网络管理员(IIS).ppt

网络管理员培训,IIS服务器配置,M,常用的Web服务器软件,PWS 适用于Windows95/98/me IIS 适用于Windows2000/2003/xp/Vista等 其它 Apache等,M,IIS简介,IIS是Internet Information Server的简称。 IIS作为当今流行的Web服务器之一，提供了强大的Internet和Intranet服务功能，如何加强IIS的安全机制，建立一个高安全性能的Web服务器，已成为IIS设置中不可忽视的重要组成部分。 IIS通过超文本传输协议（HTTP）传输信息，还可配置IIS以提供文件传输协议（FTP）和其他服务，如SMTP服务等。 用于网页浏览、文件传输、邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。,M,IIS版本,IIS版本对应的windows版本信息 2000 iis版本是5.0 xp 版本是5.1 2003版本是6.0 2008版本是7.0,M,IIS的添加,IIS添加 请进入“控制面板” 依次选“添加/删除程序添加/删除Windows组件” 将“Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示操作即可完成IIS组件的添加。 用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。,M,IIS添加,M,IIS的运行,当IIS添加成功之后 再进入“开始程序管理工具Internet服务管理器”以打开IIS管理器 对于有“已停止”字样的服务 在其上单击右键，选“启动”来开启。,M,IIS运行,M,IIS之Web服务器（建立第一个Web站点）,Web站点 本机的IP地址为 网页放在D:Wy目录下 网站的首页文件名为Index.htm 现在想根据这些建立好自己的Web服务器。 对于此Web站点，我们可以用现有的“默认Web站点”来做相应的修改后，就可以轻松实现。请先在“默认Web站点”上单击右键，选“属性”，以进入名为“默认Web站点属性”设置界面。,M,第一个Web站点,修改绑定的IP地址 转到“Web站点”窗口 再在“IP地址”后的下拉菜单中选择或输入所需用到的本机IP地址“” 修改主目录 转到“主目录”窗口 再在“本地路径”输入（或用“浏览”按钮选择）好自己网页所在的“D:Wy”目录 添加首页文件名 转到“文档”窗口 再按“添加”按钮，根据提示在“默认文档名”后输入自己网页的首页文件名“Index.htm”。,M,第一个Web站点,添加虚拟目录 比如你的主目录在“D:Wy”下，而你想输入“/test”的格式就可调出“E:All”中的网页文件，这里面的“test”就是虚拟目录。 在“默认Web站点”上单击右键，选“新建虚拟目录”，依次在“别名”处输入“test”，在“目录”处输入 “E:All”后再按提示操作即可添加成功。 效果的测试 打开IE浏览器，在地址栏输入“”之后再按回车键，此时就能够调出你自己网页的首页，则说明设置成功！,M,多个地址对应多个Web站点,多个IP对应多个Web站点 如果本机已绑定了多个IP地址，想利用不同的IP地址得出不同的Web页面 只需在“默认Web站点”处单击右键，选“新建站点”，然后根据提示在“说明”处输入任意用于说明它的内容（比如为“我的第二个Web站点”）、在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可； 当建立好此Web站点之后，再按上步的方法进行相应设置。,M,一个IP地址对应多个Web站点,建立好所有的Web站点后 对于做虚拟主机，可以通过给各Web站点设不同的端口号来实现，比如给一个Web站点设为80，一个设为 81，一个设为82 则对于端口号是80的Web站点，访问格式仍然直接是IP地址就可以了 而对于绑定其他端口号的Web站点，访问时必须在IP地址后面加上相应的端口号，也即使用如“:81”的格式。,M,对IIS服务的远程管理,1在“Web站点”上单击右键，选“属性”，再进入“Web站点”窗口，选择好“IP地址”。 2转到“目录安全性”窗口，单击“IP地址及域名限制”下的“编辑”按钮，点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理；最后单击“确定”按钮。 3则在任意计算机的浏览器中输入如“:3598”（3598为其端口号）的格式后，将会出现一个密码询问窗口，输入管理员帐号名（Administrator）和相应密码之后就可登录成功，现在就可以在浏览器中对IIS进行远程管理了！在这里可以管理的范围主要包括对Web站点和 FTP站点进行的新建、修改、启动、停止和删除等操作。,M,常见问题,我设置好了一个Web服务器，但是当我访问网页时，却出现密码提示窗口。这是为什么？ A：访问Web站点时，出现密码提示窗口，一般来说有以下原因，请逐个去进行检查： 1所访问的网页文件本身加了密。比如“默认Web站点”原主目录“E:Inetpubwwwroot”下的首页文件“iisstart.asp”访问时就需要密码。 2没有设置允许匿名访问或作了不应该的改动.如图4所示,首先应确保已勾选中了“匿名访问”这一项；并且其下“编辑”中“匿名用户帐号”中“用户名” 一项应为“IUSR_NODISK”（其中“NODISK”为计算机名）的格式；另外，还需要已勾选中“允许IIS控制密码”一项。 3、你的目标目录被限制了访问权限。此项仅当该目录位于NTFS格式分区中时才可能出现。请在其上单击右键，选“属性”，再进入“安全”窗口，看列表中是不是默认的允许“Everyone”组完全控制的状态，如不是，请改回。,M,M,M,常见问题,在所涉及到的网址中，有的加了“http:/”，有的没加，这意味着什么呢？ A：没有加“http:/”部分的网址，说明其可加可不加； 而加了“http:/”部分的，则说明它必不可少！ 对于带端口号的网址则必须加； 否则可省略。,M,用IIS建立高安全性Web服务器,构造一个安全系统 IIS安全安装 IIS的安全配置,M,构造一个安全系统,要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全： 1. 使用NTFS文件系统，以便对文件和目录进行管理。 2. 关闭默认共享 打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。,M,构造一个安全系统,3. 修改共享权限 建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。 4. 为系统管理员账号更名，避免非法用户攻击。 鼠标右击我的电脑管理启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号(Administrator)”选择“重命名”，将管理员账号修改为一个很普通的用户名。 5. 禁用TCP/IP 上的NetBIOS 鼠标右击桌面上网络邻居 属性 本地连接 属性，打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级WINS，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。,M,构造一个安全系统,6. TCP/IP上对进站连接进行控制 鼠标右击桌面上网络邻居 属性 本地连接 属性，打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级选项， 在列表中单击选中“TCP/IP筛选”选项。单击属性按钮，选择“只允许”，再单击添加按钮，只填入80端口。 7. 修改注册表，减小拒绝服务攻击的风险。 打开注册表：将HKLMSystem CurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。 保证IIS自身的安全性,M,IIS安全安装,要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。 1. 不要将IIS安装在系统分区上。 2. 修改IIS的安装默认路径。 3. 打上Windows和IIS的最新补丁。,M,IIS的安全配置,1. 删除不必要的虚拟目录 IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。 2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。,M,IIS的安全配置,3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。,M,IIS的安全配置,4. 删除不必要的应用程序映射 ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。 在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。 如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。,M,IIS的安全配置,5. 保护日志安全 日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径