《SEC304IIS身份验证与许可授权工作方式.ppt》由会员分享,可在线阅读,更多相关《SEC304IIS身份验证与许可授权工作方式.ppt(36页珍藏版)》请在三一办公上搜索。
1、SEC304:IIS身份验证与许可授权工作方式,议程,网络安全基本概念IIS安全体系架构IIS进程模型IIS验证方式授权基于ASP.NET应用的验证和授权IIS 6.0新特性,网络安全基本概念,验证身份识别你是谁?授权和访问控制访问控制你能访问什么数据和服务?完整性如何确保数据在传输过程中没有被修改?私密性如何只让接收者看到数据?,IIS体系架构状态机,验证,路由,ASP,静态文件处理器,其它ISAPIDLL,请求,Metadata,访问被拒绝,CGI,回应,日志,ASP.NETISAPI,IIS进程身份,被装扮的身份,IIS 5.0体系架构进程模型,TCP/IP,INETINFO.EXE,D
2、LLHOST.EXE,IIS 应用,W3SVC,IIS 应用,IIS 应用,ASP.NET,Winsock,低,中,高,LocalSystem,IWAM,ASP.NET,Internet,Intranet,验证场景,IIS 5.0,浏览器,代理服务器,SQL Server,活动目录,防火墙,匿名验证,IIS 5.0,浏览器,代理服务器,SQL Server,活动目录,防火墙,匿名验证,使用匿名帐号(IUSR_)访问资源进程身份:LocalSystem或IWAM_匿名帐号可任意配置进程身份可通过COM+任意配置需要平衡折衷安全与性能,基本验证,IIS 5.0,浏览器,代理服务器,SQL Serv
3、er,活动目录,防火墙,3,基本验证,进程身份:IWAM or LocalSystem使用验证后的用户身份访问资源优点大众化几乎所有的HTTP客户端支持基本验证支持一跳式委托缺点明文密码(Base64编码)通过线路传输保留在服务器中应使用SSL保护数据传输,摘要验证,IIS 5.0,浏览器,代理服务器,SQL Server,活动目录,防火墙,3,摘要验证,优点不用明码方式传输密码可通过代理服务器工作IIS不知道密码缺点中等程度的安全措施需要IE 5 或更高版本浏览器支持不支持委托需要使用活动目录活动目录保存密码(可解密得到),Windows集成验证,基于Security Support Pro
4、vider(SSPI)技术NTLM或Kerberos由IIS询问浏览器支持哪种验证协议可强制使用特定的验证协议NTAuthenticationProvidersNegotiateNTLMKerberos,NTLM验证,IIS 5.0,浏览器,代理服务器,SQL Server,活动目录,防火墙,NTLM验证,IIS 5.0,浏览器,SQL Server,活动目录,NTLM验证,优点默认配置提供自动登录而无需重新输入口令缺点只适用于Intranet无法穿越代理服务器工作(需要keep-alive联接)不支持委托,Kerberos验证,IIS 5.0,浏览器,代理服务器,SQL Server,活动目
5、录,防火墙,Kerberos验证,IIS 5.0,浏览器,SQL Server,活动目录,Kerberos验证,优点具有高安全、易扩展、快速等特点支持委托缺点有限的客户端支持需要IE 5以上及Windows 2000客户端必须能够访问域控制器委托可能造成安全隐患,客户端数字证书验证,IIS 5.0,浏览器,代理服务器,SQL Server,活动目录,防火墙,客户端数字证书验证IIS映射,IIS 5.0,浏览器,SQL Server,活动目录,防火墙,代理服务器,客户端数字证书验证活动目录映射,IIS 5.0,浏览器,SQL Server,活动目录,防火墙,代理服务器,用证书映射账号,IIS证书
6、映射只作用于特定的Web服务器1对1映射通配符映射(多对1)活动目录证书映射对整个Windows 2000域都可见由kerberos KDC提供此映射UPN映射1对1映射多对1映射,客户端数字证书验证,优点及安全灵活提供完整性及私密性缺点PKI管理开销大易用性不好可扩展性及性能受约束,验证方式对比表,推荐解决方案,访问控制流程,客户端IP地址被允许了吗?用户账号被允许了吗?合法的账户名/口令账号限制登录时间,已被锁,口令过期,特权IIS被允许访问吗?文件(NTFS)被允许访问吗?,基于ASP.NET应用的验证和授权,ASP.NET体系架构ASP.NET中的验证ASP.NET中的授权,ASP.N
7、ET请求处理流程,机器代码,字节代码,应用,IIS,ASP.NET页面,ASP.NET 引擎,ASP.NET服务,HTTP处理器,HTTP 模块,Global.asax,HTTP 模块,HttpContext,请求事件:BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecutePostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest,验证,ASP.N
8、ET是一个ISAPI扩展仅接收对特定文件后缀的HTTP请求Windows验证(通过 IIS)基本,摘要,NTLM,kerberos,数字证书支持使用操作系统验证机制基于表单(cookie)的验证应用级别的密码验证支持微软Passport验证自定义验证,ASP.NET中的授权,Windows安全及访问存取列表(ACL)ACL使用基于Windows的验证独立于扮演COM+角色URL授权自定义授权.NET Framework授权框架强制/声明 检查,IIS 6.0新特性,PassportPassport用户映射URL授权基于角色可通过商业规则扩展多存储方式支持活动目录XML授限制的委托账户名/口令可
9、从一台服务器传送到另一台服务器Digest Security Support Provider(SSP)密码已经不以可解密方式存储,总结,IIS为各种用途提供业界最多的、强大的验证方案每种验证方案都有各自的优缺点推荐方案Internet:匿名,基本验证+SSLIntranet:摘要,NTLM 或 kerberosB2B:数字证书ASP.NET及IIS 6 提供更丰富的选择,如果您有任何问题,请加入微软中文新闻组继续讨论,加入微软中文新闻组,2002 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,
