《Web站点安全技术》PDF下载

第1章 为什么要保护Web站点 1

1.1 保护的对象及原因 4

1.1.1 保护信息和资源 4

1.1.2 保护客户和用户 5

1.1.3 保证私有性 5

1.2 威胁的表现形式 7

1.2.1 欺骗（Spoofing） 8

1.2.2 E-mail欺骗及其风险 10

1.2.3 Web客户机威胁 11

1.2.4 Web服务器威胁 11

1.2.5 客户与服务器间的交易安全 11

1.2.6 错误与疏漏 12

1.2.7 欺诈与盗取 12

1.2.8 心怀不满的员工 12

1.2.9 工业间谍 12

1.2.10 恶意代码 12

1.3 保护Web站点 13

1.2.11 破坏保密性 13

1.3.1 其他选择 15

1.3.2 验证机制（Authentication） 16

1.3.3 防火墙的作用 18

1.3.4 代理（Proxies） 18

第2章 Web安全需求 21

2.1 Web需求 21

2.2 保密性 23

2.3 管理者的责任 24

2.4 完整性 25

2.4.1 数据安全 26

2.5 集成 28

2.5.1 防火墙与代理的支持 28

2.5.2 网关支持 30

2.6 通信流量 31

2.6.1 监控请求 31

2.6.2 估计站点受访次数 33

2.7 传输 33

2.7.2 提供优质服务 34

2.7.1 传输活力 34

第3章 金融问题 36

3.1 防止入侵损失 36

3.2 保护金融事务处理 43

3.2.1 SSL协议 43

3.2.2 F-SSH协议 44

3.3 保护用户／客户金融信息 45

3.3.1 安全电子交易（SET） 45

3.3.2 提供“电子货币” 46

3.4 维护站点安全：深入核心 47

第4章 保护Web站点战略 49

4.1 是否阻挡一切 49

4.2 何时过分了 50

4.3 识别站点的弱点 50

4.3.1 选择Web服务器软件 50

4.3.2 安全选项 56

4.3.3 简单为本 57

4.4 “applet”的风险（包括Java） 59

第5章 电子会议 61

5.1 About服务器 62

5.2 WebBoard 63

5.3 Agora 65

5.4 Internet Phone 68

5.5 DigiPhone 69

5.6 WebTalk 70

5.7 PGPfone 71

5.8 多目广播干线（MBONE） 74

5.9 配置清单 78

5.10 安全清单 79

第6章 Web上的电子邮件 80

6.1 CGI脚本——Cgimail 80

6.2 ANSI C脚本——简单的CGI E-mail处理程序 81

6.3 Perl脚本——Web Mailto Gateway 81

6.4 HTML表格处理模块（HFPM） 90

6.5 Tcl脚本 93

6.6 CGI-uniform 96

6.7 安全问题 96

6.9.1 Cgimail安全考虑 97

6.9 安全清单 97

6.8 配置清单 97

6.9.2 E-mail的威胁形式之一——E-mail假冒 98

6.9.3 E-mail的威胁形式之二——E-mail炸弹 98

6.9.4 保护E-mail信息 99

第7章 文件传输协议 100

7.1 文件传输协议（FTP） 100

7.1.1 对FTP服务器和用户访问进行控制 101

7.2.2 FTP服务器配置是否正确 103

7.2.1 FTP服务器运行是否正确 103

7.2 配置清单 103

7.2.3 匿名FTP配置是否安全 104

7.3 安全清单 105

7.3.1 谨防黑客 107

第8章 网络新闻传输协议（NNTP） 108

8.1 News网关 108

8.2 News-WWW网关 109

8.3 Usenet-Web归档程序 110

8.5.1 防火墙环境中设置News网关 111

8.4 配置清单 111

8.5 安全清单 111

第9章 Web与HTTP协议 112

9.1 Web安全问题 113

9.2 HTTP安全考虑 115

9.3 安全超文本传输协议（S-HTTP） 116

9.4 安全套接层（SSL） 116

9.5 缓存：安全考虑 117

9.6 配置清单 117

9.7.2 大多数典型UNIX Web服务器的安全问题 118

9.7 安全清单 118

9.7.1 Novell的HTTP安全漏洞 118

第10章 防火墙的设计与实现 120

10.1 防火墙的概念 121

10.2 防火墙的作用 122

10.3 利用防火墙增强Web安全性 122

10.4 主要防火墙类型 123

10.4.1 网络层防火墙 124

10.4.3 常用的Web站点防火墙类型 125

10.4.2 应用层防火墙 125

10.4.4 动态防火墙技术和Web安全性 126

10.5 HTTP和防火墙、Proxy服务器和SOCKS 127

10.5.1 Proxy服务器 128

10.6 高级Proxy配置的一个实例 129

10.6.1 网络设置 130

10.6.2 proxy设置 131

10.7 FTP和Telnet 131

10.8 安全清单 132

第11章 处乱不惊 136

11.1 处理意外事件 137

11.1.1 网络信息服务作为作案工具 137

11.1.2 远程登录／远程Shell服务作为作案工具 138

11.1.3 网络文件系统做为作案工具 138

11.1.4 文件传输协议服务作为作案工具 138

11.2 应变措施 139

11.2.2 断掉链接 140

11.2.3 分析问题 140

11.2.1 处境评估 140

11.2.4 采取行动 141

11.3 抓捕入侵者 141

11.4 安全回顾 141

第12章 追捕入侵者：法律透视 143

12.1 法律系统的责任 145

12.1.1 目前的管制环境 146

12.2 保护Web站点 148

12.2.1 防止Web入侵者 148

12.3 最后的考虑 149

附录A 防火墙相关的资源、代理商及防火墙工具 150

附录B 防火墙产品 162

附录C Web服务器产品 178

附录D 内部安全弱点扫描工具 186

附录E 修补及替代程序 189

附录F 高级验证及密码增强工具 193

附录G 审计及入侵检测工具 195

附录H 密码破译工具 203

附录I 访问控制工具 204

参考文献 206