WEB服务和FTP服务的设置.docx
《WEB服务和FTP服务的设置.docx》由会员分享,可在线阅读,更多相关《WEB服务和FTP服务的设置.docx(33页珍藏版)》请在冰豆网上搜索。
WEB服务和FTP服务的设置
实验八WEB服务和FTP服务的设置
实验目的
1.掌握WEB站点的规划
2.掌握默认WEB站点、管理WEB站点和添加新的WEB站点的设置和使用。
3.掌握FTP站点的规划
4.掌握FTP站点的设置和使用。
WEB服务是Internet中最为重要的应用,它是实现信息发布、资料查询、数据处理、视频点播等诸多应用的基本平台。
WEB服务的实现采用客户/服务器模型,信息提供者称为服务器,信息的需要者或获取者称为客户。
作为服务器的计算机中安装有WEB服务器端程序(如NetscapeiPlanetWebServer、MicrosoftInternetInformationServer等),并且保存有大量的公用信息,随时等待用户的访问。
作为客户机的计算机中则安装Web客户端程序,即Web浏览器(如NetscapeNavigator、MicrosoftInternetExplore等),可通过局域网络或Internet从Web服务器中浏览或获取所有信息。
IIS(InternetInformationServer,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面。
实验步骤
实验一设置WEB服务
一、规划组内计算机的域名,例如、、等,并在A计算机上安装DNS服务器,做好域名解析。
二、在计算机上安装IIS
进入“控制面板”,依次选“添加/删除程序→添加/删除Windows组件”,选定“Internet信息服务(IIS)”,然后点击“详细信息”,在出现的窗口中选择要添加的服务(Web、FTP、NNTP和SMTP等)。
在单击“下一步”完成安装。
三、建立第一个Web站点
进入“开始→程序→管理工具→Internet服务管理器”以打开IIS管理器,对于有“已停止”字样的服务,均在其上单击右键,选“启动”来开启。
例如本机的IP地址为10.10.2.1,自己的网页放在E:
\Wy目录下,网页的首页文件名为Index.htm,现在想根据这些建立好自己的Web服务器。
对于此Web站点,可以用现有的“默认Web站点”来做相应的修改后实现。
请先在“默认Web站点”上单击右键,选“属性”,以进入名为“默认Web站点属性”设置界面。
(1)修改绑定的IP地址:
转到“Web站点”窗口,再在“IP地址”后的下拉菜单中选择所需用到的本机IP地址“10.10.2.1”。
(2)修改主目录:
转到“主目录”窗口,再在“本地路径”输入(或用“浏览”按钮选择)好自己网页所在的“E:
\Wy”目录。
(3)添加首页文件名:
转到“文档”窗口,再按“添加”按钮,根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。
(4)测试:
打开IE浏览器,在地址栏输入“10.10.2.1”或者计算机A(或者B的域名)之后再按回车键,此时就能够调出你自己网页的首页,则说明设置成功!
四、添加虚拟目录
比如你的主目录在“E:
\Wy”下,而你想输入“10.10.2.1/test”的格式就可调出“E:
\All”中的网页文件,这里面的“test”就是虚拟目录。
请在“默认Web站点”上单击右键,选“新建→虚拟目录”,依次在“别名”处输入“test”,在“目录”处输入“E:
\All”后再按提示操作即可添加成功。
并测试。
五、多Web站点配置
在一台计算机上实现多个Web站点的方式称为虚拟服务器。
尤其对于多个小型站点,虚拟服务器可以极大的节省硬件成本。
我们知道,域名是区分站点的唯一性标记,站点的数量是与域名数相等的;同时,一个域名往往是与一个IP地址唯一对应的。
这样,看上去服务器应该拥有的IP地址数应该与虚拟服务器的数量相同。
这种虚拟服务器的实现方法就是在前面提到的方式。
显然,由于IP地址资源的缺稀性,我们往往需要借助于其他手段利用同一IP地址实现多个站点,这里我们介绍的两种方法是端口号方法和主机头方法。
(一)更改端口号方式
TCP端口号是客户机浏览器与Web服务器之间的信息通道,TCP端口号可以多达四位数。
每种网络服务都需要在服务器端指定一个TCP端口号,客户机只有指定了同一端口号之后才能与服务器建立通信联系。
那么,为什么我们通常浏览Web网站时不必输入端口号呢,这是因为普通的Internet服务拥有固定的缺省端口号,例如WWW服务的缺省端口号为80,FTP服务的缺省端口号为21。
当我们在浏览器中输入站点地址时,即使不指定80位端口号,浏览器仍然自动的以TCP端口80与服务器进行通信。
端口号与IP地址同样是用于区分站点的唯一性标识,这样,即使两个站点拥有同样的IP地址,但只要给它们指定不同的TCP端口号就可以将它们区分开来。
但是,一旦将端口号从默认的80更改为其他数值,客户浏览器并不能直接以更改过的端口打开网页,客户必须手工指定它TCP端口号,就是在浏览器地址栏中输入域名之后加上":
"和端口号数值。
例如,在同一台服务器上有两个网站www.S和www.S,它们共用一个IP地址168.192.3.15,我们配制www.S使用默认端口号80,而www.S的端口号为8088,那么我们在浏览器地址栏中输入地址168.192.3.15得到的是Site1,要想访问Site2就要输入168.192.3.15:
8088。
指定站点端口号的方法并不复杂:
1.打开IIS管理环境,右击管理控制树中的站点节点,单击【属性】。
2.打开WWW属性表单,可见【Web站点】选项卡。
3.在【TCP端口】栏中更改TCP端口号。
以端口号方式使站点共用IP地址的方法并不方便,除了要用户记住端口号数字之外,这样的做法也不太符合网络礼仪,所以很难用于正规的商业性网站。
但是在一些内部网站,尤其是不希望普通用户访问的安全性网站中,通过更改默认端口号可以提高网站安全性。
(二)主机标头方式
主机标头(HostHeader)是除了IP地址和TCP端口号之外的第三个用于区分站点的唯一性标识。
这样,对于两个共用同一个IP地址且都采用默认TCP端口号80的站点,只要为它们指定不同的主机标头,就可以唯一的在网络中将它们区分开。
主机标头这种技术是在HTTP1.1标准中定义的,因此,对于在IIS中使用主机标头进行配制的站点,客户浏览器必须支持HTTP1.1标准才能进行浏览。
高于3.0版本的IE和高于2.0版本的Netscape浏览器支持HTTP1.1标准。
为站点添加主机标头的方法如下:
1.在WWW属性表单的【Web站点】选项卡中单击【IP地址】栏右侧的【高级】。
2.在【高级多Web站点配置】对话框中,选择列表中的标识项,单击【删除】。
3.单击【添加】,打开【高级Web站点标识】对话框。
4.在【IP地址】下拉列表框中选择IP地址。
5.指定【TCP端口】栏中的值为默认端口号80。
6.在【主机头名】栏中输入主机标头名称,尽量不要包含空格或其他不兼容字符。
7.单击【确定】返回。
8.再次单击【确定】完成。
上述设置中,可以指定多个站点拥有同一IP地址、TCP端口号,只要保持它们的主机标头各不相同即可。
随后,应在DNS服务器中将这些主机头名统统映射到它们共同的IP地址上。
在客户浏览器中输入主机头名即可访问相应站点。
六、Web站点安全性设置
无庸置疑,站点的安全性是一个相当重要的话题。
随着黑客技术的提高,在动辄听说某某网站又被攻破的今天,我们无法不时时刻刻提心吊胆。
同时,随着企业信息化程度的不断提高以及B2B、ASP等电子商务模式的不断深入人心,越来越多的敏感数据被包含在企业内部网站和商业站点中,一旦这些信息丢失,后果将不堪设想。
时至今日,Web站点的安全性设置几乎已经成为一个Web管理员最重要的日常工作。
(一)安全设置概述
站点的安全防范是一个综合性的系统工程,世界上有矛就有盾,我们不可能指望仅仅通过某一种技术使站点永远保持安全。
事实上,一个有效的安全计划要依赖于综合利用诸多软件设置甚至硬件防护才能产生较好的安全效果。
有关防火墙之类基于硬件或专门防护软件的安全防范措施将不属于本实验的范畴,请大家参阅专门的反黑技术指南。
本实验讨论的安全设置仅依赖于Windows2000和IIS内部的安全性功能,鉴于Windwos2000强大的安全性能(符合C2安全级别),尤其是强大的用户认证能力和独有的NTFS安全分区,IIS网站的安全性完全可以得到非常有力的保证。
笼统的说,站点安全性工作将围绕如下两个任务进行:
合法用户身份的认证和站点文件的安全保障。
前者需要借助于Windows2000的账号系统和认证机制;后者则要由IIS和NTFS分区共同维护。
(二)理解Windows2000用户账号和组
在系统讲述IIS安全机制之前,有必要先对Windows2000的用户账号概念以及账号验证机制进行简单介绍,这些正是IIS安全性配制的基础。
账号是在windows2000网络中区分用户的唯一性标识,账号与实际用户是对应的。
在Windows2000网络环境中,为计算机用户分配各自不相同的账号,通过对账号指定访问权限可以限制用户对资源的访问程度。
在安装Windows2000时,系统自动生成管理员账号Administrator,管理员具有对计算机的全部属性进行配制的能力。
Windows2000中添加账号的工作是在计算机管理器中完成的,具体方法如下:
1.单击【开始】、【程序】、【管理工具】、【计算机管理】,打开计算机管理器。
2.展开左侧管理控制树中的【本地用户和组】节点,选择【用户】。
3.单击【操作】菜单,选择【新用户】,打开【新用户】对话框。
4.添加用户名、全名、描述等信息并设定密码。
5.单击【创建】。
6.单击【关闭】返回。
7.此时,新用户账号出现在计算机管理器的用户列表中。
8.双击列表中的用户账号可以打开账号属性对话框详细配制账号属性。
账号代表着网络中的个体,对应着现实中的网络用户,通过将资源的访问权限赋予账号,可以使用户能够或者不能访问特定的资源。
账号本身的安全性由密码进行保护,在网络中,账号通常是公开的,而密码则必须保密,且有必要通过定期更改密码、密码锁定等策略强化账号安全。
当账号数目随着网络用户的增多而变得越来越多时,逐一给每一账号设置资源访问权限的工作量显然是巨大的。
为了简化权限分配的任务,我们引入了组的概念。
组是账号的逻辑集合,我们建立一个组,然后将一些账号加入组中,通过将资源访问权限分配给组,组中的账号也就自动的继承了这些权限,从而简化了权限分配的工作量。
账号和组是多对多的关系,一个组可以包含多个账号,一个账号可以同时属于多个组。
一旦一个账号通过多个组继承了多种不同的权限,通常是限制最少的权限实际起作用。
除了一个特例:
"禁止访问"权限覆盖其他一切权限,也就是说,一旦一个账号直接或者通过某个组继承了"禁止访问"权限,那么即使它还拥有或继承了其他权限,哪怕是最高权限(完全控制),则该账号仍然不对该资源具有如何权限。
记住,组仅是账号的逻辑组合,并不实际的与账号构成包含关系,所以,删除了一个组并不意味着同时删除了它所包含的账号,只不过这些账号通过这个组所继承的资源访问权限不再有效而已。
创建组的步骤与创建账号类似,不再详述。
双击计算机管理器中的组列表成员时,可以打开组属性对话框,从中可以编辑组成员。
单击【添加】,从【选择用户或组】对话框中指定组的成员,然后单击【确定】返回。
(三)NTFS权限设置
NTFS权限是NTFS分区文件格式特有的安全权限,在通常的FAT分区上,我们无法指定一个文件对于不同用户的不同安全权限。
例如在windows98中,我们可以共享一个文件夹,但是仅能够给出诸如"只读口令"、"完全访问口令"之类的有限安全控制方式,并不能给各个用户账号分别配制不同的权限;对于本地登录的用户,甚至不能限制他的如何操作。
而随着Microsoft在WindowsNT中首次引入了NTFS分区格式,再借助于NT(Windows2000)的用户账号验证能力,就可以实现针对不同用户的不同安全权限设置。
NTFS权限分为若干种,对于NTFS分区上的目录而言,可以给账号或组指定如下几种权限:
1.完全控制,具有对文件夹的全部操作能力。
2.修改,能够更改、添加、读取文件。
3.读取,仅能够读文件内容。
4.写入,能够向文件中添加内容。
5.读取及运行,同时包括3和4。
6.列出文件夹目录,能够查看文件夹内容,但不能访问。
7.禁止访问,不具有如何权限。
权限的设定是在我的电脑或者Windows资源管理器中完成的,具体方法如下:
1.右击NTFS分区上的文件夹,在弹出菜单上选择【属性】。
2.单击文件夹属性对话框中的【安全】选项卡。
3.【安全】选项卡上部的账号和组列表中,列出当前具有访问权限的账号和组。
4.从列表中选择需要指定权限的账号或组,在【权限】列表中指定其对该文件夹拥有的访问权限。
具体方法是选择欲指定权限对应的【允许】或【拒绝】复选框。
例如,需要允许某账号读取但不允许写入时,就分别选择【读取】和【写入】权限所对应的【允许】和【拒绝】复选框。
将所有权限都选为【拒绝】时,相当于指定了拒绝访问的权限。
5.当需要指定其他账号或组的访问权限时,应先将其加入账号和组列表中,单击账号户和组列表右侧的【添加】,打开【选择用户、计算机或组】对话框。
6.在【查找范围】下拉列表框中指定账号和组所在的域或计算机。
7.从列表中选择账号或组名,单击【添加】。
8.反复将多个账号或组加入结果列表后,单击【确定】返回。
NTFS权限针对不同的账号设定其对资源的问程度,一般的,应把网站包含的网页文件、应用程序文件、数据库文件等资源存放在NTFS分区上,然后指定其NTFS权限。
由于权限可以在任意文件夹甚至文件的级别上进行设置,所以存在子文件夹与父文件夹发生权限冲突的情况,这就要通过权限继承设置进行调整。
在【安全】选项卡上可以选择【将来自父系的客继承权限传播给该对象】复选框,从而使文件夹能够继承其上一级文件夹的权限。
在【安全】选项卡中单击【高级】,打开文件夹访问控制设置对话框,在【权限】选项卡中可以详细设置权限和继承关系。
(四)目录和访应用程序问权限设置
目录和应用程序访问权限是由IIS维护的权限设置,它与前面讨论的NTFS权限互相独立的运作,共同限制用户对站点资源的访问。
目录和应用程序访问权限并不能对用户身份进行识别,所以它所做出的限制是一般性的,对所有访问者都起作用。
目录和应用程序访问权限分别对网站中的目录(包括实际目录和虚拟目录)以及应用程序文件进行权限限制。
前者针对非应用程序文件(包括网页、所数据库文件等),其权限类型具体为:
读取和写入;后者则针对使用脚本语言编写的脚本程序文件和可执行应用程序文件,其权限有:
无权限、纯脚本、脚本和可执行程序三种类型。
指定目录和应用程序访问权限的工作是在站点WWW属性表单的【主目录】选项卡中进行的。
【主目录】选项卡中部的【读取】和【写入】复选框用于配制目录访问权限。
一般意义上的网页浏览和文件下载操作在【读取】权限的许可下就可以进行了。
而对于允许用户添加内容的网站(例如搜集用户信息的网站或专门的个人主页空间),就要考虑指定【写入】权限。
注意,【写入】权限的指定可能给网站带来安全上的隐患,或者给黑客提供可利用的系统漏洞,所以如果没有特别的需求,仅指定【读取】权限就已经足够了
【主目录】选项卡下部的【执行许可】下拉列表框中,可以为站点应用程序指定执行权限,其中【脚本和可执行程序】权限包含【纯脚本】权限。
这里所说的脚本程序和可执行程序的区别在于:
由脚本语言(例如Perl、VBScript、Jscript等)编写的脚本应用程序表现为一些存储在服务器上的代码,客户浏览器将这些代码下载到本地再进行解释执行;而标准的可执行应用程序(.exe.com.dll.bat等文件)则要在服务器端执行,仅将执行结果返回客户浏览器。
鉴于后者可能带来安全隐患(尤其对于dll文件),故应慎重使用。
(五)匿名和授权访问控制
首先,我们来看一下匿名和授权访问的基本概念。
前面我们已经知道只有拥有合法的Windows2000用户账号才能对Windows2000资源进行访问,对于基于Windows2000系统的IIS也不例外。
但是,根据我们上网的经验,在打开网站主页时并没有要求我们输入用户账号和密码。
这是因为,在通常情况下,网站是允许匿名访问的,即无需再输入账号,自动使用匿名访问帐号并继承匿名访问权限。
在安装IIS时,系统自动生成一个匿名访问用户账号,名为:
IUSR_computername,其中computername是IIS所在服务器的计算机名。
所有IUSR_computername账号能够访问的资源,就是匿名用户的授权许可范围。
一旦用户所访问的资源不允许匿名访问,IIS就会要求用户提供合法的用户账号及密码,这就是授权访问。
授权访问要求用户拥有合法的Windows2000账号,且必须具有相应的权限。
匿名和授权访问控制是在站点WWW属性表单的【目录安全性】选项卡中进行的。
缺省情况下,IIS对任意站点都是允许匿名访问的,如果出于站点安全性等考虑需要禁止匿名访问时,按照如下步骤进行配置:
1.在IIS中右击管理控制树中需要禁止匿名访问的Web站点图标,选择【属性】。
2.单击【目录安全性】选项卡。
3.在【目录安全性】选项卡上部的【匿名访问和验证控制】栏中单击【编辑】。
4.在【验证方法】对话框中清除【匿名访问】复选框。
5.单击【确定】返回。
当然,对于公共性质的网站而言,并不需要禁止匿名访问,但是某些情况下还需要对匿名访问用户账号进行配置。
在【验证方法】对话框中选择【匿名访问】复选框,然后单击右侧的【编辑】,打开如右图所示的【匿名用户账号】配置对话框。
有时网站管理员可能并不满意使用IUSR_computername作为匿名访问账号名,出于安全考虑或管理方便,往往也需要指定另一个账号作为匿名访问账号。
这时只需单击【用户名】右侧的【浏览】,并从【选择用户】对话框中指定新的匿名访问账号,并单击【确定】即可。
匿名访问账号IUSR_computername是在安装IIS时自动生成的,由于在IIS中也可对其进行设置,所以这里涉及到一个密码同步的问题。
通常情况下,是由IIS自动控制密码同步的。
也可以选择手工在IIS和Windows2000账号管理器之间同步匿名访问账号密码。
从IIS中指定匿名访问账号密码的方法是在【匿名用户账号】对话框中清除【允许IIS控制密码】复选框,然后在【密码】栏中输入新密码。
注意,这是指定的密码并不一定与Windows2000中的匿名访问账号所配置的相同,需要管理员手工在Windows2000中做出更改。
前面讨论的匿名访问能够用于一般的公共网站,然而当网站内容包含敏感的商业数据时,就要根据用户身份(账号)的不同来指定不同的访问权限。
当用户打开一个站点时,通常先尝以匿名访问方式进行连接,一旦匿名方式不能对用户请求的资源进行访问时(通常是因为匿名访问账号部具有相应的权限),IIS系统会要求用户输入合法账号以及密码。
那么,鉴于账号密码同样属于敏感数据,它们在网络中传送是否安全呢?
事实上,IIS为了防止密码信息丢失,提供了密码传输加密手段。
用于授权用户验证的方式有三种:
基本验证、Windows域服务器的简要验证、集成Windows验证,其中后两种验证方式是加密的。
这三种验证方式是同时可选的,也就是说我们可以同时配置服务器使用其中的一种或几种验证方式。
只要在【验证方法】对话框中选择相应的复选框即可。
【基本验证】方式是安全性最低的验证方式,使用这种方式时,用户帐号密码是以明文形式(即不加密报文)的形式在网络中传送的,装备了网络监视工具的计算机可能截获用户名和密码。
由于存在安全隐患,所以在选择这种验证方式时,IIS要给出警告对话框,单击【是】继续。
【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。
其中简要验证方法是IIS5.0中新引入的验证方法,它通过网络发送经过混编的密码值而不是密码本身。
该方法通过代理服务器和其他防火墙工作。
这里的混编密码值通常是利用哈西算法得到的,此方法较基本验证安全得多,但低于集成Windows验证方式(可以通过复杂运算加以破解)。
【集成Windows验证】通过与用户的InternetExplorerWeb浏览器进行密码交换以确认用户的身份。
这种验证方式是由以前的Challenge/Respones验证方法发展来的。
这里的Challenge和Respones可以看作是两种算法,相当于一对钥匙。
用户的InternetExplorerWeb浏览器(注意,其他浏览器不支持这一验证方式)使用Challenge算法对用户名和密码进行处理,得到一组密文,然后将这组密文发送给服务器,服务器再用Respones算法加以处理(相当于Challenge的逆过程)解出用户名和密码原文,然后再由Windows2000进行账号验证。
默认情况下,IIS将在IIS服务器所在的域中进行用户验证(域是账号验证的单位)。
如果访问站点的用户账号属于其他域,则应在验证方法对话框中的验证访问栏单击【编辑】,打开【基本验证域】对话框指定。
(六)IP地址和域名访问控制
IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任,鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向(通过对日志文件的分析可以得到这一结论),或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站(对于仅供内部使用的网站尤其如此)。
这些限制能力都倚赖于IP地址和域名访问控制功能。
按照如下步骤配置Web服务器限制来自特定IP地址用户对站点的访问:
1.在IIS中右击需要配置IP地址限制的网站,在弹出菜单中选择【属性】。
2.在站点的WWW属性表单中单击【目录安全性】选项卡。
3.在【IP地址及域名限制】栏中单击【编辑】,打开【IP地址及域名限制】对话框。
说明:
IP地址限制的方式有两种:
授权访问和拒绝访问。
如果需要限制来自某些地址的用户对网站进行访问(没有被限制的用户可以进行正常访问),就使用前者;如果希望仅允许来自某些地址的用户能够访问网站内容(其他用户不能访问),则使用后者。
以下我们以前一种方式为例进行限制。
4.在【IP地址及域名限制】对话框中选择【授权访问】方式,随后我们可以指定例外地址,这些例为地址就是被限制不能访问站点的IP。
5.单击【添加】打开【拒绝以下访问】对话框指定例外地址。
6.在类型栏中选择【单机】,指定被限制访问的用户来自某一个IP地址。
7.在IP地址栏中输入受限的IP地址。
8.单击【确定】加入。
重复上一步可以添加多个例外地址,它们在【例外】列表中列出。
9.在【拒绝以下访问】对话框选择【一组计算机】,可以指定一组例外地址。
10.一组例外计算机由网络地址和子网掩码共同确定,分别在【网络标识】和【子网掩码】栏中输入其值。
11.单击【确定】加入。
重复上一步可以添加多组例外地址。
12.另一种访问控制方式是根据用户来自的域进行控制。
注意,在使用域名限制方式进行访问控制时,往往需要进行反向DNS解析,将试图访问服务器的用户IP地址送到DNS服务器进行反向查询以得到其域名。
这一操作将极大的耗费系统资源,尤其是宝贵的带宽资源,所以,除非万不得已,否则不要使用域名限制方式。
(七)使用权限向导
权限向导是IIS5.0新引入的权
升级会员 