前 言 新闻媒体经常在突出位置报道新病毒的出现、入侵和一些不幸的公共机构或公司所遭受的偷窃事件(这些机构或公司的站点缺少恰当的安全)。这些新闻听起来让人感到有些惊慌，而这还只是您所听说过的新闻。有谁知道有多少站点由于认证或目录安全存在缺陷，而丢失代价昂贵的数字资产或知识产权呢？这些损失甚至有可能是这些站点的Intranet上的雇员所造成的，只是他们不知道罢了。 那么，你该怎么办呢？不再使用Internet还是关闭你的Web站点？当然不能这样。如果关闭Web站点并且不再使用Internet，那么您在业务上又怎么跟别人竞争呢？很明显，应当采取相应的对策，解决的办法是了解存在的威胁和弱点，然后采取恰当的措施来减少风险。 本书是一本指南性书籍，介绍了读者应当知道的有关站点安全的需求、方法、实践和过程，其目的是帮助您保护自己的Microsoft IIS Web站点，使其不成为下一个不幸的受害者。与此同时，我们一步一步进行了的阐述，解释如何使用由Microsoft提供的安全特性。然而，我们认为应当在安全方面采取更为广泛的方法，因此我们将用比较多的篇幅来讨论Web安全措施，以便帮助您计划并实现安全，从而保护所有与其Microsoft IIS Web环境进行交互的系统和应用程序。 保护Web环境不是所只需要在你的Web服务器上进行少数非默认特性的配置，还需要计划、实现、测试、维护和监控协同工作的一组系统的安全。我们编写本书的目的是提供一些背景知识，这些背景知识将有助于您构思与实现一个用于保护你的站点的实用和可行的安全框架。因此，我们在本书中会花费一些时间来解释站点面临的危险、为避免这些危险应遵循的最佳安全专业习惯、安全专家使用的许多工具、这些工具的配置及帮助组织机构时刻保持警惕的一些方法。 我们将这本书分为4个部分，前3个部分讲述了上面的所有问题，此外，我们还在本书的第Ⅳ部分介绍了一些附录和一个参考表，在您学习完本书之后，这些附录与安全设置参考表可能有助于您继续有关安全的研究。 第Ⅰ部分 暴露、风险与预防 第Ⅰ部分提供一些背景知识，这些背景知识帮助您了解一些常见的Web站点弱点、解释黑客的工作原理以及仔细分析攻击事件来显示站点上的入侵可能是怎样发生的。这个信息为对防御策略的相关讨论打下基础。 在第Ⅰ部分的讲述过程中，会讨论如何设置和加固服务器并对硬件和软件配置提供一些建议。您还将看到如何去除已知弱点，并知道关于Internet部署与Intranet哪部署相比应当做的事情与不应当做的事情的。 第1章“Web安全威胁”将讨论和分类Web站点所面对的所有外部和内部来源的各种威胁。在这一章中将定义和解释各种类型的安全事件。您将进入黑客世界，并且能够透视这些事件的发生过程。此讨论将列出黑客使用的方法、工具和资源。 第2章“丑化、破坏和拒绝”分析一些由黑客开发的最常见的Web站点弱点。本章的讨论将考虑恶意代码攻击(如病毒、蠕虫和特洛伊木马)。示例和案例研究将分析一些众所周知的攻击方法，如缓冲区溢出和分布式拒绝服务攻击。在相关的地方会解释为什么这类攻击方法中的一些能够击败某些保护机制，同时提供一些工具和步骤来帮助防止发生危及未来安全的事件。 第3章“准备和加固Web服务器”解释如何排除常见的管理疏忽、易受攻击的默认设置、为未经授权的入口打开通道的配置错误、信息偷窃、数据修改和恶意代码或程序的引入。这一章将逐步为你显示如何排除漏洞，用于排除方法是：最初禁用所有的服务，而只启用需要的最低限度的服务，然后只在应用程序需要时才添加相应的服务。在这些过程中，会讨论每个服务的作用，以便帮助Web管理员完全理解配置的后果。第3章还将讨论如何使用Microsoft工具和核对清单来设置安全基线，并提供最好的习惯建议来对这个基础加以改进。 第4章“账号、授权和安全策略”将讨论物理访问限制、多级管理、目录安全以及站点上角色的权利与权限。您将需要进行匿名用户账号和认证机制的配置。大量的注意力集中于Windows 2000和IIS中的账号管理、授权和访问控制。 第5章“安全审核与日志”将讨论日志与审核特性的配置，目的是监控你的Web站点，从而检测攻击信号或入侵信号。你将学习如何设置和配置安全日志文件同时获得关于维护过程的建议。这一章同时包括了审核设置的每个过程，这样您可以建立一个在法律上可实施的(您的站点上的)用户活动审核跟踪。 第Ⅱ部分 管理 第Ⅱ部分讨论在第Ⅰ部分中没有包含的计划、策略和过程的实现。这一部分包含使用Microsoft IIS配置安全的网络和Web环境的其他细节，并提供许多与安全问题有关的建议。 第6章“部署问题”包含在将站点投入使用之前最后应作出的准备。本章将讨论最后的检查、备份和恢复措施，这些措施对于确保Web服务器配置正确是必需的。此讨论将包括域安全、流量过滤和Internet地址掩码。在这一章中还将讨论用作周界防御的DMZ的正确使用，以此来增加您在第1-5章中学习到的安全措施。这一章最后还将讨论将站点宿主在ISP或需要宿主服务时所需的远程管理。 第7章“安全管理生命周期”介绍站点的后期部署(post-deployment)—— 管理生命周期，并讨论用于监控Web站点状态的方法和工具，以及如何反抗可能的攻击。它将讨论正常的Web站点配置法和行为的限定因素，并对使用系统警告和其他特性与工具提供建议，以此来帮助您继续停留在安全的制高点地方法。这一章包括用于响应安全事件的建议和最好的习惯。这一章还讨论了审核，通过审核可以跟踪和识别你的站点有可能遇到的准确事因和破坏。 第8章“使用加密”将讨论Windows 2000和IIS可用于保护站点和站点内容的加密特性。在这一章解释了加密系统、公用密钥密码术、数字证书和公用钥的基础结构。您将学习如何获取和安装Microsoft和第三方数字证书。最后，您将学习如何配置IIS服务器上的SSL和/或TLS加密会话. 第9章“第三方安全增强”集中于可以增强IIS的物理安全、软件安全和日志与审核功能的大多数非Microsoft硬件和软件产品，这些产品包括防火墙、VPNS、日志分析器、加密加速器等等。 第Ⅲ部分 高级主题 在您已经成功安装和配置了基本的IIS Web Services之后，还存在大量您可能添加到Web站点的其他服务、媒体和特性，这些服务、媒体和特性同样必须安全地进行配置。这一部分包含这些高级服务和功能以及保护这些服务和功能可以采取的措施。 第10章“保护FTP、NNTP和其他IIS服务”概要描述了安全使用IIS FTP、NNTP和SMTP服务、Windows Media Services甚至FrontPage服务器扩展的过程。 第11章“活动内容安全”讨论用于保护交互脚本(可添加到一个Web站点来为站点提供一个更为新式的和动态的画面)、服务器页面和应用程序的方法和工具。这一章中学习的安全技术可以帮助确保活动内容的部署，而不是损害IIS服务器的安全。 第12章“Web隐私”。隐私是一个与安全相关的主题，它是Web站点的一个深远的分支。许多Web站点保存有关顾客和客户的详细信息，您要在自己的站点上提供业务和合法的期望，并维护那些信息的机密性保和进行适当的照管。本章会讨论这个问题，并对如何处理隐私管理提供实用的建议。 第Ⅳ部分 附录 第Ⅳ部分提供一些帮助和资源信息，这些信息应当有助于你最大化你从本书中获得的好处您。以一种安全的方式安装和配置你的Web环境只是安全管理过程的一部分。因为您是你的Web环境的保护人，在管理你的Web环境的过程中应当具备勤勉和前摄的态度。 附录A“安全资源”。只靠一个人的力量保护一个站点是远远不够的。本附录将为您介绍其他的安全资源、专业组织、培训和公共域信息的网址，检查它们的信息有助于您及时了解最新的安全威胁、提示、研究、产品、培训和其他有用信息。 附录B“词汇表”提供了许多安全术语，这些术语不一定出现在本书中，但在安全文献中比较常见。本附录还包括这些术语的首字母缩略词，以此来帮助查找(在我们的章中或者您找到的其他安全信息中遇到的)某个术语的定义。 附录C安全设置“参考表”，正如这个标题所示，这个附录(为了你的方便)通过表格列出Windows 2000和IIS的访问控制、审核和其他安全设置。 附录D“Microsoft IIS认证方法”。在第4章中，除了提到匿名认证外，我们简略提到了Web站点认证设置，但延至这个附录中进行深入讨论Web站点认证设置，这是因为这些认证方法是特定于Windows环境的。这个附录完善了第4章中关于认证Web站点认证的讨论。 小结 我们曾经听说过的一句比较好的名言(但不记得出处)是“安全是一段旅程，而不是目的地安全一次旅行，不是目的地”。换句话说一下这句，安全是一个进行中的过程，在这个过程中，您运用你的知识和经验来部署(您可以提供的)最好的保护措施，然后根据状态变化来监视和调整这些措施。在本书中，我们已经尝试帮助您打下必要的知识基础，以便您为你的Web站点规划、部署和管理一组实际的和合理的安全措施，这样，您就可以开始您的安全之旅了。关于作者 Marty Jost是一位有经验的安全专家与顾问，擅长于Windows NT/2000、IIS、防火墙、PKI及认证。他经常在业界的安全会议上发表演讲，并且已经出版和发表了若干关于计算机网络和安全的书籍和文章。 Michael Cobb(MCDBA、CISSP)是一位公认的信息安全专家，他有显赫的金融系统背景，擅长网络、数据库和Internet安全。作为E-Business Security Advisor Magazine杂志的有贡献的编辑之一，Mike定期报告最新的安全技术和威胁。 致谢 我要向本书的合作者Mike Cobb表示感谢，谢谢他的努力工作和贡献。感谢我的好朋友Stephen Cobb，他提供了第12章中大量关于Web隐私的材料。感谢Matt Berry，谢谢他对本书中的细节表现出的耐心与重视。感谢Marjorie Jost，谢谢他对本书所作的最后的润色。感谢Osborne的优秀人才，他们一直跟踪和关注着这本书的整个出版流程。