蓝盾实训营day8——IIS安全加固与证书签发
网站安全狗(IIS版)
安全狗一般有以下功能:
- 防止流量攻击
- 防止SQL注入
- 文件上传防护
- 防止一句话木马的执行
开启安全狗的防护功能:
对网站进行SQL注入测试:
显示请求被拦截。
回到安全狗,查看防护日志:
用菜刀连接一句话木马的时候会被拦截:
Windows防火墙
开启防火墙后,所有外部连接都会被拒绝。
可以通过添加例外-端口,来开放某个端口供外部访问:
给服务器配置SSL证书
服务端证书安装过程
首先要开启Windows的证书服务器,开启之后是这个样子的:
- 在IIS管理器中选择网站的属性,选择目录安全性,选择服务器证书,然后一直填写信息,最后会生成一个文本类型的证书请求文件。
- 选择高级证书申请 ,这是申请服务器证书的:
- 选择”使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。“,然后把第一步生成的证书请求文件的内容粘贴进来,最后提交即可。
- 最后在证书颁发机构中颁发证书:
- 最后在证书颁发机构中颁发证书:
客户端安装过程
- 如果网站设置了要求客户端证书,那么浏览器访问的时候需要向CA请求一个客户端证书才能访问该网站。
- 安装过程比较简单,同样进入证书申请的网页,在选择申请Web浏览器证书即可。
SSL证书的作用
SSL协议提供的安全通道有以下三个特性:
机密性:SSL协议使用密钥加密通信数据。
可靠性:服务器和客户都会被认证,客户的认证是可选的。
完整性:SSL协议会对传送的数据进行完整性检查。
Windows自带一个证书服务器(CA),这种CA不是权威的CA,所以浏览器访问用自带的CA签名的证书的网站会提示“连接不安全”:
自建的CA是不受信任的,受信任的CA一般都是要收费的。
选择要求客户端证书的话,我们需要为浏览器等客户端申请一个证书,这个证书有证书服务器的签名(用私钥加密)。
当安装了证书的客户端访问服务端时,向服务端提交客户端证书,服务端会向证书服务器验证客户端的证书(用公钥解密)。