Netscape Communicator、Internet Explorer和和Lynx等。等。5.1.2 Web浏览器浏览器HTTP(超文本传输协议超文本传输协议)是是WWW浏览器和浏览器和WWW服务器之间的应用层通信协议，是用于分布式协作服务器之间的应用层通信协议，是用于分布式协作超文本信息系统的、通用的、面向对象的协议。它超文本信息系统的、通用的、面向对象的协议。它是是C/S(client/server)结构的协议，允许用户接收另结构的协议，允许用户接收另一台计算机上的信息。一台计算机上的信息。HTTP协议通过扩展命令，协议通过扩展命令，可用于类似的任务，如域名服务或分布式面

12、向对象可用于类似的任务，如域名服务或分布式面向对象系统。系统。HTTP会话过程包括会话过程包括4个步骤个步骤:连接连接、请求请求、应答和关闭应答和关闭。HTTP协议是基于协议是基于TCP/IP之上的协议，它不仅保证之上的协议，它不仅保证正确传输超文本文档，还确定传输文档中的哪一部正确传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示等。分，以及哪部分内容首先显示等。5.1.3 HTTP协议协议HTML即超文本标记语言，是用于创建即超文本标记语言，是用于创建Web文档文档(即即Homepage文档文档)的编程语言，是的编程语言，是WWW的描述的描述语言。语言。HTML文本是由文本

13、是由HTML命令组成的描述性文命令组成的描述性文本，本，HTML命令可以说明文字、图形、动画、声音、命令可以说明文字、图形、动画、声音、表格、链接等。表格、链接等。HTML的结构包括头部的结构包括头部(Head)、主主体体(Body)两大部分，其中头部描述浏览器所需的信两大部分，其中头部描述浏览器所需的信息，而主体则包含所要说明的具体内容。设计息，而主体则包含所要说明的具体内容。设计HTML语言的目的是为了能把存放在一台计算机中语言的目的是为了能把存放在一台计算机中的文本或图形与另一台计算机中的文本或图形方便的文本或图形与另一台计算机中的文本或图形方便地联系在一起，形成有机的整体。地联系在一起

14、，形成有机的整体。5.1.4 HTML语言语言HTML文档看起来与网页在浏览器上显示的不同，文档看起来与网页在浏览器上显示的不同，在屏幕上看到的网页是浏览器对在屏幕上看到的网页是浏览器对HTML文档的翻译；文档的翻译；所看到的图像被所看到的图像被HTML文档调用，但是却是独立的文档调用，但是却是独立的文档。文档。浏览器从浏览器从HTML代码中读取图像的位置，然后把它代码中读取图像的位置，然后把它们放在网页上。同样，音频或视频文件也被们放在网页上。同样，音频或视频文件也被HTML文件调用，然后被浏览器组装。文件调用，然后被浏览器组装。CGI(common gateway interface)是一

15、个连接外部应是一个连接外部应用程序到信息服务器用程序到信息服务器(比如比如HTTP或者网络服务器或者网络服务器)的标准，是连接主页和应用程序的接口。一般来说，的标准，是连接主页和应用程序的接口。一般来说，CGI标准接口的功能就是在超文本文档与服务器应标准接口的功能就是在超文本文档与服务器应用程序之间传递信息。通过提供这样一个标准接口，用程序之间传递信息。通过提供这样一个标准接口，Web服务器能够执行应用程序并将它们的输出。在服务器能够执行应用程序并将它们的输出。在物理上，物理上，CGI是在是在Web服务器端运行的一个可执行服务器端运行的一个可执行程序，提供同客户端程序，提供同客户端 HTML页

16、面的接口，由主页页面的接口，由主页的一个热链接激活进行调用，并对该程序的返回结的一个热链接激活进行调用，并对该程序的返回结果进行处理，显示在主页上。果进行处理，显示在主页上。HTML语言的功能难语言的功能难以完成诸如访问数据库等一类的操作，以完成诸如访问数据库等一类的操作，CGI就是就是5.1.5 CGI公共网关接口公共网关接口为了扩展主页的功能而设立的。随后，诸如为了扩展主页的功能而设立的。随后，诸如IDC、ASP、ISAPI、NSAPI等技术也发展起来了。可以等技术也发展起来了。可以用任何一种熟悉的高级语言如用任何一种熟悉的高级语言如C、C+、C Shell和和VB编程语言来编写。编程语言来编写。一个简单的一个简单的HTML文档是无交互的后台程序，它是文档是无交互的后台程序，它是静态的，处于一个不可变的状态，即文本文件不可静态的，处于一个不可变的状态，即文本文件不可以变化。相反地，以变化。相反地，CGI程序可以实时执行，它可以程序可以实时执行，它可以输出动态的信息。输出动态的信息。目前有几种信息交互式程序语言不需要在服务器上目前有几种信息交互式程序语言不需要在服务器上执行，而可以直