四、安全與權(quán)限設(shè)置

安全與權(quán)限設(shè)置是IIS保證其站點(diǎn)安全的最重要的保護(hù)措施，它可用來(lái)控制怎樣驗(yàn)證用戶(hù)的身份以及他們的訪問(wèn)權(quán)限。在權(quán)安全與限設(shè)置過(guò)程中，管理員不但可以設(shè)置權(quán)限和站點(diǎn)安全的繼承關(guān)系，而且還可以選擇要應(yīng)用的設(shè)置，包括驗(yàn)證方法、訪問(wèn)許可、IP地址限制等設(shè)置。權(quán)限與安全設(shè)置過(guò)程如下：

1. 選擇“所有任務(wù)” 　“權(quán)限向?qū)А泵�令，打開(kāi)“權(quán)限向?qū)А睂?duì)話(huà)框。單擊“下一步”按鈕，打開(kāi)“安全設(shè)置”對(duì)話(huà)框，如圖5所示。


圖5 "權(quán)限向?qū)?對(duì)話(huà)框


2.如果要從父站點(diǎn)或者虛擬目錄繼承安全性設(shè)置，應(yīng)選擇“繼承所有的安全設(shè)置”單選按鈕；如果需要選取新的安全性設(shè)置，應(yīng)選擇“請(qǐng)從模板選取新的安全設(shè)置。

3. 單擊“下一步”按鈕，打開(kāi)“ Windows 目錄和文件權(quán)限”對(duì)話(huà)框，如圖6所示。


圖6 "Windows 目錄和文件權(quán)限"對(duì)話(huà)框


4. 如果要保持Windows 目錄和文件權(quán)限，應(yīng)選擇“保持目錄和文件權(quán)限”單選按鈕；如果要保持原來(lái)Windows 目錄和文件權(quán)限并加入新設(shè)置的權(quán)限，應(yīng)選擇“原封不動(dòng)地保持當(dāng)前的目錄和文件許可配置，并加入推薦的許可權(quán)限”單選按鈕。這里選擇“推薦：替換全部的目錄和文件訪問(wèn)權(quán)限”單選按鈕，以新設(shè)置的權(quán)限替換原有的目錄和文件權(quán)限。

5. 單擊“下一步”按鈕，打開(kāi)如圖7所示的“安全摘要”對(duì)話(huà)框，在設(shè)置列表框中選擇要應(yīng)用的設(shè)置，包括驗(yàn)證方法、訪問(wèn)許可、IP地址限制和文件ACL將不能被修改等設(shè)置。

圖7 "安全摘要"對(duì)話(huà)框


6. 單擊“下一步”按鈕，打開(kāi)“您已成功的完成IIS 5.0‘權(quán)限向?qū)А�”�?duì)話(huà)框，再單擊“完成”即可完成設(shè)置。

五、安全認(rèn)證

在windows 2000中，對(duì)于通過(guò)HTTP協(xié)議訪問(wèn)，Internet 信息 服務(wù)提供了三種登錄認(rèn)證方式，它們分別是匿名方式、明文方式和詢(xún)問(wèn)/應(yīng)答方式。用戶(hù)采用那種方式取決于用戶(hù)建立Internet信息 服務(wù)器的的目的。

如果用戶(hù)建立站點(diǎn)的目的是為了做廣告，那么可以選擇匿名方式。因?yàn)樵L問(wèn)者中的大多數(shù)是第一次訪問(wèn)用戶(hù)的站點(diǎn)，用戶(hù)不可能也沒(méi)有必要為他們建立帳戶(hù)。如果希望通過(guò)自己的Internet信息 服務(wù)器為訪問(wèn)者提供電子郵件寄存或信息交付等網(wǎng)絡(luò)服務(wù)，則需要選用明文方式。因?yàn)樵谶@種方式下，訪問(wèn)者必須使用用戶(hù)名和密碼進(jìn)行訪問(wèn)，可有效的保護(hù)私人郵件或信息的安全性。如果用戶(hù)的Internet信息服務(wù)器的訪問(wèn)者主要是企業(yè)內(nèi)部的員工，并且希望服務(wù)器中的信息受到最安全的保護(hù)，可選擇詢(xún)問(wèn)/應(yīng)答方式。這種方式要求訪問(wèn)者在訪問(wèn)之前先進(jìn)行訪問(wèn)請(qǐng)求，在得到許可后才可進(jìn)行訪問(wèn)；這樣，訪問(wèn)者對(duì)用戶(hù)服務(wù)器的訪問(wèn)在用戶(hù)直接控制下進(jìn)行。不過(guò)這種方式要求訪問(wèn)者使用的瀏覽器必須是InternetExplorer瀏覽器，因?yàn)槠渌麨g覽器不支持這種認(rèn)證方式。

由于在許多Internet信息 服務(wù)器上，對(duì)Web、FTP及SMTP虛擬 服務(wù)器的訪問(wèn)都是匿名的，本節(jié)就以匿名訪問(wèn)為例介紹如何進(jìn)行安全認(rèn)證設(shè)置。

1. 在如圖所示的對(duì)話(huà)框中，單擊“目錄安全性”選項(xiàng)卡，如圖8所示。

圖8 “目錄安全性”選項(xiàng)卡


2. 在“匿名訪問(wèn)和驗(yàn)證控制”選項(xiàng)區(qū)域中，單擊“編輯”按鈕，打開(kāi)“驗(yàn)證方法”對(duì)話(huà)框，如圖9所示。

圖9 設(shè)置匿名訪問(wèn)和驗(yàn)證控制


3. 要選擇匿名認(rèn)證方式，啟用“匿名訪問(wèn)”復(fù)選框，并單擊“編輯”按鈕，打開(kāi)如圖10所示的“匿名賬號(hào)”對(duì)話(huà)框進(jìn)行設(shè)置。

圖10 設(shè)置匿名賬號(hào)


4. 在安裝Internet信息 服務(wù)時(shí)，系統(tǒng)將自動(dòng)創(chuàng)建一個(gè)匿名賬號(hào)： IUSR計(jì)算機(jī)名，如果計(jì)算機(jī)名為L(zhǎng)Y，則匿名賬號(hào)為： IUSR_LY。使用“IUSR 計(jì)算機(jī)名”賬號(hào)可以將Web客戶(hù)登錄到 服務(wù)器上。允許匿名服務(wù)時(shí)，管理員可更改用戶(hù)匿名請(qǐng)求的的用戶(hù)賬號(hào)，并可更改此賬號(hào)的密碼。在“用戶(hù)名”文本框中直接輸入用戶(hù)賬號(hào)名，或者單擊“瀏覽”按鈕，打開(kāi)如圖11所示的“選擇Windows用戶(hù)賬號(hào)”對(duì)話(huà)框選擇一個(gè)要添加的用戶(hù)賬號(hào)。

圖11 選擇Windows用戶(hù)賬號(hào)


5. 在“匿名用戶(hù)賬號(hào)”對(duì)話(huà)框中，啟用“允許IIS控制 密碼”復(fù)選框，或者在“ 密碼”文本框中輸入用戶(hù)賬號(hào) 密碼。

6.單擊“確定”按鈕完成匿名訪問(wèn)設(shè)置，同時(shí)返回到“驗(yàn)證方法”對(duì)話(huà)框，再單擊“確定”按鈕返回到“默認(rèn)Web站點(diǎn)屬性”對(duì)話(huà)框，然后單擊“確定”按鈕關(guān)閉對(duì)話(huà)框。

注釋:如果用戶(hù)的Web和FTP服務(wù)禁用匿名訪問(wèn)或訪問(wèn)受NTFS訪問(wèn)控制列表限制時(shí)，系統(tǒng)會(huì)自動(dòng)使用明文方式進(jìn)行認(rèn)證，需要訪問(wèn)者的用戶(hù)名和密碼。這時(shí)，就需要選擇登錄驗(yàn)證訪問(wèn)方法，Internet信息服務(wù)可選的驗(yàn)證方法有基本驗(yàn)證、Windows域服務(wù)器的簡(jiǎn)要驗(yàn)證和Windows驗(yàn)證。一般選擇Windows驗(yàn)證，因?yàn)榛�本�?yàn)證時(shí)是一種明文密碼驗(yàn)證，可能會(huì)造成未經(jīng)過(guò)加密的密碼在網(wǎng)絡(luò)上傳輸，想危害用戶(hù)的系統(tǒng)的非法訪問(wèn)者可用協(xié)議分析器在驗(yàn)證過(guò)程中檢查用戶(hù)密碼；Windows域服務(wù)器的簡(jiǎn)要驗(yàn)證是一種簡(jiǎn)要的身份驗(yàn)證，使Internet信息 服務(wù)與windows 2000域賬號(hào)管理器一起工作進(jìn)行驗(yàn)證，僅要求用戶(hù)賬號(hào)并將賬號(hào) 密碼保存為加密明文文本；不利于驗(yàn)證信息的安全性。要使用Windows驗(yàn)證，在“驗(yàn)證方法”對(duì)話(huà)框中的“驗(yàn)證訪問(wèn)”選項(xiàng)區(qū)域中，啟用“繼承Windows驗(yàn)證”復(fù)選框。

六、IP地址及域名限制

通過(guò)IP地址及域名限制，用戶(hù)可禁止某些特定的計(jì)算機(jī)或者某些區(qū)域中的主機(jī)對(duì)自己的Web和FTP站點(diǎn)及SMTP虛擬服務(wù)器的訪問(wèn)。當(dāng)有大量的攻擊和破壞來(lái)自于某些地址或者某個(gè)子網(wǎng)時(shí)，使用這種限制機(jī)制是非常有用的。不過(guò)，進(jìn)行IP地址及域名限制的首要條件是用戶(hù)必須知道網(wǎng)絡(luò)黑客的計(jì)算機(jī)使用哪些IP地址或?qū)儆谀男┚W(wǎng)絡(luò)區(qū)域，否則無(wú)法進(jìn)行限制。對(duì)基于Internet的信息服務(wù)器，站點(diǎn)接受來(lái)自于各個(gè)方的訪問(wèn)，用戶(hù)很難進(jìn)行地址限制。一般，只有基于企業(yè)內(nèi)部網(wǎng)絡(luò)的信息服務(wù)器才使用IP地址及域名進(jìn)行安全保護(hù)。下面就以Web站點(diǎn)為例介紹IP地址及域名限制的設(shè)置過(guò)程。

1. 在如圖8所示的圖中，在“ IP地址及域名限制”文本框中單擊“編輯”按鈕，打開(kāi)“ IP地址及域名限制”對(duì)話(huà)框，如圖12所示。

圖12 設(shè)置IP地址及域名限制

2. 如果選擇“授權(quán)訪問(wèn)”單選按鈕，除了“例外”列表框中的計(jì)算機(jī)外，其他所有的計(jì)算機(jī)都可訪問(wèn)該Web站點(diǎn)上的內(nèi)容。如果選擇“拒絕訪問(wèn)”單選按鈕，除了“例外”列表框中的計(jì)算機(jī)外，其他所有的計(jì)算機(jī)都不能訪問(wèn)該Web站點(diǎn)上的內(nèi)容。這里選擇“授權(quán)訪問(wèn)”單選按鈕并添加沒(méi)有訪問(wèn)權(quán)限的 計(jì)算機(jī)。

3. 單擊“添加”按鈕，打開(kāi)“授權(quán)以下訪問(wèn)”對(duì)話(huà)框，如圖13所示。

圖13 授權(quán)訪問(wèn)


4. 如果要對(duì)單個(gè) 計(jì)算機(jī)進(jìn)行限制，選擇“單機(jī)”單選按鈕，并在“ IP地址”文本框中輸入要授權(quán)的 計(jì)算機(jī)的IP地址；或者單擊“ DNS查找”按鈕，打開(kāi)“ DNS查找”對(duì)話(huà)框，選擇某個(gè)DNS域中要授權(quán)的 計(jì)算機(jī)。如果要對(duì)一組 計(jì)算機(jī)進(jìn)行限制，選擇“一組計(jì)算機(jī)”單選按鈕，在“網(wǎng)絡(luò)標(biāo)識(shí)”文本框中輸入要授權(quán)的一組計(jì)算機(jī)中的任何一個(gè)計(jì)算機(jī)的IP地址，并在“子網(wǎng)掩碼”文本框中輸入子網(wǎng)掩碼。如果要對(duì)某個(gè)域中的計(jì)算機(jī)進(jìn)行限制，選擇“域名”單選按鈕，并在“域名”文本框中輸入授權(quán)的域的域名。

5.單擊“確定”按鈕返回到“IP地址及域名限制”對(duì)話(huà)框。如果還要進(jìn)行訪問(wèn)授權(quán)，可繼續(xù)單擊“添加”按進(jìn)行添加。這樣，被添加的單個(gè) 計(jì)算機(jī)、一組 計(jì)算機(jī)或者一個(gè)域的客戶(hù)可訪問(wèn) 服務(wù)器，而其他的客戶(hù)則沒(méi)有訪問(wèn)權(quán)。

6. 單擊“確定”按鈕返回到“默認(rèn)Web站點(diǎn)屬性”對(duì)話(huà)框，再單擊“確定”按鈕保存設(shè)置。

七、停止、啟動(dòng)和暫定站點(diǎn)服務(wù)

在站點(diǎn)維護(hù)中，停止、啟動(dòng)和暫定站點(diǎn)服務(wù)是經(jīng)常要進(jìn)行的工作。例如，當(dāng)某個(gè)站點(diǎn)的內(nèi)容和設(shè)置需要進(jìn)行比較大的修改時(shí)，用戶(hù)可將該站點(diǎn)的服務(wù)停止或者暫停，以便操作。當(dāng)已經(jīng)停止或暫停的站點(diǎn)需要啟動(dòng)自己的服務(wù)時(shí)，就啟動(dòng)它。

要停止、啟動(dòng)和暫定某個(gè)站點(diǎn)的信息 服務(wù)，在控制臺(tái)目錄樹(shù)中，展開(kāi)“ Internet信息服務(wù)”節(jié)點(diǎn)和 服務(wù)器節(jié)點(diǎn)，展開(kāi)服務(wù)器節(jié)點(diǎn)。如果要暫停某個(gè)Web或者FTP站點(diǎn)服務(wù)，右擊該站點(diǎn)，從彈出的快捷菜單中選擇“暫停”命令即可；如果要停止某個(gè)Web或者FTP站點(diǎn)服務(wù)，右擊該站點(diǎn)，從彈出的快捷菜單中選擇“停止”命令即可；如果要啟動(dòng)某個(gè)已經(jīng)暫停或者停止的Web或者FTP站點(diǎn) 服務(wù)，右擊該站點(diǎn)，從彈出的快捷菜單中選擇“啟動(dòng)”命令即可。