本指南不是介绍安全性,也不是 Microsoft .NET Framework 的安全性参考材料;如果您要了解这方面的内容,请查看 MSDN 中的 .NET Framework 软件开发工具包 (SDK)。本指南包含该文档中没有的内容,并通过具体方案提供一些建议和行之有效的技术。我们的目标是使本指南尽可能地贴近实际应用,因此,其中的事例、建议和最佳做法都来自现场操作、客户经验和 Microsoft 产品小组。
构建 .NET Web 应用程序的过程中使用了很多技术。为了构建有效的应用程序级别的身份验证和授权策略,您需要了解如何在每一种产品和技术领域内优化各种安全功能,以及如何使它们协同作用以提供纵深防御的有效安全策略。本指南的重点是分布式 ASP.NET 应用程序的安全性和各层之间的标识管理。
具体来说,我们选择将重点放在身份验证、授权和安全通信方面。安全性是一个广泛的话题。调查显示,在一开始就设计使用身份验证和授权功能可大大提高应用程序的安全性。安全通信是分布式应用程序保护工作中不可或缺的部分;保护分布式应用程序的目的是保护机密数据,这些数据包括传递到应用程序和从应用程序传出的凭据,以及在应用程序的各层之间传递的凭据。
返回页首 本指南的读者如果您是规划构建方案的中间件开发人员或架构设计师,或者当前正在使用以下一项或多项技术构建 .NET Web 应用程序,则应该阅读本指南。
•ASP.NET
•Web 服务
•企业服务
•远程处理
•ADO.NET
为了最有效地利用本指南来设计和构建安全的 .NET Web 应用程序,您应该已经了解并使用过 .NET 开发技巧和技术。您应该熟悉分布式应用程序体系结构;如果您已经实施过 .NET Web 应用程序解决方案,还应该了解您自己的应用程序的体系结构和部署模式。
返回页首 如何阅读本指南本指南的内容分为几个相对独立的模块。这样您就可以随意选取要阅读的章节。例如,如果您对特定技术提供的纵深防御安全功能感兴趣,可以直接阅读本指南的第 III 部分(第 8 章到第 12 章),其中包含涉及 ASP.NET、企业服务、Web 服务、.NET Remoting 和数据访问的详细信息。
然而,我们建议您先阅读本指南的前几章(第 1 章到第 4 章),即第 I 部分,因为这些章节可帮助您了解安全模型并可帮助您自行确定核心技术和安全服务。应用程序架构设计师一定要阅读第 3 章,这一章提供了一些有关跨 Web 应用程序的不同层设计身份验证和授权策略的重要知识。第 I 部分提供了一些基本资料,这些资料可帮助您充分理解并应用本指南其他章节中的知识。
本指南第 II 部分中 Intranet、Extranet 和 Internet 这几章(第 5 章到第 7 章)说明如何保障特定应用方案的安全性。如果知道您的应用程序目前采用或将要采用的体系结构和部署模式,则可通过本指南的这一部分了解相关的安全问题,以及保障特定方案的安全性所需的基本配置步骤。
最后,本指南第 IV 部分的补充信息和参考材料可帮助您加深对特定技术领域的理解。这一部分还提供了基本知识文章集锦,可指导您在最短的时间内开发出实用的安全解决方案。
返回页首 本指南的内容构成本指南分为四部分。目标是按逻辑划分各组成部分,这样有助于您更容易地消化内容。
第 I 部分,安全模型本指南的第 I 部分是其他部分的基础。熟悉第 I 部分介绍的概念、原则和技术,可以帮助您充分理解和应用本指南其他章节中的知识。第 I 部分包括以下各章:
•第 1 章,简介
•第 2 章,ASP.NET 应用程序的安全模型
•第 3 章,身份验证和授权
•第 4 章,安全通信
第 II 部分,应用程序方案大多数应用程序都可以归类为 Intranet 应用程序、Extranet 应用程序或 Internet 应用程序。本指南的这一部分介绍一组常见的应用程序方案,这些方案分别属于上述类别之一。其中首先介绍了每种方案的主要特征并分析了其潜在的安全威胁。
接着说明了如何为每种应用程序方案配置和实施最适合的身份验证、授权和安全通信策略。每种方案还包含若干小节,这些小节包括详细的分析、需要注意的常见隐患及常见问题 (FAQ)。第 II 部分包括以下各章:
•第 5 章,Intranet 安全性
•第 6 章,Extranet 安全性
•第 7 章,Internet 安全性
第 III 部分,保护各层的安全本指南的这一部分提供了有关应用程序各层的详细信息,以及有关保护与 .NET 相关的 Web 应用程序的技术。第 III 部分包括以下各章:
•第 8 章,ASP.NET 安全性
•第 9 章,企业服务安全性
•第 10 章,Web 服务安全性
•第 11 章,.NET Remoting 安全性
•第 12 章,数据访问安全性
各章分别概述了适用于所讨论的特定技术的安全体系结构。针对每种技术,分别讨论了身份验证和授权策略、可配置的安全选项、编程安全选项,还提出了有关何时使用特定策略的实用建议。
每一章都提供了一些指导和说明,您可根据这些信息为各种技术选择和实施最适合的身份验证、授权和安全通信选项。此外,每一章还针对每一特定技术提供了补充信息。最后,每一章都用一段简明扼要的建议作为结束语。
第 IV 部分,参考本指南的这一参考部分提供一些补充信息,可帮助您加深对前面各章讲述的技术、策略和安全解决方案的理解。详尽的“基本知识”主题提供了循序渐进的步骤,从而帮助您实施特定的安全解决方案。这一部分包含以下各章:
•第 13 章,解决安全问题
•基本知识
•基本配置
•配置存储和工具
•参考中心
•工作原理
•ASP.NET 标识矩阵
•加密技术、密钥和证书
•词汇表
返回页首 系统要求本指南将帮助您使用 .NET Framework 针对 Windows 2000 设计和构建安全的 ASP.NET 应用程序。我们以 .NET Framework 版本 1 (service pack 2) 为目标,虽然使用的是下一版本的 .NET Framework 中的概念和代码。本指南介绍了将在下一个版本中提供的新的安全功能,以及将随 Windows .NET Server 2003(Microsoft 的下一代 Windows Server 操作系统)提供的其他功能。
要使用本指南,您至少需要一台运行 Windows XP Professional 或 Windows 2000 Server SP3 的计算机。此外,您还需要安装 Visual Studio .NET、.NET Framework SP2 和 SQL Server 2000 SP2。
要实现其中讨论的某些解决方案,您还需要第二台运行 Windows 2000 Server SP3、Windows 2000 Advanced Server SP3 或 Windows 2000 DataCenter Server SP3 的计算机。
返回页首 安装示例文件您可以从本指南所在网址 http://www.microsoft.com/mspress/guides/6501.asp 下载示例文件。要下载示例文件,请单击该网页右侧的“More Information”(更多信息)菜单中的“Companion Content”(附带内容)链接。单击后将下载“Companion Content”(附带内容)页,其中包含下载示例文件的链接。
返回页首 支持我们在编辑时尽了最大的努力,以确保本指南和附带内容准确无误。如果您对这些内容有任何问题或反馈,请向 [email protected] 发送电子邮件。
本文地址:http://com.8s8s.com/it/it7579.htm