网管员必读——网络应用(第二版)第二章.ppt

第二章IIS6 0Web网站配置与管理 网站建设的方法有多种 但目前应用最广 最受用户欢迎的仍是微软Windows系统自带的IIS方案 以及在Windows UNIX Linux平台中都可采用的ApacheServer方案 随着微软IE6 0的推出 IIS方案更加成熟 更加专业 解决以前版本中存在的许多性能和安全方面问题 得到了用户的高度认可 在新的WindowsServer2003R2版本系统中 IIS不仅可以组建普通的网站 还自带了诸如SharePoint站点和WindowsMediaServices站点 使得IIS在站点组建方面的应用领域更加广泛 本章的内容较多 看似简单的IISWeb网站 其实配置起来还相当复杂 主要是因为新的IIS6 0新增了许多实用功能 特别是安全功能 在学习本章内容时 一定要先从总体上把握IIS网站的组建与配置基本思路 做到心中有数 只有这样 才能真正全面地掌握IIS6 0Web网站的配置方法 本章重点如下 IIS6 0网站建设的基本思路IIS6 0与以前版本相比的主要改进IIS6 0的主要安全措施IIS6 0隔离模式工作原理 与IIS5 0隔离模式的区别利用向导法创建新网站的方法网站基本信息配置方法网站身份验证配置方法虚拟目录的创建与配置网站的性能管理网站的服务质量管理网站的远程管理 2 1利用IIS6 0组建网站的基本思路 利用IIS6 0组建网站的基本思路如下 1 安装并启用IIS和相关组件 2 新建网站新建网站是在IIS管理器中进行的 网站的新建可以采取两种方式 一是编辑系统自带的 默认网站 二是重新利用向导新建 3 网站基本配置网站基本包括 网站基本信息配置 指定网站主目录和主页文件两个主要方面 4 网站的安全配置网站的安全配置也包括两个主要方面 网站的身份验证方式和网站的访问权限等 5 创建和配置虚拟目录虚拟目录也并不是所有网站都需要的 只是在网站有网页文件不在网站主目录下的时才需要创建和配置 6 网站管理本章将介绍的网站管理事项具体包括如下三个主要方面 网站性能管理服务质量管理其他管理选项 7 配置端口映射和动态域名服务如果所建的Web网站是对外服务的 不限于局域网用户 而且Web服务器不是直接与外网连接 而是通过共享方式上网的 如代理服务器共享上网 路由器共享上网和网关服务器共享方式等 此时就需要在路由器 代理服务器 或者专门的端口映射软件上配置好Web服务器的端口镜像 否则外网用户无法访问Web网站 不过 关于端口映射和动态域名服务在本书的第一章中已有详细介绍 在此不再赘述 参见即可 2 2安装并启用IIS及相关组件 2 2 1IIS6 0的主要更改IIS6 0包括许多新功能 它们旨在帮助企业 IT专业人士和Web管理员实现其网站 他们可能拥有位于单个IIS服务器或多个服务器上的数千个网站 在性能 可靠性 可伸缩性和安全性方面的目标 具体参见书中的表2 1 2 2 2IIS6 0提供的服务IIS6 0提供了基本服务 包括发布信息 传输文件 支持用户通讯和更新这些服务所依赖的数据存储 所包括的基本服务有 万维网发布服务 文件传输协议服务 简单邮件传输协议服务 网络新闻传输协议服务和IIS管理服务 具体参见书中表2 2和对应的详细说明 2 2 3IIS6 0的核心组件 IIS6 0核心组件由内核模式进程和用户模式进程组成 具体包括以下几个方面 HTTP sys 是将HTTP请求传送到用户模式应用程序的内核模式设备驱动程序 WWW服务管理和监视组件 配置 万维网发布服务 并管理工作进程 工作进程 处理分配给它们的Web应用程序的请求 Inetinfo exe 主控配置数据库和非Web服务 具体参见书中内容 2 2 4安装IIS及相关组件安装IIS6 0及相关组件的方法有三种 1 通过 配置您的服务器向导 进行 2 通过控制面板中的 添加 删除程序 进行 3 采用无人安装方式进行 具体参见书中介绍 2 3组建新网站 组建新Web站点的方法主要有两种 1 编辑系统默认提供的站点 适用于只需要一个网站的用户 2 利用向导方式新建站点 适用于需要多个网站的用户 本节仅介绍向导方式 默认站点的编辑方式与本章后面的新网站配置一样 参见即可 在Windows2000Server Server2003等服务器系统中都可以同时创建多个站点 而在Windows2000Professiona XP系统中却只能有一个站点 所以只能通过修改系统默认站点来配置新的站点 利用向导方式进行的具体网站创建方法在书中已有详细介绍 参见即可 2 4网站基本配置 2 4 1网站基本信息配置本节介绍的是网站描述 相当于网站名称 标识 包括网站服务器IP地址 端口号和主机头值 相当于网站的域名 和日志格式等基本信息的配置 标志一个网站可以有采用网站IP地址 端口和主机头值三种方法 只要其中一个不同即可 也就是说 一个IP地址可以供多个网站使用 只要端口号 或主机头值其中一个不同即可 也表示同样一个网站域名 可以对应多个不同主机 IP地址不同 或同一主机的不同端口 通常网站的WWW服务端口号是80 但也可以指派其他端口号 当然最好不要使用1024号以前的端口了 否则可能与常见的一服务端口相冲突 造成其他服务不能正常工作 而且采用其他端口号后 用户访问时必须在域名或IP地址后加上端口号 如 8080 否则仍以80号端口访问 造成访问不成功 网络日志记录的格式有 MicrosoftIIS日志文件格式 NCSA共用日志文件格式 W3C扩展日志文件格式和ODBC日志记录这四种 网站的基本信息是在网站属性对话框中的 网站 选项卡 如下图 中进行配置的 具体参见书中介绍 2 4 2为网站指定主目录和主页文件 本节仅介绍网站主目录和主页文件的指定 网站主目录是用来存放所有网站文件的 就是把网站上的所有文件放在一个目录下 而网站主页文件是打开网站时默认打开的网页文件 网站主目录可以是本机上的一个目录 通常要求是NTFS文件格式的 也可以是另一台计算机上的共享文件夹 还可以是其他网站 相当于网站镜像 网站主目录的配置涉及到网站属性对话框中的 主目录 选项卡 如下页左图所示 在这时砂仅要反映定网站主目录 而要指定普通用户对网站主目录的访问权限 在对话框中的 应用程序设置 栏中还要设置网站的应用程序池 通常采用网站创建时默认的应用程序池 不要乱改 否则很可能造成用户访问不了网站 和用户对应用程序的执行权限 网站主页文件的配置是在 文档 选项卡中配置的 如下面的右图所示 在 文档 选项卡中一定要选择 启用默认文档 复选项 然后在下面的列表框中配置网站的主页文件名 启用后 只要浏览器请求没有指定文档名称 则将默认文档提供给浏览器 越在上面的越优先执行 可以通过箭头调整各主页文件的执行优先级 选择 启用文档页脚 复选项可以将Web服务器配置成自动附加页脚到Web服务器返回的所有文档中 不仅是网站主页文档 对于统一网站页面格式非常有用 具体的配置方法参见书中介绍 2 5网站安全及配置 如果要说IIS6 0的主要改进是什么 那可以毫不犹豫地告诉您 那就是各种站点 特别是Web站点 的安全性有了明显的提高 在IIS6 0中 不仅在诸如身份验证 文件访问权限 数据加密和证书等常规安全措施方面提供了全方位的选择 而且还从底层提供了隔离模式选择 选择了工作进程隔离模式后 所有应用程序 就连与网站进程关系最密切的HTTP请求也被路由到正确的应用程序池队列中 这样一来所有应用进程都与系统底层服务完全隔离 从底层确保了系统的安全 本节就要对IIS6 0Web网站以上各方面的安全性措施一一介绍 最后还将介绍各种安全措施的配置方法 当然 在实际的网络建设中只需要有针对性地根据自己企业实际需求选择一种 或少数几种进行配置即可 2 5 1IIS6 0的主要安全措施 IIS6 0中的一个最重要的变动涉及Web服务器安全性 它的主要安全技术和措施如下 1 改进的核心功能和服务已对IIS6 0进行了重新设计以便利用基本Windows内核HTTP sys 这使其具有内置的响应和请求缓存和队列功能 并能够将应用程序进程请求直接路由到工作进程 从而改善可靠性和性能 2 安装锁定的IIS为确保Windows管理员不会因安装IIS而要处理不必要的安全威胁 IIS6 0安装时启用了静态网页请求处理功能 但禁用了所有其他请求处理功能 从安装IIS开始 IIS6 0的锁定安全配置文件可最大限度地减少入侵者的攻击面 3 身份验证Internet信息服务提供与Windows完全集成的安全功能 IIS支持 匿名身份验证 基本身份验证 摘要式身份验证 高级摘要式身份验证 集成Windows身份验证和证书验证六种身份验证方法 4 访问控制通过将NTFS访问权限用作Web服务器的安全基础 您可以定义授予Windows用户和组文件和目录访问的级别 5 证书证书是允许服务器和客户彼此验证的数字标识文档 通常只用于内网网站上 对于为外网用户提供的公共网站是不采用的 证书请求在服务器和客户端浏览器建立SSL连接 通过此连接可以发送加密信息 IIS中基于证书的SSL特性由服务器证书 客户端证书和不同的数字密钥组成 可以使用Microsoft证书服务创建这些证书或者从可相互信任的第三方机构获得 该机构称为证书颁发机构 CA 6 加密您可以允许用户使用加密的方式与您的服务器交换个人信息 如信用卡号或电话号码 IIS中这种加密的基础是SSL3 0协议 提供了一种与用户建立加密通讯链接的安全方法 SSL确认您的网站的真实性同时可有选择地确认正在访问受限制网站用户的身份 7 服务器网关加密服务器网关加密 SGC 使用128位加密 是安全套接字层 SSL 的扩展 8 可选的加密服务提供程序通过使用可选的加密服务提供程序 CSP 可以选择Microsoft或第三方加密提供程序来处理加密和证书管理 9 审核可以使用安全审核技术监视大范围的用户和Web服务器的安全活动 具体安全措施介绍参见书中内容 2 5 2IIS6 0的应用程序隔离模式 IIS6 0的应用程序隔离模式可在两种不同操作模式下运行 它们分别是 工作进程隔离模式和IIS5 0隔离模式 这两种模式都要依赖于HTTP sys作为超文本传输协议 HTTP 侦听程序 然而 它们内部的工作原理是截然不同的 工作进程隔离模式利用IIS6 0的重新设计的体系结构并且使用工作进程的核心组件 IIS5 0隔离模式用于依赖IIS5 0的特定功能和行为的应用程序 工作进程隔离模式是IIS6 0操作的推荐模式 也提供了更高级别的安全性 因为运行在工作进程中的应用程序的默认标识为NetworkService 虽然工作进程隔离模式提供了增强的隔离性 可靠性 可用性和性能 但某些应用程序在以该模式运行时仍可能会有兼容性的问题 此可请使用IIS5 0隔离模式 1 工作进程隔离模式工作进程隔离模式利用了所有新的IIS6 0核心组件 使用工作进程隔离模式启用应用程序池 回收和运行状况检测功能 在本主题的后面将对这些功能进行描述 下图描述了以工作进程隔离模式运行的IIS6 0体系结构 2 IIS5 0隔离模式IIS5 0隔离模式确保为IIS5 0而开发的应用程序的兼容性 在IIS5 0隔离模式中 应用程序池 回收和运行状况检测功能都不可用 下图描述了以IIS5 0隔离模式运行的IIS6 0体系结构 两种隔离具体工作原理和比较参见书中内容 2 5 3隔离模式配置 工作进程隔离模式是IIS中的默认服务模式 工作进程隔离模式体现了IIS6 0的所有优点 可靠的应用程序池 自动重新启动 可扩展性 调试 以及精确的性能调整 要将IIS配置为工作进程隔离模式只需在下图中清除 以IIS5 0隔离模式运行WWW服 复选项的选择即可 否则则以IIS5 0隔离模式运行 2 5 4工作进程隔离模式中Web应用程序隔离 创建应用程序时 可使用IIS管理器在网站中指定应用程序的开始位置目录 每个网站可以有多个应用程序 安装IIS时所创建的默认网站是应用程序的开始位置 网站开始位置目录下的每个文件和目录均被认为是应用程序的一部分直至找到另一个开始位置目录 因此可以使用目录边界来定义应用程序的范围 IIS6 0支持多种类型的应用程序及其配置选项 您可以创建应用程序 然后对其进行配置以获得最佳性能和调试功能 定义默认的脚本语言 启用缓存 缓冲区及父路径 以及将文件扩展名与程序类型相关联 也可以使用IIS管理器或配置数据库配置这些选项 以工作进程隔离模式运行的IIS6 0可把Web应用程序分组编入 应用程序池 应用程序池允许将特定配置设置应用于多个应用程序组 并允许工作进程为这些应用程序提供服务 可向应用程序池指派任何Web目录或虚拟目录 1 应用程序池运行状况检测及配置通过检测应用程序池的稳定 或运行状况 程度 IIS确定是否需要纠正操作 如果在指派到应用程序池的工作进程中所有可用的IIS线程都出现了阻塞 或者工作进程通知IIS存在故障 则万维网发布服务 WWW服务 能检测到已经异常终止的不良运行状况的工作进程 但只有当IIS在工作进程隔离模式下运行时才能使用该IIS6 0功能 启动应用程序池运行状态监视的方法是在下图中配置的 具体参见书中介绍 2 工作进程回收及配置工作进程回收是Web应用程序的自动刷新过程 它是通过重新启动指派给它们的工作进程来实现的 回收可使存在问题的应用程序保持顺利运行 尤其是在无法修改应用程序代码时 但也只有当IIS在工作进程隔离模式下运行时才能使用这个功能 回收工作进程的配置是在下图中进行的 具体进程回收原理和配置方法参见书中介绍 3 Web园及配置可使用IIS6 0工作进程隔离模式 将应用程序池配置为由多个工作进程支持 使用多个工作进程的应用程序池称为 Web园 Web园是被配置用来运行多个工作进程的应用程序池 Web园中的工作进程共享对特定应用程序池的请求 可增强应用程序池中应用程序的性能和可靠性 有关采用Web园的优越性参见书中介绍 配置Web园的方法是在下图中进行的 具体配置方法参见书中介绍 2 5 5IIS5 0隔离模式Web应用程序隔离及配置 当以IIS5 0隔离模式运行时 通过使用AppIsolated属性设置 可为每个应用程序配置隔离 它也分为高 中和低三种隔离级别 采用低级隔离时 应用程序作为Inetinfo exe中的DLL在进程内运行 并没有与其他运行于进程内的应用程序相互保护 默认的应用程序标识 应用程序运行的帐户 是本地系统 采用中级隔离时 所有池中的应用程序都作为DLLHost exe的一个实例中的DLL来运行且受到保护 以避免运行在低和高隔离中的应用程序的影响 然而 因为所有池中的应用程序都运行在相同进程中 它们相互之间没有受到保护 默认的应用程序标识是IWAM ComputerName 采用高级隔离时 应用程序都作为DLLHost exe中的DLL来运行且受到保护 以避免受到其他应用程序的影响 同样 运行在同一台计算机上的所有其他应用程序也受到保护 以避免受到运行在高隔离中应用程序的影响 默认的应用程序标识是IWAM ComputerName 1 隔离应用程序的配置隔离应用程序是指配置应用程序以使其在与其他Web服务器和其他应用程序分隔的进程中运行 可以将应用程序配置为以上介绍的三种应用程序保护级别中的一种 它是在下图 执行权限 下拉列表中选择的 2 停止隔离的应用程序要停止和卸载隔离的应用程序 只需在上图中单击 删除 按钮删除隔离的应用程序即可 2 5 6匿名身份验证及配置 根据您的安全要求 可以选择一种Internet信息服务 IIS 验证方法对请求访问您的网站的用户进行验证 可通过IIS管理器使用网站 目录或文件级别的属性页为您的Web资源设置验证方法 书中表2 5概述了网站验证方法 参照即可 匿名身份验证使用户无需输入用户名或密码便可以访问Web或FTP站点的公共区域 当用户试图连接到公共网站或FTP站点时 Web服务器将连接分配给Windows用户帐户IUSR computername 默认情况下 IUSR computername帐户包含在Windows用户组Guests中 该组具有安全限制 由NTFS权限强制使用 它指出了访问级别和可用于公共用户的内容类型 有关IIS使用IUSR computername帐户进行匿名身份验证的原理参见书中介绍即可 匿名身份验证的配置方法是在下面左图所示对话框中单击 身份验证和访问控制 栏中的 编辑 按钮 打开下面的右图所示对话框 在其中选择 启用匿名访问 复选项 在下面的匿名帐户中采用系统默认配置即可 当然也可以选择其他帐户作为匿名访问帐户 具体的配置方法在书中已有详细介绍 参见即可 2 5 7基本身份验证及配置 基本身份验证方式会提示用户输入用户名和密码 然后通过网络 非加密 发送这些信息 基本身份验证方法是广泛使用的工业标准方法 用于收集用户名和密码等信息 有关 基本身份验证 的验证原理参见书中介绍 基本身份验证的优点在于它是HTTP规范的一部分 并且大多数浏览器均支持该验证 缺点是Web浏览器使用基本身份验证是以未加密的形式传输密码的 存在一定的安全隐患 因此 不建议使用基本身份验证 除非确信用户和Web服务器之间的连接是安全的 如专线或安全套接字层 SSL 连接 基本身份验证的配置方法也是在上页右图中进行的 选择 基本身份验证 复选项 在 默认域 文本框中键入要使用的域名 或者单击 选择 以浏览新的默认登录域 2 5 8摘要式身份验证及配置 摘要式身份验证与 基本身份验证 非常类似 所不同的是将密码作为加密后的 哈希 值发送 摘要式身份验证依赖于HTTP1 1协议 且仅用于Windows域控制器的域 摘要式身份验证在通过网络发送用户凭据方面提高了安全性 摘要式身份验证将凭据作为MD5哈希 或消息摘要在网络上传送 无法从哈希中解密原始的用户名和密码 但摘要式身份验证的使用必须具备一定的条件 连同摘要式身份验证原理均可参见书中介绍 摘要式身份验证的配置方法是在2 5 6节中的右图选择 Windows域服务器的摘要式身份验证 复选项 然后在 领域 文本框中键入领域的名称 或者单击 选择 以浏览域 如果没有配置领域名称 则IIS发送其自己的计算机名称作为领域名称 如果IIS发送其自己的名称作为领域名称 并且IIS不是在具有ActiveDirectory的WindowsServer2003家族域控制器上运行 摘要式身份验证将失败 具体配置方法也请参见书中介绍 2 5 9高级摘要式身份验证及配置 要使用高级摘要式身份验证 则域必须拥有运行WindowsServer2003家族成员的域控制器 域控制器和运行IIS的服务器必须均运行WindowsServer2003家族的成员或更高版本 如果域控制器或IIS服务器运行Windows2000或更低版本 则IIS默认使用摘要式身份验证 并且不会警告您此操作 其他条件和高级摘要式身份验证原理均请参见书中介绍 高级摘要式身份验证方法的配置与摘要式身份验证方法的配置基本一样 也是在2 5 6节中的右图所示对话框 用户访问需经过身份验证 栏中选择 Windows域服务器的摘要式身份验证 复选项 在 领域 文本框中键入领域的名称 或者单击 选择 以浏览域 对于高级摘要式身份验证 无需配置 默认域 具体配置方法也请参见书中内容 2 5 10集成Windows身份验证及配置 集成Windows身份验证 以前称为NTLM或WindowsNT质询 响应验证 是一种安全的验证形式 因为在通过网络发送用户名和密码之前 先将它们进行哈希计算 当启用集成Windows身份验证时 用户的浏览器通过与Web服务器进行密码交换 包括哈希方式 来证明密码 集成Windows身份验证是WindowsServer2003家族成员中使用的默认验证方法 如果在Windows2000或更高版本域控制器上安装了ActiveDirectory服务 并且用户的浏览器支持Kerberosv5验证协议 则使用Kerberosv5验证 否则使用NTLM验证 集成Windows身份验证的客户端验证原理参见书中介绍 配置方法是在2 5 6节所给出的右图对话框 用户访问需经过身份验证 栏中选择 集成Windows身份验证 复选项即可 2 5 11证书身份验证 证书包含通过网络确定身份 即称为身份验证的过程 所使用的信息 与验证的常见形式一样 证书使Web服务器和用户在建立连接前能够互相进行身份验证 证书也包含加密值 或 密钥 它们用于在客户和服务器之间建立安全套接字层 SSL 连接 通过此连接发送的信息 例如信用卡号码 将被加密 这样未经授权的一方就不能截取和使用它 在SSL中使用的证书有两种类型 每种类型的证书具有自己的格式和用途 服务器证书和客户端证书 服务器证书 包含关于服务器的信息 该信息允许客户在共享敏感信息之前对服务器进行确认性识别 客户端证书 包含关于请求访问站点的客户的个人信息 在允许客户访问站点之前 可以使用此证书对客户进行有效的标识 要激活Web服务器的SSL安全功能 必须获得并安装有效的服务器证书 服务器证书即为数字标识 其中包含关于Web服务器以及赞助服务器Web内容的机构的信息 用户可使用服务器证书来验证您的服务器 检查Web内容的有效性 以及建立安全连接 服务器证书还包含 公钥 它用于创建客户端和服务器之间的安全连接 客户端证书是包含客户信息的电子文档 这些证书和服务器证书一样 不仅包含该信息 而且还包含构成IIS的SSL安全功能一部分的加密密钥 典型的客户端证书包含下面几项信息 用户的标识 证书颁发机构的标识 用于建立安全通讯的 公钥 以及确认信息 如截止日期和序列号等 可以对两种类型的验证使用Web服务器的安全套接字层 SSL 安全功能 即可以使用 服务器证书 允许用户在传送个人信息 如信用卡号码 之前进行网站验证 同样 也可以使用 客户端证书 对请求网站信息的用户进行验证 具体内容参见书中介绍 2 5 12 NETPassport身份验证 NETPassport是一个用户身份验证服务 并且是 NETFramework的一个组件 它是一种用户身份验证服务 站点用户可使用该服务创建单次登录名和密码 从而方便地访问所有启用 NETPassport的网站和服务 NETPassport使用标准Web技术来提供单次登录服务 如安全套接字层 SSL HTTP重定向 Cookie MicrosoftJScript以及强对称密钥加密 启用 NETPassport的站点依靠 NETPassport中央服务器来验证用户 而不是主持和维护它们自己的专用身份验证系统 但是 NETPassport中央服务器并不授权或拒绝特定用户访问单个启用 NETPassport的站点 而是由网站来控制用户的权限 配置 NETPassport身份验证的方法是在2 5 6节给出的右图所示对话框中选择 NETPassport身份验证 复选项即可 有关 NETPassport身份验证的详细介绍参见书中相关内容 2 5 14UNC身份验证 通用命名约定 UNC 验证也称为 UNCPassthrough验证 它确定获得远程计算机上UNC共享访问使用的凭据 从IIS6 0开始 UNC验证使用以下方法查看请求用户和配置数据库UNCUserName和UNCPassword属性中存储的凭据 以确定传送到具有UNC共享的计算机上的凭据 如果指定了UNCUserName 非空 并且UNCPassword有效 则将配置数据库用户凭据作为访问的用户标识发送到远程共享 如果指定了UNCUserName 非空 但是UNCPassword无效 则向客户端发送 500内部服务器错误 用户名或密码无效 消息 如果UNCUserName为空 则将请求用户的凭据 用于已验证请求的一组验证的凭据或用于匿名请求的IUSR computername凭据 作为访问的用户标识发送到远程共享 2 5 14访问控制 适当地控制对Web和FTP内容的访问是安全运行Web服务器的关键 使用Windows和IIS中的安全功能 您可以有效地控制用户访问您Web和FTP内容的方式 可以控制多级访问 从整个网站和FTP站点到单独的文件 每个帐户均被授予用户特权和权限 用户特权是指在计算机或网络上执行特定操作的权利 而权限是与对象 如文件或文件夹 关联的规则 用于控制哪些帐户可以获得对象的访问权限 用户权利和特权是在组策略中配置的 可以通过正确地配置Windows文件系统和Web服务器安全功能来控制用户对您Web服务器的访问 当用户试图访问您的Web服务器时 服务器执行几个访问控制进程来识别用户并确定允许的访问级别 有关IIS访问控制原理参见书中介绍 2 5 15NTFS权限 强烈建议应用程序服务器使用NTFS文件系统 与FAT和FAT32相比 NTFS是更强大和更安全的文件系统 可以使用NTFS限制对Web服务器文件和目录的访问 也可以配置给某个用户或组授予的服务器文件和目录访问级别 除了允许使用比FAT更大的卷大小外 NTFS还具有书中表2 8所示的其他优点 参见即可 配置时只需在相应网站 或网站文件夹上单击右键 在弹出菜单中选择 权限 选项 在打开的 权限 对话框中即可配置 当然也可以在资源管理中通过相应文件夹的右键属性对话框 安全 选项卡配置 具体的NTFS访问权限的配置方法参见本系列丛书的 网管员必读 网络管理 一书 2 5 16TCP IP端口筛选 筛选TCP IP端口允许您控制到达服务器和网络设备的通信类型 TCP IP端口筛选是启用或禁用计算机或网络设备上的TCP端口和UDP端口的选择性操作 与其他安全性操作结合使用 将端口筛选器应用于Intranet和Internet服务器使得那些服务器隔离基于TCP IP的安全性攻击 包括恶意用户的内部攻击 有关TCP和UDP协议端口和常见Internet服务端口请参见书中介绍 WindowsServer2003家族包含在单个服务器上筛选端口和数据包的多个工具 还可以使用InternetSecurityandAccelerationServer 可独立使用 在Internet出口点筛选网络流量 两种最简单的端口筛选工具就是利用 Windows防火墙 和本地连接中的 TCP IP筛选 具体配置方法也请参见书中介绍 2 5 17加密 使用Web服务器的安全套接字层 SSL 加密功能来对Web服务器传输和接收的信息进行加密编码 防止未经授权的个人解码所传输的原始内容 1 加密原理加密是用数学函数打乱信息编码的处理过程 除特定的接收者之外 任何人想要得到原始信息都极其困难 该过程的核心是一个数学值 称为 密钥 函数使用密钥将信息打乱 采用独特而复杂的方法 以达到加密的目的 2 公钥加密原理Web服务器安全套接字层 SSL 安全功能使用一种称为 公钥 的加密技术来保护会话密钥 以免在传输过程中被截取 公钥加密使用两个附加密钥 即 私钥 和 公钥 其工作原理参见书中介绍 3 会话密钥加密强度会话密钥的 强度 与组成会话密钥文件的二进制 位 的位数成正比 这意味着位数较多的会话密钥具有更强的安全性 要强制解密也更加困难 4 服务器网关加密服务器网关加密 SGC 使用128位加密为金融机构提供了全球金融交易解决方案 SGC不要求在客户端浏览器上运行应用程序 并且可由IIS4 0或更高版本的标准出口版本使用 5 可选的加密服务提供程序使用可选的加密提供程序 CSP 可选择Microsoft或第三方加密提供程序来处理加密和证书管理 每个加密提供程序可以创建公钥和私钥以加密和解密数据 6 启用加密在访问限制的网站 目录或文件之前 可以要求用户建立与服务器之间的加密通道 https 而非 http 但是 使用加密通道要求用户Web浏览器和Web服务器都支持所使用的加密策略 以保证通道的安全 在启用加密之前 必须安装一个有效的服务器证书 如果要求在IIS6 0中加密 先在服务器中启用安全套接字层 SSL 7 在服务器上配置SSL可在Web服务器上配置安全套接字层 SSL 安全功能以检验内容完整性 用户标识和加密网络传输 配置的方法是下面的左图中的 SSL端口 文本框中输入安全通信的专用端口443 然后再在右图所示对话框中选择 要求安全通道 SSL 复选项 具体配置方法参见书中介绍 2 6虚拟目录创建与配置 虚拟目录是为服务器硬盘上不在主目录下的一个物理目录或者其他计算机上的主目录而指定的好记的名称 或 别名 虚拟目录不在网站服务器主目录下 但又为网站服务器提供资源 是整个网站文件的另一部分 2 6 1虚拟目录的创建创建或删除虚拟目录有三种方法 使用IIS管理器 无论是使用虚拟目录创建向导 还是通过导入配置文件都可以 使用Windows资源管理器 这个方法需要您的硬盘格式化成NTFS文件系统 使用iisvdir vbs管理脚本 具体创建方法参见书中介绍 2 6 2虚拟目录的配置 虚拟目录的配置与网站的属性配置方法一样 都是通过单击右键 在打开的快捷菜单中选择 属性 选项 在打开的属性对话框中进行配置 主要包括 虚拟目录 文档 目录安全性 和 HTTP头 四个对话框 2 6 3虚拟目录的删除虚拟目录的删除与创建一样 也可有几种不同的方式使用IIS管理器删除虚拟目录使用Windows资源管理器删除虚拟目录使用Iisvdir vbs管理脚本删除虚拟目录具体删除方法参见书中介绍 2 7网站管理 网站的管理是网站管理员的主要职责 在IIS网站管理中 主要包括性能管 服务质量管理 内容管理 网站名称 网站的启用和停止等 2 7 1IIS网站管理基础 略 2 7 2网站性能管理制定性能调整计划的第一步是建立一个受控制的环境 以便在其中对网站进行测试 对预计负载进行性能分析 并在该受控制的环境中测试性能 然后才能将Web服务器放到Internet上 根据不同的时段中页面请求数量的不同 服务器的性能也会大有不同 要在若干不同的负载下监视被测试站点 以获得服务器的真实的活动信息 要改善服务器性能 请检查系统的各个部分 以找出潜在的瓶颈 包括自定义应用程序 内存 CPU 网络 硬盘 以及与后端服务器和数据库的连接 如果II