实验4 Web服务器的安装和配置.docx
《实验4 Web服务器的安装和配置.docx》由会员分享,可在线阅读,更多相关《实验4 Web服务器的安装和配置.docx(19页珍藏版)》请在冰豆网上搜索。
实验4Web服务器的安装和配置
实验4Web服务器的安装和配置
7.1实验目的
掌握Web服务器的架设和管理方法。
7.2实验内容
分别采用IIS和Apache软件架设和配置Web服务器。
7.3实验课时
本实验需4学时。
(每人一组)
7.4实验步骤
7.4.1IIS5.0建Web服务器
在使用WindowsNT4.0时,IIS就已经成为流行的Web服务器平台。
IIS4.0是作为OptionPack4的一部分发行的,需要进行额外的安装才能运行。
然而,在Windows2000中,IIS5.0应经完全成为操作系统的一个有机组成部分,如果在安装Windows2000时没有选择安装IIS,也可以单独添加。
与IIS4.0相比,IIS5.0提供了方便的安装和管理,增强的应用环境,基于标准的发布协议,在性能和扩展性方面有了很大的改进,为客户提供更佳的稳定性和可靠性。
一、安装IIS
步骤1:
单击"开始",指向"设置",单击"控制面板",然后启动"添加/删除程序"应用程序。
图1
步骤2:
选择"配置Windows",单击"组件"按钮,在【Windows组件向导】对话框中,选择【Internet信息服务】组件,单击【详细信息】进行进一步设置,例如FTP服务、SMTP服务、WWW服务通常可以选装。
单击【下一步】,从Windows2000安装光盘中拷贝所需文件,安装完毕后如下图2、3、4、5、6所示。
图2
图3
图4
图5
图6
二、创建Web站点
在IIS中创建Web站点是非常容易的,IIS已经为我们准备了详细的Web站点创建向导,遵循向导的步骤,可以在短时间内完成站点创建。
Web站点的创建可以使用默认的站点(即在添加IIS组件时选中WorldWideWeb服务器),系统就已经架设好一个网站,只要我们在默认的目录(Inetpub\wwwroot)中放置政府网页即可。
如下图7、图8、图9和图10所示:
图7
图8
图9
图10
也可以新建Web站点即使用Web站点创建向导,打开IIS窗口,展开【Internet信息服务】根节点,右击需要创建站点的计算机图标,缺省情况下,IIS仅对本地站点提供管理,在弹出菜单中指向【新建】,单击【Web站点】打开Web站点创建向导,将网页放置在选好的目录下。
如下图12、图12、图13、图14、图15、图16和图17所示:
图11
图12
图13
图14
图15
图16
图17
至此,在IIS的Web站点的创建也就基本完成,可以在服务器端运行ASP程序,至于设定Web站点、Web站点标识和连接、启动日志记录、操作员、性能、自定义错误信息、ISAPI筛选器等设置内容,由于篇幅有限就不多说了。
三、WindowsNT/2000的IIS服务器的安全管理与维护
1、Web站点安全性设置
本文讨论的安全设置仅依赖于WindowsNT/2000和IIS内部的安全性功能,鉴于Windwos2000强大的安全性能(符合C2安全级别),尤其是强大的用户认证能力和独有的NTFS安全分区,IIS网站的安全性完全可以得到非常有力的保证。
笼统的说,站点安全性工作将围绕如下两个任务进行:
合法用户身份的认证和站点文件的安全保障。
前者需要借助于Windows2000的账号系统和认证机制;后者则要由IIS和NTFS分区共同维护。
2、NTFS权限设置
安装操作系统最新的补丁程序,不论是NT还是2000,硬盘分区均为NTFS分区,NTFS权限是NTFS分区文件格式特有的安全权限。
【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。
其中简要验证方法是IIS5.0中新引入的验证方法,它通过网络发送经过混编的密码值而不是密码本身。
该方法通过代理服务器和其他防火墙工作。
这里的混编密码值通常是利用哈西算法得到的,此方法较基本验证安全得多,但低于集成Windows验证方式(可以通过复杂运算加以破解)。
【集成Windows验证】通过与用户的InternetExplorerWeb浏览器进行密码交换以确认用户的身份。
3、IP地址和域名访问控制
IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任,鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向(通过对日志文件的分析可以得到这一结论),或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站。
这些限制能力都倚赖于IP地址和域名访问控制功能。
4、使用权限向导
权限向导是IIS5.0新引入的权限管理工具。
鉴于对站点安全性的配置复杂而无序,较难理出一条简明而准确的主线,IIS5.0引入了权限向导工具,它提供了一个连续、简单、准确的权限配置流程,可以使管理员迅速对站点进行一般性的权限设定。
尤其是对于涉及大量权限继承关系的站点(虚拟)目录配置工作,运用权限向导往往能达到意想不到的效果。
权限向导主要对安全设置和目录权限进行快速指定,并能够以摘要的形式提供安全分析。
5、目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:
读取、写入、读取及执行、修改、列目录、完全控制。
在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(FullControl),你需要根据应用的需要进行权限重设。
6、设置WWW目录访问权
在InternetServiceManager中创建Web发布目录(文件夹)时,可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限。
这些权限是有WWW服务提供的那些,是NTFS文件系统提供的权限之外的部分。
这些权限是:
读:
读权限允许Web客户读或下载存储在主目录或虚拟目录中的文件。
如果客户为目录中没有读权限的文件发送一个读请求,则Web服务器返回一个错误。
通常,应该给予包含要发布信息(例如HTML文件)的目录读权限。
应该为包含公用网关接口(CGI)应用程序和InternetServer应用程序编程接口(ISAPI)DLL的目录取消读权限,以防止客户下载应用程序文件。
执行:
执行权限允许Web客户运行存储在主目录或虚拟目录中的程序和脚本。
如果客户发送请求,运行不具有执行权限的文件夹中的程序或脚本,则服务器返回一个错误。
为了安全,不要给予内容文件夹执行权限。
7、解除NetBios与TCP/IP协议的绑定
NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。
方法:
WINNT:
控制面版→网络→绑定→NetBios接口→禁用;WIN2000:
控制面版→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WINS→禁用TCP/IP上的NETBIOS。
8、删除所有的网络共享资源
NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。
9、加强日志审核
安全日志:
本地安全策略->审核策略中打开相应的审核。
日志任何包括事件查看器中的应用、系统、安全日志,IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等,从中可以看出某些攻击迹象,因此每天查看日志是保证系统安全的必不可少的环节。
安全日志缺省是不记录,帐号审核可以从域用户管理器→规则→审核中选择指标;NTFS中对文件的审核从资源管理器中选取。
10、只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议
网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。
11、加强数据备份
这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。
7.4.2ApacheWebServer建Web服务器
一、经典强大的服务器软件Apache软件简介
1、Apache是最流行的Web服务器端软件之一。
快速、可靠、可通过简单的API扩展,Perl/Python解释器可被编译到服务器中,完全免费,完全源代码开放。
如果你需要创建一个每天有数百万人访问的Web服务器,Apache可能是最佳选择。
2、ApacheWebServerWin32从版本1.3.17开始使用MSI(扩展名)的形式发布,MSI文件可以在Windows下直接运行,使用起来就和我们平常所用的那些EXE(扩展名)文件一样的方便。
3、不过MSI文件这种新兴的东东也给使用微软较早发行的Win98和WinNT的用户带来了麻烦,当它们安装时系统会提示"无法通过Windows安装程序服务安装此安装程序包。
您必须安装带有更新版本Windows安装程序服务的WindowsServicePack",根本无法让你继续下去!
——而在WinME和Win2K下面则不会有这种麻烦出现。
4、要解决在Win98和WinNT下安装MSI文件不能完成的麻烦,你需要先有相应版本的名为"MicrosoftInstaller"的软件包,把它安装之后方可以开始MSI的安装工作。
5、此软件为免费软件;本文测试环境为Windows2000。
6、确保此软件安装前已卸载(或停止服务)了其他的HTTP服务器端软件。
二、软件安装
1、本机已升级成了域控制器,已拥有一个名为""的域名;计算机名为"server";完整的计算机名为""。
2、双击Apaceh的安装文件".msi"即可进入安装向导。
3、当安装向导进行到"LicenseAgreement"(协议许可)时,点选中"Iacceptthetermsinthelicenseagreement"(我接受这些协议)项后再按"Next"便能继续进行下一步操作。
4、之后进入的是"ServerInformation"(服务器信息)的界面,对于域控制器,系统会自动填写各项的相关内容;如果没有,则需手动填入"NetworkDomain"(网络域名)、"ServerName"(服务器名)和"Administrator'sEmailAddress"(管理员信箱)三项内容,然后才能选中"RunasaserviceforallUsers"(所有用户使用的服务)项后按"Next"继续即可。
5、接着便是选择安装类型(SetupType)。
Apache提供"Complte"(完全安装)和"Custom"(定制安装)两种安装方式,一般点选中"Complte"项继续(Next)进行完全安装。
6、在"DestinationFolder"(目标目录)中,系统默认将把Apache安装到"C:
\ProgramFiles\ApacheGroup"中,为了以后操作方便起见,建议将此处的安装路径用"Change"改变到"C:
\"下。
系统安装成功后将自动在此建立一个名为"Apache"的目录,也就是说,安装之后的实际Apache系统文件所在路径将为"C:
\Apache"目
升级会员 