IIS 50建Web服务器.docx

IIS 50建Web服务器.docx

《IIS 50建Web服务器.docx》由会员分享，可在线阅读，更多相关《IIS 50建Web服务器.docx（14页珍藏版）》请在冰豆网上搜索。

IIS50建Web服务器

入门教程：

IIS5.0建Web服务器

　　在使用WindowsNT4.0时，IIS就已经成为流行的Web服务器平台。

IIS4.0是作为OptionPack4的一部分发行的，需要进行额外的安装才能运行。

然而，在Windows2000中，IIS5.0应经完全成为操作系统的一个有机组成部分，如果在安装Windows2000时没有选择安装IIS，也可以单独添加。

与IIS4.0相比，IIS5.0提供了方便的安装和管理，增强的应用环境，基于标准的发布协议，在性能和扩展性方面有了很大的改进，为客户提供更佳的稳定性和可靠性。

　　一、安装IIS

　　步骤1：

单击"开始"，指向"设置"，单击"控制面板"，然后启动"添加/删除程序"应用程序。

图1

　　步骤2：

选择"配置Windows"，单击"组件"按钮，在【Windows组件向导】对话框中，选择【Internet信息服务】组件，单击【详细信息】进行进一步设置，例如FTP服务、SMTP服务、WWW服务通常可以选装。

单击【下一步】，从Windows2000安装光盘中拷贝所需文件，安装完毕后如下图2、3、4、5、6所示。

图2

图3

图4

图5

图6

二、创建Web站点

　　在IIS中创建Web站点是非常容易的，IIS已经为我们准备了详细的Web站点创建向导，遵循向导的步骤，可以在短时间内完成站点创建。

Web站点的创建可以使用默认的站点（即在添加IIS组件时选中WorldWideWeb服务器），系统就已经架设好一个网站，只要我们在默认的目录（Inetpub\wwwroot）中放置政府网页即可。

如下图7、图8、图9和图10所示：

图7

图8

图9

图10

　　也可以新建Web站点即使用Web站点创建向导，打开IIS窗口，展开【Internet信息服务】根节点，右击需要创建站点的计算机图标，缺省情况下，IIS仅对本地站点提供管理，在弹出菜单中指向【新建】，单击【Web站点】打开Web站点创建向导，将网页放置在选好的目录下。

如下图12、图12、图13、图14、图15、图16和图17所示：

图11

图12

图13

图14

图15

图16

图17

　　至此，在IIS的Web站点的创建也就基本完成，可以在服务器端运行ASP程序，至于设定Web站点、Web站点标识和连接、启动日志记录、操作员、性能、自定义错误信息、ISAPI筛选器等设置内容，由于篇幅有限就不多说了。

三、WindowsNT/2000的IIS服务器的安全管理与维护

　　1、Web站点安全性设置

　　本文讨论的安全设置仅依赖于WindowsNT/2000和IIS内部的安全性功能，鉴于Windwos2000强大的安全性能（符合C2安全级别），尤其是强大的用户认证能力和独有的NTFS安全分区，IIS网站的安全性完全可以得到非常有力的保证。

笼统的说，站点安全性工作将围绕如下两个任务进行：

合法用户身份的认证和站点文件的安全保障。

前者需要借助于Windows2000的账号系统和认证机制；后者则要由IIS和NTFS分区共同维护。

　　2、NTFS权限设置

　　安装操作系统最新的补丁程序，不论是NT还是2000，硬盘分区均为NTFS分区，NTFS权限是NTFS分区文件格式特有的安全权限。

　　【Windows域服务器的简要验证】和【集成Windows验证】都是属于加密验证的发式。

其中简要验证方法是IIS5.0中新引入的验证方法，它通过网络发送经过混编的密码值而不是密码本身。

该方法通过代理服务器和其他防火墙工作。

这里的混编密码值通常是利用哈西算法得到的，此方法较基本验证安全得多，但低于集成Windows验证方式（可以通过复杂运算加以破解）。

【集成Windows验证】通过与用户的InternetExplorerWeb浏览器进行密码交换以确认用户的身份。

　　3、IP地址和域名访问控制

　　IP地址和域名访问控制方式源于对于特定IP地址或域名的不信任，鉴于网站管理员通常会认为来自某些IP地址的用户带有明显的攻击倾向（通过对日志文件的分析可以得到这一结论），或者网站管理员希望仅有来自特定IP地址或域名的用户才能够访问网站。

这些限制能力都倚赖于IP地址和域名访问控制功能。

　　4、使用权限向导

　　权限向导是IIS5.0新引入的权限管理工具。

鉴于对站点安全性的配置复杂而无序，较难理出一条简明而准确的主线，IIS5.0引入了权限向导工具，它提供了一个连续、简单、准确的权限配置流程，可以使管理员迅速对站点进行一般性的权限设定。

尤其是对于涉及大量权限继承关系的站点（虚拟）目录配置工作，运用权限向导往往能达到意想不到的效果。

权限向导主要对安全设置和目录权限进行快速指定，并能够以摘要的形式提供安全分析。

　　5、目录和文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们还必须非常小心地设置目录和文件的访问权限，NT的访问权限分为：

读取、写入、读取及执行、修改、列目录、完全控制。

在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（FullControl），你需要根据应用的需要进行权限重设。

　　6、设置WWW目录访问权

　　在InternetServiceManager中创建Web发布目录（文件夹）时，可以为定义的主目录或虚拟目录及其中所有的文件夹设置访问权限。

这些权限是有WWW服务提供的那些，是NTFS文件系统提供的权限之外的部分。

这些权限是：

　　读：

读权限允许Web客户读或下载存储在主目录或虚拟目录中的文件。

如果客户为目录中没有读权限的文件发送一个读请求，则Web服务器返回一个错误。

通常，应该给予包含要发布信息（例如HTML文件）的目录读权限。

应该为包含公用网关接口（CGI）应用程序和InternetServer应用程序编程接口（ISAPI）DLL的目录取消读权限，以防止客户下载应用程序文件。

　　执行：

执行权限允许Web客户运行存储在主目录或虚拟目录中的程序和脚本。

如果客户发送请求，运行不具有执行权限的文件夹中的程序或脚本，则服务器返回一个错误。

为了安全，不要给予内容文件夹执行权限。

　　7、解除NetBios与TCP/IP协议的绑定

　　NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。

方法：

WINNT：

控制面版→网络→绑定→NetBios接口→禁用；WIN2000：

控制面版→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WINS→禁用TCP/IP上的NETBIOS。

　　8、删除所有的网络共享资源

　　NT与2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。

　　9、加强日志审核

　　安全日志：

本地安全策略->审核策略中打开相应的审核。

　　日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。

安全日志缺省是不记录，帐号审核可以从域用户管理器→规则→审核中选择指标；NTFS中对文件的审核从资源管理器中选取。

　　10、只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议

　　网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。

　　11、加强数据备份

　　这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。