四����、安全與權限設置
安全與權限設置是IIS保證其站點安全的最重要的保護措施��,它可用來控制怎樣驗證用戶的身份以及他們的訪問權限��。在權安全與限設置過程中����,管理員不但可以設置權限和站點安全的繼承關系�����,而且還可以選擇要應用的設置�,包括驗證方法����、訪問許可、IP地址限制等設置����。權限與安全設置過程如下:
1. 選擇“所有任務” “權限向導”命令,打開“權限向導”對話框����。單擊“下一步”按鈕,打開“安全設置”對話框����,如圖5所示�。
圖5 "權限向導"對話框
2.如果要從父站點或者虛擬目錄繼承安全性設置���,應選擇“繼承所有的安全設置”單選按鈕�����;如果需要選取新的安全性設置���,應選擇“請從模板選取新的安全設置�。
3. 單擊“下一步”按鈕���,打開“ Windows 目錄和文件權限”對話框�����,如圖6所示��。
圖6 "Windows 目錄和文件權限"對話框
4. 如果要保持Windows 目錄和文件權限�,應選擇“保持目錄和文件權限”單選按鈕�;如果要保持原來Windows 目錄和文件權限并加入新設置的權限��,應選擇“原封不動地保持當前的目錄和文件許可配置�,并加入推薦的許可權限”單選按鈕��。這里選擇“推薦:替換全部的目錄和文件訪問權限”單選按鈕�����,以新設置的權限替換原有的目錄和文件權限��。
5. 單擊“下一步”按鈕�,打開如圖7所示的“安全摘要”對話框,在設置列表框中選擇要應用的設置�,包括驗證方法、訪問許可����、IP地址限制和文件ACL將不能被修改等設置。
圖7 "安全摘要"對話框
6. 單擊“下一步”按鈕�,打開“您已成功的完成IIS 5.0‘權限向導’”對話框,再單擊“完成”即可完成設置�����。
五、安全認證
在windows 2000中��,對于通過HTTP協議訪問��,Internet 信息 服務提供了三種登錄認證方式�����,它們分別是匿名方式���、明文方式和詢問/應答方式�����。用戶采用那種方式取決于用戶建立Internet信息 服務器的的目的�����。
如果用戶建立站點的目的是為了做廣告�����,那么可以選擇匿名方式��。因為訪問者中的大多數是第一次訪問用戶的站點,用戶不可能也沒有必要為他們建立帳戶��。如果希望通過自己的Internet信息 服務器為訪問者提供電子郵件寄存或信息交付等網絡服務�,則需要選用明文方式�����。因為在這種方式下��,訪問者必須使用用戶名和密碼進行訪問����,可有效的保護私人郵件或信息的安全性。如果用戶的Internet信息服務器的訪問者主要是企業內部的員工���,并且希望服務器中的信息受到最安全的保護���,可選擇詢問/應答方式。這種方式要求訪問者在訪問之前先進行訪問請求��,在得到許可后才可進行訪問����;這樣,訪問者對用戶服務器的訪問在用戶直接控制下進行。不過這種方式要求訪問者使用的瀏覽器必須是InternetExplorer瀏覽器�����,因為其他瀏覽器不支持這種認證方式��。
由于在許多Internet信息 服務器上�����,對Web����、FTP及SMTP虛擬 服務器的訪問都是匿名的,本節就以匿名訪問為例介紹如何進行安全認證設置�����。
1. 在如圖所示的對話框中�����,單擊“目錄安全性”選項卡,如圖8所示��。
圖8 “目錄安全性”選項卡
2. 在“匿名訪問和驗證控制”選項區域中,單擊“編輯”按鈕�,打開“驗證方法”對話框,如圖9所示�。
圖9 設置匿名訪問和驗證控制
3. 要選擇匿名認證方式,啟用“匿名訪問”復選框���,并單擊“編輯”按鈕�,打開如圖10所示的“匿名賬號”對話框進行設置����。
圖10 設置匿名賬號
4. 在安裝Internet信息 服務時,系統將自動創建一個匿名賬號: IUSR計算機名�,如果計算機名為LY,則匿名賬號為: IUSR_LY�����。使用“IUSR 計算機名”賬號可以將Web客戶登錄到 服務器上�����。允許匿名服務時�����,管理員可更改用戶匿名請求的的用戶賬號���,并可更改此賬號的密碼��。在“用戶名”文本框中直接輸入用戶賬號名���,或者單擊“瀏覽”按鈕,打開如圖11所示的“選擇Windows用戶賬號”對話框選擇一個要添加的用戶賬號���。
圖11 選擇Windows用戶賬號
5. 在“匿名用戶賬號”對話框中,啟用“允許IIS控制 密碼”復選框��,或者在“ 密碼”文本框中輸入用戶賬號 密碼�。
6.單擊“確定”按鈕完成匿名訪問設置,同時返回到“驗證方法”對話框�����,再單擊“確定”按鈕返回到“默認Web站點屬性”對話框��,然后單擊“確定”按鈕關閉對話框�。
注釋:如果用戶的Web和FTP服務禁用匿名訪問或訪問受NTFS訪問控制列表限制時��,系統會自動使用明文方式進行認證,需要訪問者的用戶名和密碼���。這時���,就需要選擇登錄驗證訪問方法,Internet信息服務可選的驗證方法有基本驗證���、Windows域服務器的簡要驗證和Windows驗證���。一般選擇Windows驗證,因為基本驗證時是一種明文密碼驗證�����,可能會造成未經過加密的密碼在網絡上傳輸��,想危害用戶的系統的非法訪問者可用協議分析器在驗證過程中檢查用戶密碼�;Windows域服務器的簡要驗證是一種簡要的身份驗證,使Internet信息 服務與windows 2000域賬號管理器一起工作進行驗證�,僅要求用戶賬號并將賬號 密碼保存為加密明文文本;不利于驗證信息的安全性����。要使用Windows驗證,在“驗證方法”對話框中的“驗證訪問”選項區域中�,啟用“繼承Windows驗證”復選框。
六��、IP地址及域名限制
通過IP地址及域名限制���,用戶可禁止某些特定的計算機或者某些區域中的主機對自己的Web和FTP站點及SMTP虛擬服務器的訪問�����。當有大量的攻擊和破壞來自于某些地址或者某個子網時��,使用這種限制機制是非常有用的��。不過�,進行IP地址及域名限制的首要條件是用戶必須知道網絡黑客的計算機使用哪些IP地址或屬于哪些網絡區域�,否則無法進行限制。對基于Internet的信息服務器����,站點接受來自于各個方的訪問,用戶很難進行地址限制����。一般�����,只有基于企業內部網絡的信息服務器才使用IP地址及域名進行安全保護����。下面就以Web站點為例介紹IP地址及域名限制的設置過程。
1. 在如圖8所示的圖中��,在“ IP地址及域名限制”文本框中單擊“編輯”按鈕����,打開“ IP地址及域名限制”對話框,如圖12所示�����。
圖12 設置IP地址及域名限制
2. 如果選擇“授權訪問”單選按鈕����,除了“例外”列表框中的計算機外,其他所有的計算機都可訪問該Web站點上的內容���。如果選擇“拒絕訪問”單選按鈕�����,除了“例外”列表框中的計算機外��,其他所有的計算機都不能訪問該Web站點上的內容����。這里選擇“授權訪問”單選按鈕并添加沒有訪問權限的 計算機�。
3. 單擊“添加”按鈕,打開“授權以下訪問”對話框����,如圖13所示。
圖13 授權訪問
4. 如果要對單個 計算機進行限制��,選擇“單機”單選按鈕�����,并在“ IP地址”文本框中輸入要授權的 計算機的IP地址����;或者單擊“ DNS查找”按鈕,打開“ DNS查找”對話框,選擇某個DNS域中要授權的 計算機��。如果要對一組 計算機進行限制��,選擇“一組計算機”單選按鈕,在“網絡標識”文本框中輸入要授權的一組計算機中的任何一個計算機的IP地址��,并在“子網掩碼”文本框中輸入子網掩碼��。如果要對某個域中的計算機進行限制��,選擇“域名”單選按鈕�����,并在“域名”文本框中輸入授權的域的域名��。
5.單擊“確定”按鈕返回到“IP地址及域名限制”對話框����。如果還要進行訪問授權,可繼續單擊“添加”按進行添加��。這樣�����,被添加的單個 計算機�����、一組 計算機或者一個域的客戶可訪問 服務器�����,而其他的客戶則沒有訪問權��。
6. 單擊“確定”按鈕返回到“默認Web站點屬性”對話框��,再單擊“確定”按鈕保存設置��。
七�、停止、啟動和暫定站點服務
在站點維護中�����,停止�����、啟動和暫定站點服務是經常要進行的工作�。例如,當某個站點的內容和設置需要進行比較大的修改時�,用戶可將該站點的服務停止或者暫停,以便操作�����。當已經停止或暫停的站點需要啟動自己的服務時��,就啟動它。
要停止�����、啟動和暫定某個站點的信息 服務�����,在控制臺目錄樹中����,展開“ Internet信息服務”節點和 服務器節點,展開服務器節點���。如果要暫停某個Web或者FTP站點服務�,右擊該站點,從彈出的快捷菜單中選擇“暫?!泵罴纯桑蝗绻V鼓硞€Web或者FTP站點服務��,右擊該站點���,從彈出的快捷菜單中選擇“停止”命令即可�;如果要啟動某個已經暫?��;蛘咄V沟腤eb或者FTP站點 服務�,右擊該站點�����,從彈出的快捷菜單中選擇“啟動”命令即可�。
