發佈安全的Web站點

時間 2020-07-19

標籤發佈安全 web 站點欄目系統安全简体版

原文原文鏈接

發佈安全的Web站點

安全Web站點在不少領域上因爲它的高安全性而受到普遍應用，因爲安全Web站點對HTTP數據進行了加密，ISA須要對數據內容進行分析；而ISA2006在發佈安全站點時都是採用「橋接」模式，這種模式可讓ISA對外網的發來的加密數據先進行解密，而後過濾檢查，發來的數據被證明沒問題了纔會被從新加密送往內網的Web服務器。

而ISA2006以前的版本沒法使得防火牆沒法對數據內容進行分析，也沒辦法判斷這些數據是否安全。當防火牆遇到這種狀況，每每就採用「隧道」模式，「隧道」模式讓外網的訪問請求直接經過防火牆抵達內網的安全站點，透明經過。顯然，橋接模式比隧道模式更能發揮防火牆的功效，對網站的安全更爲有利。

此試驗拓撲如圖所示：florence是域控制器、DNS服務器、CA服務器，perth是要發佈的安全Web站點，Berlin仍是ISA防火牆，Istanbul是外網的一臺計算機

clip_p_w_picpath002

1、建立證書頒發機構

在florence上打開控制面板-----添加刪除組建-----鉤選「證書服務」，建立一個「企業根CA」，CA的公用名稱「itetca」,搭建證書服務器很簡單，具體再也不闡述。

clip_p_w_picpath003

建立完以後，咱們須要在Web服務器和ISA上刷新一下組策略，讓他們在最短期內信任這個證書頒發機構，固然在生產環境下就不必了

clip_p_w_picpath004

右鍵IE屬性-----內容----證書，如圖所示：已成功信任

clip_p_w_picpath005

企業內的計算機已經信任了證書頒發機構，怎們讓外網的Istanbul也信任呢？很簡單，①能夠先把florence上的網站發佈出去，而後在訪問 http://florence.isa.com/certsrv 下載證書，再將證書導入到證書頒發機構；②還能夠在證書頒發機構上將咱們建立的企業根證書導出，而後再導入到外網計算機上，固然在生產環境下這種方法不理想；但在試驗環境下能夠考慮使用，此試驗咱們就採起這種方法。如圖所示：

clip_p_w_picpath007

點擊「下一步」

clip_p_w_picpath008

選擇導出文件的格式

clip_p_w_picpath009

選擇「導出的文件」存放的位置

clip_p_w_picpath010

點擊「肯定」導出成功

clip_p_w_picpath011

將證書傳到Istanbul上

clip_p_w_picpath013

在Istanbul上右鍵IE屬性----內容----證書，如圖所示：點擊「導入」

clip_p_w_picpath014

進入證書導入嚮導，點擊「下一步」

clip_p_w_picpath015

選擇要導入的證書

clip_p_w_picpath016

將證書到「受信任的根證書頒發機構」

clip_p_w_picpath017

導入嚮導完成

clip_p_w_picpath018

點擊「肯定」導入成功

clip_p_w_picpath019

如圖所示：受信任的根證書導入成功

clip_p_w_picpath020

2、安全Web站點申請證書

打開IIS管理器----右鍵「默認網站」屬性，申請證書。

clip_p_w_picpath022

切換到「目錄安全性」，點擊「服務器證書」申請服務器證書

clip_p_w_picpath023

點擊「下一步」

clip_p_w_picpath024

新建一個證書

clip_p_w_picpath025

選擇「當即將證書請求發送到聯機證書頒發機構」，實際工做中應該選擇「如今準備證書請求，但稍後發送」

clip_p_w_picpath026

輸入新證書的名稱，易於引用和記憶便可，此試驗採起默認設置

clip_p_w_picpath027

填寫「單位信息」

clip_p_w_picpath028

填寫「公用名稱」，慎重填寫，公用名稱必定要和外網用戶訪問該安全網站是的域名一致

clip_p_w_picpath029

填寫地理信息

clip_p_w_picpath030

爲此網站指定端口

clip_p_w_picpath031

選擇證書頒發機構

clip_p_w_picpath032

檢查提交的信息，無誤點擊「下一步」

clip_p_w_picpath033

完成Ｗeb服務器證書嚮導

clip_p_w_picpath034

點擊「查看證書」能夠看到perth申請的服務器證書

clip_p_w_picpath035

3、將perth的服務器證書導出並導入到ISA上

打開「運行」----輸入「MMC」打開控制檯----添加「證書」，如圖所示：將證書到出

clip_p_w_picpath037

點擊「下一步」

clip_p_w_picpath038

連同私鑰一塊兒導出

clip_p_w_picpath039

啓用增強保護

clip_p_w_picpath040

填寫「密碼」用來保護私鑰

clip_p_w_picpath041

選擇將證書導出到什麼位置，必須以「．pfx」擴展名結尾。

clip_p_w_picpath042

點擊「肯定」導出成功

clip_p_w_picpath043

如圖所示：能夠看到咱們導出的證書perth.pfx

clip_p_w_picpath045

4、ISA將證書導入

將perth上的證書拷貝到Berlin（ISA）上，雙擊此證書進入證書導入嚮導

clip_p_w_picpath047

選擇要導入的證書

clip_p_w_picpath048

輸入咱們剛剛爲保護私鑰建立的密碼

clip_p_w_picpath049

選擇證書存儲位置，咱們將它導入到「我的存儲」中

clip_p_w_picpath050

證書導入完成

clip_p_w_picpath051

如圖所示：導入成功

clip_p_w_picpath052

5、發佈安全的Web站點

如圖所示：新建一個「網站發佈規則」

clip_p_w_picpath054

填寫規則名稱

clip_p_w_picpath055

規則操做「容許」

clip_p_w_picpath056

發佈類型：「發佈單個網站或負載平衡器」

clip_p_w_picpath057

選擇使用SSL鏈接到發佈的Web服務器或服務器場

clip_p_w_picpath058

內部站點的名稱爲perth.isa.com，注意，內部站點的名稱應該和安全站點證書中的公用名稱徹底一致，不然會致使發佈失敗;計算機名稱或IP地址可寫可不寫。

clip_p_w_picpath059

發佈整個網站的內容

clip_p_w_picpath060

安全站點的公共名稱應該和證書中的公用名稱徹底一致

clip_p_w_picpath061

咱們沒有偵聽443端口的偵聽器，新建一個web偵聽器

clip_p_w_picpath062

填寫Web偵聽器名稱

clip_p_w_picpath063

須要與客戶端創建SSL安全鏈接

clip_p_w_picpath064

此Web偵聽器用來偵聽外網

clip_p_w_picpath065

選擇偵聽器使用的證書，此時應該選擇perth的證書，當外網用戶要訪問perth時，ISA能夠出示該證書證實本身的就是你要訪問的目標

clip_p_w_picpath066

不須要身份驗證，發佈安全Web站點不須要身份驗證，並不是發佈其餘服務器時也不須要身份驗證

clip_p_w_picpath067

不設置單一登錄

clip_p_w_picpath068

偵聽器建立完成

clip_p_w_picpath069

添加「偵聽443端口」的偵聽器

clip_p_w_picpath070

安全Web站點沒有委派ISA對客戶端進行身份驗證

clip_p_w_picpath071

應用到全部用戶

clip_p_w_picpath072

發佈完成

clip_p_w_picpath073

6、測試

來到外網Istanbul上，在瀏覽器上輸入 https://www.perth.com ,如圖所示：提示「即將經過安全鏈接查看網頁」，點擊「肯定」

clip_p_w_picpath075

點擊「是」

clip_p_w_picpath077

如圖所示：能夠正常訪問

clip_p_w_picpath079

使用http鏈接如圖所示：網頁打開失敗。

clip_p_w_picpath081

相關文章

相關標籤/搜索

Java Web 安全

Web Services 教程

Docker命令大全

網站品質教程

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

最新文章

本站公眾號

歡迎關注本站公眾號,獲取更多信息

相關文章

>>更多相關文章<<