第10章创建与管理WWW服务.ppt

网络操作系统 WindowsServer2003管理与配置 第10章创建与管理WWW服务 IIS简介配置WWW服务器虚拟目录建立新网站网站的安全性远程管理网站 本章要点 10 1IIS简介 微软WindowsServer2003家族的InternetInformationServer IIS Internet信息服务 在Internet Intranet或Extranet上提供了集成 可靠 可伸缩 安全和可管理的Web服务器功能 为动态网络应用程序创建强大的通信平台的工具 各种规模的组织都使用IIS来组织和管理Internet或其Intranet上的网页 组织和管理FTP站点 使用网络新闻传输协议 NNTP 和简单邮件传输协议 SMTP 路由新闻或邮件 IIS6 0是目前最新的版本 支持用于开发 实现和管理Web应用程序的最新Web标准 如MicrosoftASP NET XML和简单对象访问协议SOAP IIS6 0包括一些面向组织 IT专家和Web管理员的新功能 它们旨在为单台IIS服务器或多台服务器上可能拥有的数千个网站实现性能 可靠性和安全性目标 10 1IIS简介 高度的可靠性IIS6 0中新的请求处理结构 提供一个应用程序隔离环境 使单个Web应用程序能够在其各自的 自我包含的工作进程中运行 因此它比早期版本更可靠 增强的安全性IIS6 0包括各种可确保网站和FTP站点内容 以及通过站点传输的数据的完整性的安全性功能和技术 IIS安全功能包括下列与安全有关的任务 身份验证 访问控制 加密 证书和审核 性能的改进新一代应用程序对Web服务器的性能和可伸缩性提出了更高的要求 如果增加HTTP请求的处理速度 并允许在一个服务器上运行更多的应用程序和站点 则可以直接减少宿主站点所需的服务器 IIS6 0的新功能 10 1IIS简介 支持Web应用程序技术WindowsServer2003家族通过ASP NET和IIS集成 改善了开发人员体验 MicrosoftASP NET能识别大多数ASP代码 同时能为创建可作为Microsoft NETFramework的一部分工作的企业级Web应用程序提供更多的功能 使用ASP NET允许充分利用公共语言运行库的功能 如类型安全 继承 语言互操作性和版本控制 IIS6 0还为最新的Web标准 包括XML 简单对象访问协议和Internet协议版本6 0提供支持 功能强大的管理工具为了满足各类客户的需要 IIS提供各种管理功能和管理工具 管理员可以用IIS管理器 管理脚本或通过直接编辑IIS纯文本配置文件 来配置运行IIS6 0的服务器 管理员还可以远程管理IIS服务器和站点 支持最新的Web标准IIS6 0为最新的Web标准 包括HTTP1 1 TCP IP FTP SMTP NNTP和PICS分级 提供支持 IIS6 0的新功能 10 1IIS简介 WWW服务 万维网发布服务 通过将客户端HTTP请求 连接到在IIS中运行的网站上 万维网发布服务向IIS最终用户提供Web发布 WWW服务管理IIS核心组件 这些组件处理HTTP请求并配置和管理Web应用程序 WWW服务作为iisw3adm dll来运行 并宿主于svchost exe命令中 FTP服务 文件传输协议服务 通过此服务IIS提供对管理和处理文件的完全支持 该服务使用传输控制协议 TCP 这就确保了文件传输的完成和数据传输的准确 该版本的FTP支持在站点级别上隔离用户 以帮助管理员保护其Internet站点的安全 并使之商业化 FTP服务作为ftpsvc dll来运行 并宿主于inetinfo exe命令中 IIS6 0的服务 10 1IIS简介 SMTP服务 简单邮件传输协议服务 通过此服务 IIS能够发送和接收电子邮件 例如 为确认用户提交表格成功 可以对服务器进行编程以自动发送邮件来响应事件 也可以使用SMTP服务以接收来自网站客户反馈的消息 SMTP不支持完整的电子邮件服务 要提供完整的电子邮件服务 可使用MicrosoftExchangeServer SMTP服务作为smtpsvc dll来运行 并宿主于inetinfo exe命令中 NNTP服务 网络新闻传输协议 可以使用此服务主控单个计算机上的NNTP本地讨论组 因为该功能完全符合NNTP协议 所以用户可以使用任何新闻阅读客户端程序 加入新闻组进行讨论 通过inetsrv文件夹中的Rfeed脚本 IISNNTP服务现在支持新闻流 NNTP服务不支持复制 要利用新闻流或在多个计算机间复制新闻组 可使用MicrosoftExchangeServer NNTP服务作为nntpsvc dll运行 并宿主于inetinfo exe命令中 IIS6 0的服务 10 1IIS简介 IIS管理服务IIS管理服务管理IIS配置数据库 并为WWW服务 FTP服务 SMTP服务和NNTP服务更新MicrosoftWindows操作系统注册表 配置数据库用来保存IIS的各种配置参数 IIS管理服务对其它应用程序公开配置数据库 这些应用程序包括IIS核心组件 在IIS上建立的应用程序 以及独立于IIS的第三方应用程序 如管理或监视工具 IIS管理服务作为iisadmin dll运行 并宿主于inetinfo exe命令中 IIS6 0的服务 10 1IIS简介 安装好WindowsServer2003之后 马上就可以看到IIS6 0的与以前版本的不同之处 除了WindowsServer2003Web版之外 其余版本在安装的时候 默认不再安装IIS 这样做是为了更好地预防恶意用户和攻击者的攻击 而且 当最初安装IIS6 0时 该服务在高度安全和 锁定 模式下安装 同时IIS6 0也只为静态内容提供服务 其它为动态内容提供服务的功能 即ASP ASP NET 在服务器端的包含文件 WebDAV发布和FrontPageServerExtensions等功能只有在启用时才工作 在WindowsServer2003中 安装IIS6 0有三种途径 1 利用 管理您的服务器 向导 2 控制面板 添加或删除程序 的 添加 删除Windows组件 功能 3 执行无人值守安装 安装IIS6 0 10 1IIS简介 在WindowsServer2003服务器中安装IIS6 0之前 请先确认以下几个准备事项 为IIS服务器指定IP地址 用户访问网络一般都使用域名 因此 需在IIS服务器上安装DNS 并将DNS域名与IP地址注册到DNS服务器内 IIS网站的网页最好保存在NTFS分区内以便通过NTFS权限来增加网页的安全性 要注意的是 IIS6 0不能在WindowsXP 2000或NT上运行 安装IIS6 0 10 1IIS简介 我们以第二种方式介绍IIS6 0的安装 具体的操作步骤如下 1 选择 开始 控制面板 更改或删除程序 添加 删除Windows组件 选项 弹出 Windows组件向导 对话框 在组件列表中 选中 应用程序服务器 组件 如图10 1所示 2 单击 详细信息 按钮 弹出如图10 2所示的对话框 选中 Internet信息服务 IIS 组件 安装IIS6 0 10 1IIS简介 图10 1选中 应用程序服务器 组件 图10 2 Internet信息服务 IIS 组件 10 1IIS简介 3 单击 详细信息 按钮 弹出如图10 3所示的对话框 选择的子组件包括 Internet信息服务管理器 万维网服务 和 文件传输协议 FTP 服务 4 在 万维网服务 可选组件中包括重要的子组件 如ActiveServerPages和远程管理 HTML 要查看和选择这些子组件 选中 万维网服务 复选框 然后单击 详细信息 按钮即可 如图10 4所示 5 单击 确定 按钮 然后单击 下一步 按钮 IIS6 0开始安装 安装结束后在 完成Windows组件向导 对话框中 单击 完成 按钮即可 安装IIS6 0 10 1IIS简介 图10 3选择 Internet信息服务 IIS 子组件 图10 4 万维网服务 的子组件 10 2配置WWW服务器 主目录是指保存Web网站的文件夹 当用户访问该网站时 Web服务器会自动将该文件夹中的默认网页显示给客户端用户 任何一个网站都需要有主目录作为默认目录 当客户端请求链接时 就会将主目录中的网页等内容显示给用户 默认的网站主目录是LocalDrive Inetpub wwwroot LocalDrive就是安装WindowsServer2003的磁盘驱动器 可以使用IIS管理器或通过直接编辑MetaBase xml文件来更改网站的主目录 当用户访问默认网站时 WWW服务器会自动将其主目录中的默认网页传送给用户的浏览器 但在实际应用中通常不采用该默认文件夹 因为将数据文件和操作系统放在同一磁盘分区中 会失去安全保障和系统安装 恢复不太方便等问题 并且当保存大量音视频文件时 可能造成磁盘或分区的空间不足 所以最好将作为数据文件的Web主目录保存在其它硬盘或非系统分区中 主目录与默认文件 10 2配置WWW服务器 1 选择 Internet信息服务管理器 网站 默认网站 选项 右击 在弹出的快捷菜单中 选择 属性 命令 弹出如图10 5所示的 默认网站属性 对话框 主目录的设置 图10 5 默认网站属性 对话框 10 2配置WWW服务器 2 在 默认网站属性 对话框中选择 主目录 选项卡 如图12 6所示 选择主目录所在的位置 主目录的设置 图10 6 主目录 选项卡 此计算机上的目录 单选按钮 系统默认的设置在LocalDrive Inetpub wwwroot文件夹内 可以单击 浏览 按钮选择其它的文件夹 可先在本地计算机上设置好主目录的夹和内容 然后在 本地路径 文本框中设置主目录为该文件夹的路径 10 2配置WWW服务器 另一台计算机上的共享 单选按钮 也就是将主目录指定到另外一台计算机内的共享文件夹 如图10 7所示 当然该文件夹内必须有网页存在 同时必须指定一个有权访问此文件夹的用户名和密码 主目录的设置 图10 7主目录网络目录 10 2配置WWW服务器 重定向到URL 单选按钮 重定向用来将当前网站的地址指向其它地址 如图10 8所示 将网站定向到 主目录的设置 图10 8主目录重新定向 10 2配置WWW服务器 通常情况下 Web网站都需要到少一个默认文档 当在IE浏览器中使用IP地址或域名访问时 Web服务器会将默认文档回应给浏览器 并显示内容 当用户浏览网页时没有指定文档名时 例如输入的是http 192 168 1 7 而不是http 192 168 1 7 default btm IIS服务器会把事先设定的默认文档返回给用户 这个文档就称为默认页面 利用IIS6 0搭建Web网站时 默认文档的文件名有五种 分别为 default htm default asp index htm iisstar htm和default aspx 如图10 9所示 这也是一般网站中最常用的主页名 当然也可以由用户自定义默认网页文件 默认网页 10 2配置WWW服务器 图10 9 文档 选项卡 10 2配置WWW服务器 在访问时 系统会自动按顺序由上到下依次查找与之相对应的文件名 当客户浏览http 192 168 1 7时 IIS服务器会先读取主目录下的default htm 排列在列表中最上面的文件 若在主目录内没有该文件 则依次读取后面的文件 default asp等 由于这里系统默认的主目录LocalDrive Inetpub wwwroot文件夹内 只有一个文件名为iisstart htm的网页 因此客户浏览http 192 168 1 7时 IIS服务器会将此网页传递给用户的浏览器 如图10 10所示 若在主目录中找不到列表中的任何一个默认文件 则用户的浏览器画面会出现如图10 11所示的消息 默认网页 10 2配置WWW服务器 图10 10默认网页 iisstart htm 图10 11找不到默认页面浏览器显示的内容 10 2配置WWW服务器 IIS6 0采用默认的主目录 但是为了便于理解和方便学习 我们在D盘新建一个Web文件夹 存放了一个已经事先设计好的网站 主页文件名为index asp的网页 添加主页文件的具体的操作步骤如下 1 选择 Internet信息服务管理器 网站 默认网站 选项 右击 在弹出的快捷菜单中 选择 属性 命令 在弹出的 默认网站属性 对话框中 选择 主目录 选项卡 在 本地路径 文本框中 设置主目录文件夹的路径为 d web 2 选择 文档 选项卡 然后单击 添加 按钮 在弹出的 添加内容页 对话框中 输入要添加的文档名称 default asp 单击 确定 按钮后即可将其添加到列表框中 3 在 启用默认内容文档 列表框中 选择刚才添加的文档 利用 上移 按钮将其调整到最上方 单击 确定 按钮即可 效果如图10 12所示 添加主页文件 10 2配置WWW服务器 图10 12用浏览器访问网站显示的内容 10 3虚拟目录 在Internet上浏览网页时 经常会遇到一个网站下面有许多子目录的情况 每个Internet服务可以从多个目录中发布 通过以通用命名约定 UNC 名 用户名及用于访问权限的密码指定目录 可将每个目录定位在本地驱动器或网络上 服务器可拥有一个宿主目录和任意数量的其它发布目录 其它发布目录称为虚拟目录 虚拟目录只是一个文件夹 并不真正位于IIS宿主文件夹内 LocalDrive Inetpub wwwroot 但在访问Web站点的用户看来 则如同位于IIS服务的宿主文件夹一样 虚拟目录具有以下重要意义 便于扩展 随着时间的增长 网站内容也会越来越多 而磁盘的有效空间却有减不增 最终硬盘空间被消耗殆尽 虚拟目录可以与原有网站文件不在同一个文件夹不在同一磁盘 甚至可以不在同一计算机 但在用户访问网站时 还觉得像在同一个文件夹中一样 添加主页文件 10 3虚拟目录 增删灵活 虚拟目录可以根据需要随时添加到虚拟Web网站 或者从网站中移除 因此 它具有非常大的灵活性 同时 在添加或移除虚拟目录时 不会对Web网站的运行造成任何影响 易于配置 虚拟目录使用与宿主网站相同的IP地址 端口号和主机头名 因此不会与其标识产生冲突 同时 在创建虚拟目录时 将自动继承宿主网站的配置 并且对宿主网站配置时 也将直接传递至虚拟目录 因此 Web网站 包括虚拟目录 配置更加简单 添加主页文件 10 3虚拟目录 在D盘下新建一个文件夹xiongyin 并且在该文件夹内复制该网站的所有文件 主页文件名index htm 创建虚拟目录的步骤如下 1 在 Internet信息服务 IIS 管理器 窗口中 展开 ycserver 本地计算机 展开 网站 展开要添加虚拟目录的 默认网站 右击要在其中创建虚拟目录的网站或文件 选择 新建 虚拟目录 命令 显示虚拟目录创建向导 利用该向导便可为该虚拟网站创建不同的虚拟目录 2 弹出 虚拟目录创建别名 窗口 在 别名 文本框中输人别名 xiongyin 用户用该别名来连接虚拟目录 单击 下一步 按钮 如图10 13所示 需要注意的是 该别名必须唯一 不能与其它网站或虚拟目录重名 3 弹出 网站内容目录 窗口 如图10 14所示 在 路径 文本框中键人虚拟目录所在的物理目录 也可以使用 浏览 按钮查找路径 单击 下一步 按钮 这里既可使用本地计算机上的路径 也可以使用网络中的文件夹路径 使用虚拟目录创建向导 10 3虚拟目录 图10 14 网站内容和目录 窗口 图10 13 虚拟目录别名 窗口 10 3虚拟目录 4 弹出 虚拟目录访问权限 窗口 选择该虚拟目录要使用的访问权限 如图10 15所示 默认选中 读取 和 运行脚本 如ASP 两种权限 使该网站可以执行ASP程序 5 单击 下一步 按钮 显示 已完成虚拟目录创建向导 窗口 单击 完成 按钮 在当前选定的级别下面将会创建虚拟目录 如图10 16所示 虚拟目录用一个齿轮图标表示 6 在浏览器地址栏中输入http 192 168 1 7 xiongyin来测试 使用虚拟目录创建向导 10 3虚拟目录 图10 16成功创建虚拟目录 图10 15 虚拟目录访问权限 窗口 10 3虚拟目录 使用Web共享功能 将普通文件夹设为虚拟目录 也是很常用的一种方法 而且不需要打开IIS管理器 特别方便 具体的操作步骤如下 1 在Windows资源管理器中 选择要设为虚拟目录的文件夹xiongyin 右击并选择快捷菜单中的 属性 项 打开 xiongyin属性 窗口 选择 Web共享 选项卡 在 共享位置 下位列表中选择要共享到的虚拟目录 默认值为 默认网站 如图10 17所示 2 单击 共享文件夹 单选项 会弹出如图10 18所示的 编辑别名 窗口 在 别名 文本框中设置好该目录别名 在 访问权限 及 应用程序权限 选项区域中选择该虚拟目录的权限 使用Web共享创建 10 3虚拟目录 3 单击 确定 按钮 将该别名添加到 xiongyin属性 窗口中 别名 列表框中 再次单击 添加按钮 可将该文件夹以多个别名进行添加 单击 确定 按钮 将该虚拟目录添加到虚拟网站中 重复操作 可以将该文件夹以多个不同的别名添加到虚拟网站中 4 所有添加的虚拟目录 都会显示IIS管理器中相应的虚拟网站目录树下 如果要删除了一个虚拟目录 只需选择好虚拟目录后 右击并选择快捷菜单中的 删除 选项即可 使用Web共享创建 10 3虚拟目录 图10 18 编辑别名 窗口 图10 17选择要共享到的虚拟网站 10 4虚拟服务器技术 使用IIS6 0可以很方便地架设Web网站 虽然在安装IIS时系统 已经建立了一个默认Web网站 直接将网站内容放到其主目录或虚拟目录中即可直接使用 但最好还是重新设置 以保证网站的安全 如果需要还可在一台服务器上建立多个虚拟主机 来实现多个Web网站 这样可以节约硬件资源 节省空间 降低能源成本 虚拟主机的概念对于ISP来讲非常有用 因为虽然一个组织可以将自己的网页挂在具备其它域名的服务器上的下级网址上 但使用独立的域名和根网址更为正式 易为众人接受 传统上 必须自己设立一台服务器才能达到单独域名的目的 然而这需要维护一个单独的服务器 很多小单位缺乏足够的维护能力 所以更为合适的方式是租用别人维护的服务器 服务器为多个域名提供Web服务 而且不同的服务互不干扰 对外就表现为多个不同的服务器 10 4虚拟服务器技术 使用IIS6 0的虚拟主机技术 通过分配TCP端口 IP地址和主机头名 可以在一台服务器上建立多个虚拟Web网站 每个网站都具有唯一的由端口号 IP地址和主机头名三部分组成的网站标识 用来接收来自客户端的请求 不同的Web网站可以提供不同的Web服务 而且每一个虚拟主机和一台独立的主机完全一样 虚拟技术将一个物理主机分割成多个逻辑上的虚拟主机使用 显然能够节省经费 对于访问量较小的网站来说比较经济实用 但由于这些虚拟主机共享这台服务器的硬件资源和带宽 在访问量较大时就容易出现资源不够用的情况 使用不同的虚拟主机技术 要根据现有的条件及要求 如是否有多个IP地址等 一般来说 架设多个Web网站可以通过以下几种方式 10 4虚拟服务器技术 如果要在一台Web服务器上创建多个网站 为了使每个网站域名都能对应于独立的IP地址 一般都使用多IP地址来实现 这种方案称为IP虚拟主机技术 也是比较传统的解决方案 当然 为了使用户在浏览器中可使用不同的域名来访问不同的Web网站 必须将主机名及其对应的IP地址添加到域名解析系统 DNS 如果使用此方法在Internet上维护多个网站 也需要通过InterNIC注册域名 WindowsServer2003系统支持在一台服务器上安装多块网卡 并且一块网卡还可以绑定多个IP地址 将这些IP分配给不同的虚拟网站 就可以达到一台服务器多个IP地址来架设多个Web网站的目的 使用不同的IP地址架设多个Web网站 10 4虚拟服务器技术 例如 要在一台服务器上分别创建两个网站 和 IP地址分别为192 168 1 17和192 168 1 27 需要在服务器网卡中添加这两个地址 操作步骤为 1 从 控制面板 中打开 网络连接 窗口 右击要添加IP地址的网卡的本地连接 选择快捷菜单中的 属性 项 在 Internet协议 TCP IP 属性 窗口中 单击 高级 按钮 显示 高级TCP IP设置 窗口 单击 添加 按钮将这两个IP地址添加到 IP地址 列表框中 如图10 19所示 2 在DNS控制台中 需要使用 新建区域向导 新建两个域 域名称分别为和 并创建相应主机 对应IP地址分别为192 168 1 17和192 168 1 27 使不同DNS域名与相应的IP地址对应起来 如图10 20所示 这样 Internet上的用户才能够使用不同的域名来访问不同的网站 使用不同的IP地址架设多个Web网站 10 4虚拟服务器技术 图10 19添加网卡地址 图10 20添加DNS域名 10 4虚拟服务器技术 3 在IIS管理器中右击 网站 并依次选择 新建 网站 选项 打开 网站创建向导 新建一个网站 在显示的窗口 网站IP地址 下拉列表中 分别为网站指定二个的IP地址 如图10 21所示 当这两个网站创建完成以后 再分别为不同的网站进行配置 如指定主目录 设定要发布的内容等 这样在一台Web服务器上就可以创建多个网站了 使用不同的IP地址架设多个Web网站 图10 21 IP地址和端口设置 10 4虚拟服务器技术 IP地址资源越来越紧张 有时需要在Web服务器上架设多个网站 但计算机却只有一个IP地址 那么使用不同的端口号也可以达到架设多个网站的目的 其实用户访问所有的网站都需要使用相应的TCP端口 Web服务器默认的TCP端口为80 在用户访问时不需要输入 但如果网站的TCP端口不为80 在输入网址时就必须添加上端口号 而且用户在上网时也会经常遇到必须使用端口号才能访问的网站 利用Web服务的这个特点 可以架设多个网站 每个网站均使用不同的端口号 这种方式创建的网站 其域名或IP地址部分完全相同 仅端口号不同 使用不同端口号架设多个Web网站 10 4虚拟服务器技术 例如 Web服务器中原来的网站为 使用的IP地址为192 168 1 27 现在要再架设一个网站 IP地址仍使用192 168 1 27 此时可在IIS管理器中 将新网站的TCP端口设为其它端口 如8000 如图10 22所示 使用不同端口号架设多个Web网站 图10 22设置端口号 10 4虚拟服务器技术 使用主机头创建的域名也称二级域名 使用主机头来搭建多个具有不同域名的Web网站 这种方案更为经济实用 可以充分利用有限的IP地址资源 来为更多的客户提供虚拟主机服务 例如以Web服务器上利用主机头创建和两个网站 其IP地址均为192 168 1 7 具体的操作步骤为 1 为了让用户能够通过Internet找到和网站的IP地址 需将其IP地址注册到DNS服务器 在DNS服务器中 新建两个主机 分别为 hb 和 gd IP地址均为192 168 1 7 如图10 23所示 2 打开IIS管理器窗口 使用 网站创建向导 创建两个网站 当显示 IP地址和端口设置 窗口时 在 此网站的主机头 文本框中 输入新建网站的域名 如和 如图10 24示 继续单击 下一步 按钮 进行其它配置 直至创建完成 使用不同的主机头名架设多个Web网站 10 4虚拟服务器技术 图10 23新建主机 图10 24 IP地址和端口设置 窗口 10 4虚拟服务器技术 3 如果要修改网站的主机头 也可以在已创建好的网站中 右击并选择快捷菜单中 属性 选项 在 网站 选项卡中单击 IP地址 右侧 高级 按钮 显示 高级网站标识 窗口 如图10 25所示 4 选中主机头名 单击 编辑 按钮 显示 添加 编辑网站标识 窗口 即可修改网站的主机头值 如图10 26所示 使用不同的主机头名架设多个Web网站 10 4虚拟服务器技术 图10 25 高级网站标识 窗口 图10 26 添加 编辑网站标识 窗口 10 5网站的安全性 网站的安全是每个网络管理员必须关心的事 必须通过各种方式和手段来降低入侵者攻击的机会 如果Web服务器采用了正确的安全措施 就可以降低或消除来自怀有恶意的个人以及意外获准访问限制信息或无意中更改重要文件的用户的各种安全威胁 在安装完IIS后 系统默认只支持静态的网页 可以自行启动ActiveServerPages ASP NET WebDAVpublishing FrontPageServerExtensions等服务扩展 以便让IIS支持动态网页 启动这些扩展服务 其具体的操作步骤是 在 Internet信息服务 IIS 管理器 窗口中 展开 ycserver 本地计算机 单击 Web服务扩展 如图10 27所示 选中要启动或停止的服务 右击 在弹出的快捷菜单中选择 允许 或 停止 命令 也可以直接单击 允许 或 停止 按钮 启动和停用动态属性 10 5网站的安全性 除了画面中所显示的服务外 其它的WebDAVpubIIShing FrontPageServerExtensions 远程管理等服务 也可以通过添加Windows组件来安装 然后再按照上面的方法启动 启动和停用动态属性 图10 27启动或停止动态属性 10 5网站的安全性 在许多网站中 大部分WWW访问都是匿名的 客户端请求时不需要使用用户名和密码 只有这样才可以使所有用户都能访问该网站 但对安全要求高的网站 则要对用户进行身份验证 IIS6 0提供匿名访问 基本验证 摘要式验证 高级摘要式验证 集成的Windows验证以及证书等多种身份验证方法 一般在禁止匿名访问时 才使用其它的验证方法 可以根据网站对安全的具体要求 来选择适当的验证方法 IIS提供与Windows完全集成的安全功能 可以针对网站 文件夹 文件来设置验证方法 验证用户的身份 10 5网站的安全性 下面以 默认网站 为例 介绍如何设置验证步骤 具体的操作步骤如下 1 选择 IIS管理器 网站 默认网站 选项 右击 在出现的快捷菜单中选择 属性 命令 在打开的 默认网站属性 对话框中选择 目录安全性 标签 如图10 28所示 2 单击 身份验证和访问控制 选项区域的 编辑 按钮 弹出 身份验证方法 对话框 如图10 29所示 验证用户的身份 10 5网站的安全性 图10 28 默认网站属性 对话框 图10 29 身份验证方法 对话框 10 5网站的安全性 通常情况下 绝大多数Web网站都允许匿名访问 即Web客户无须输入用户名和密码 即可访问Web网站 匿名访问其实也是需要身份验证的 称为匿名验证 在安装IIS时 系统会自动建立一个用来代表匿名账户的用户账户 当用户试图连接到网站时 Web服务器将连接分配给Windows用户账户IUSR computername 此处computername是运行IIS所在的计算机的名称 默认情况下 IUSR computername账户包含在Windows用户组Guests中 该组具有安全限制 由NTFS权限强制使用 指出了访问级别和可用于公共用户的内容类型 验证用户的身份 匿名身份验证 10 5网站的安全性 当允许匿名访问时 就向用户返回网页页面 如果禁止匿名访问 IIS将尝试使用其它验证方法 对于一般的 非敏感的企业信息发布 建议采用匿名访问方法 如果启用了匿名验证 则IIS始终尝试先使用匿名验证对用户进行验证 即使启用了其它验证方法也是如此 可以在Web服务器的服务级别 或单独虚拟目录和文件级别 更改用于IIS管理器中匿名验证的账户 在图10 29中 选中 启用匿名访问 复选框 单击 确定 按钮即可 只要 启用匿名访问 复选框被选中 无论其它验证方式被选中与否 都可以以匿名方式访问该Web网站 验证用户的身份 匿名身份验证 10 5网站的安全性 基本身份验证方法要求提供用户名和密码 提供很低级别的安全性 最适于给需要很少保密性的信息授予访问权限 由于密码在网络上是以明文 未加密的文本 的形式发送的 这些密码很容易被截取 因此可以认为安全性很低 为了测试基本身份验证的功能 先将匿名验证方法停用 因为IIS会先用匿名方法来验证用户的身份 实现基本身份验证 具体的操作步骤如下 1 选中图10 29中的 基本身份验证 以明文形式发送密码 复选框 单击 确定 按钮 弹出如图10 30所示的警告信息的对话框 警告所传送的密码将不会被加密 除非配置SSL安全措施 验证用户的身份 基本身份验证 10 5网站的安全性 图10 30IIS管理器警告信息 图10 31 身份验证方法 对话框 10 5网站的安全性 2 单击 是 按钮 然后按照图10 31输入下面两项信息 默认域 默认域 文本框用来设置用户账户所隶属的域 然后利用ActiveDirectory数据库来检查 在 默认域 文本框中 输入要使用的域名 或者单击 选择 按钮以浏览新的默认登录域 如果已经填写了 默认域 文本框 则将该名称用作默认域 如果 默认域 文本框保留空白 则IIS将运行IIS的计算机的域用作默认域 领域 如果设置了 领域 文本框的属性 那么当使用基本身份验证时 其值将出现在客户的登录对话框中 仅出于参考目的将 领域 属性值发送到客户 在使用基本身份验证时 不能使用该值对客户进行身份验证 验证用户的身份 基本身份验证 10 5网站的安全性 3 测试 当用户利用浏览器访问启用基本身份验证的网站时 会出现如图10 32所示的对话框 此时用户必须输入有效的用户名和密码才可以访问网站 可以看到 在 领域 文本框输入的信息 会显示在身份验证的测试对话框的左上角 验证用户的身份 基本身份验证 图10 32启动基本身份验证的测试对话框 10 5网站的安全性 摘要式身份验证在通过网络发送用户凭据方面提高了安全性 将凭据作为MD5哈希或消息摘要在网络上传送 Windows域服务器要求在IIS服务器上启用摘要式身份验证之前 必须满足以下最低要求 只有域管理员才能够验证是否达到域控制器要求 所有访问使用摘要式身份验证保护的资源的客户端使用InternetExplorer5 0或更高版本 用户和运行IIS的服务器必须是同一域的成员 或者由同一域信任 用户必须将有效的Windows用户账户存储在域控制器上的ActiveDirectory中 域必须拥有运行Windows2000或更高版本的域控制器 摘要式身份验证依赖于HTTP1 1协议 因为摘要式身份验证需要与HTTP1 1兼容 所以并非所有的浏览器均支持该验证 验证用户的身份 Windows域服务器的摘要式身份验证 10 5网站的安全性 在Windows域服务器中使用摘要式身份验证 具体的操作步骤如下 1 选中图10 29中的 Windows域服务器的摘要式身份验证 复选框 弹出如图所示10 33的警告信息 2 单击 是 按钮 在 领域 文本框中键入领域的名称 或者单击 选择 按钮以浏览域 单击 确定 按钮 如图10 34所示 3 测试 当用户利用浏览器访问启用摘要或身份验证的网站时 出现如图10 35所示的对话框 验证用户的身份 Windows域服务器的摘要式身份验证 图10 33确认是否采用摘要式身份验证 10 5网站的安全性 图10 35Windows域服务器的摘要式身份验证登录窗口 图10 34Windows域服务器的摘要式身份验证 10 5网站的安全性 集成Windows身份验证 以前称为NTLM或WindowsNT质询 响应验证 是一种安全的验证形式 因为在通过网络发送用户名和密码之前 先将它们进行哈希计算 当启用集成Windows身份验证时 用户的浏览器通过与Web服务器进行密码交换 包括哈希 来证明其知晓密码 集成Windows身份验证是WindowsServer2003家族成员中使用的默认验证方法 集成Windows身份验证使用Kerberosv5验证和NTLM验证 如果在Windows2000或更高版本域控制器上安装了ActiveDirectory服务 并且用户的浏览器支持KerberosV5验证协议 则使用Kerberosv5验证 否则使用NTLM验证 验证用户的身份 集成Windows身份验证 10 5网站的安全性 表10 1网站各种验证方法的比较 10 5网站的安全性 使用用户验证的方式 每次访问该Web站点都需要输入用户名和密码 对于授权用户而言比较繁锁 IIS会检查每个来访者的IP地址 可以通过IP地址的访问 来防止或允许某些特定的计算机 计算机组 域甚至整个网络访问Web站点 例如 如果Intranet服务器已连接到Internet 可以防止Internet用户访问Web服务器 方法是仅授予Intranet成员访问权限而明确拒绝外部用户的访问 以默认网站为例 通过IP地址限制用户连接的操作步骤如下 IP地址和域名访问限制 10 5网站的安全性 1 选择 Internet信息服务管理器 网站 默认网站 选项 右击 在弹出的快捷菜单中选择 属性 命令 在打开的 默认网站属性 对话框中选择 目录安全性 选项卡 2 单击 IP地址和域名限制 选项区域的 编辑 按钮 打开 IP地址和域名限制 对话框 如图10 36所示 系统默认是让所有的计算机都可以访问默认网站 IP地址和域名访问限制 10 5网站的安全性 3 可以选择 授权访问 单选按钮 先让所有的计算机都有权限来访