为了使当前IIS服务器提供的IIS服务更加安全可靠,应当对它进行高级服务配置,从某种意义上讲,IIS服务器作为网络办公的平台,其中往往涉及一些非常重要的数据资料,事实上,黑客们攻击的对象也大都是Web站点和FTP站点,因此IIS服务器的安全显得越来越重要,所以IIS服务器需要配置包括对Web站点的访问账号验证及访问的IP地址授权以及对FTP站点的访问账号验证,还有上传文件权限配置以及对FTP站点提供的IP地址授权等。
1.IIS中IP地址和域名限制
对于一些重要的服务器,并不想让所有人都能访问,或者将一些总是攻击网站的用户屏蔽掉,这就需要添加限制访问网站的IP地址了。
选择“开始”→“程序”→“管理工具”→“Internet信息服务管理器”,打开“Inter⁃net信息服务(IIS)管理器”窗口,用鼠标右键单击要管理的FTP站点,在弹出的快捷菜单中选择“属性”命令,出现“默认FTP站点属性”对话框,单击“目录安全性”选项卡,单击“IP地址及域名限制”的“编辑”按钮,弹出如图5-48所示的“IP地址和域名限制”对话框,可以看到有两个选项:“授权访问”和“拒绝访问”。如果只想网站让少部分人浏览,可以选择“拒绝访问”,反之,可选择“授权访问”。
图5-48 设置IIS中的IP地址和域名限制
2.设置Web服务器权限
可以针对整个站点、目录以及文件设置Web服务器的权限。如果禁用Web服务器的读取权限,将限制所有用户(包括拥有NTFS高级别权限的用户)访问站点。如果启用了读取权限,则允许所有的用户查看文件,除非通过NTFS权限设置来限制某些用户或组的访问权限。
在设置Web站点或虚拟目录的安全属性时,Web服务器将提示用户是否要重新设置单独的目录和文件属性的权限。如果选择重新设置这些属性,以前设置的安全属性将由新的设置替代。
设置Web服务器权限:在Internet信息服务器管理单元中,选择Web站点、虚拟目录或文件,并打开其属性设置对话框。在“主目录”、“虚拟目录”或“文件”属性设置对话框中,可以设置“读取”、“写入”、“脚本资源访问”、“目录浏览”、“日志访问”和“索引此资源”等多种访问权限。
3.SSL安全机制(www.xing528.com)
IIS的身份认证除匿名访问、基本验证和Windows NT请求/响应方式外,还有一种安全性更高的认证:通过加密封套接字协议层(Security Socket Layer,SSL)安全机制使用数字证书。SSL位于HTTP层和TCP层之间,建立客户端与服务器之间的加密通信,确保所传递信息的安全。SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器之间建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,然后用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器。而会话密钥只有在服务器端用私人密钥才能解密,这样,客户端和服务器端就建立了一个唯一的安全通道。具体步骤如下。
1)启动ISM并打开Web站点的属性对话框。
2)选择“目录安全性”选项卡。
3)单击“密钥管理器”按钮。
4)通过密钥管理器生成密钥对文件和请求文件。
5)从身份认证权限中申请一个证书。
6)通过密钥管理器在服务器上安装证书。
7)激活Web站点的SSL安全性。
建立了SSL安全机制后,只有SSL允许的客户才能与SSL允许的Web站点进行通信,并且在使用URL资源定位器时,输入“https://”,而不是“http://”。SSL安全机制的实现将增大系统开销,增加了服务器CPU的额外负担,从而降低了系统性能,在规划时建议仅考虑为高敏感度的Web目录使用。另外,SSL客户端需要IE 3.0及以上版本才能使用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。