Web服务器安全设置.doc

编号：LJ/JW-JL-23（22）教 案第 次 编写时间： 年 月 日章节8.4 Web服务器安全设置审 批 签 字年 月 日授课时数2授课方法讲授、演示教 具多媒体教学目的让学生对控制IIS应用程序有个简单认识，并初步掌握设置IP地址限制。教学重点和 难 点难点：控制IIS应用程序。重点：设置IP地址限制。教 学 过 程一、复习上节课程二、新课内容8.4.1 IIS的安全机制8.4.2 设置IP地址限制 8.4.3 设置用户身份验证8.4.4 设置Web服务器权限8.4.5 控制IIS应用程序8.4.6 设置目录或文件的NTFS权限8.4.7 审核IIS日志记录 8.4.8 IIS选项或相关组件筛选 三、总结四、布置作业欢迎交流/编号：LJ/JW-JL-23（22）教 案主 要 教 学 内 容教法应用一、复习上节课程二、新课内容8.4.1 IIS的安全机制（1）客户端Web服务器提出请求。（2）如果服务器需要进行身份验证，则向客户端提出身份验证请求信息。浏览器既可以提示用户输入用户名和密码，也可以自动提供这些信息。（3）服务器将接收的客户IP地址同限制访问的IP地址进行比较，如果IP地址是禁止访问的，则请求失败；同时用户收到“403禁止访问”消息，否则继续下面的审查。（4）IIS检查用户是否拥有有效的Windows用户账户。如果用户没有，则请求失败；同时用户收到“403访问禁 图4.15 IIS访问控制过程止”消息。否则继续下面的审查。（5）IIS检查用户是否具有请求资源的Web权限。如果用户没有，则请求失败；同时用户将得到“403访问禁止”消息。否则继续下面的审查。（6）IIS检查资源的NTFS权限。如果用户不具备资源的NTFS权限，则请求失败，同时用户将得到“401访问被拒绝”消息。（7）如果用户具有NTFS权限，则可完成该请求介绍举例演示板书编号：LJ/JW-JL-23（22）教 案主 要 教 学 内 容教法应用8.4.2 设置IP地址限制 IIS可以通过设置IP地址访问限制，来防止或者允许某些特定的计算机、计算机组甚至整个网络访问Web站点。当用户的计算机通过代理服务器或地址转换服务器（NAT）访问远程Web服务器时，IIS接受到的是代理服务器或地址转换服务器的IP地址，而不是用户计算机的IP地址。8.4.3 设置用户身份验证8.4.4 设置Web服务器权限应慎重设置Web站点目录的访问权限，防止攻击者利用。不要对目录授予“写入”和“目录浏览”的权限，更不要授予“脚本资源访问”权限，以防止攻击者从ASP应用程序的脚本中查看敏感信息。对于脚本应用程序目录，不要选中“索引此资源”。8.4.5 控制IIS应用程序只有在有执行文件（如DLL文件）时，才选择“脚本和可执程序”。对于ASP文件目录，在“执行许可”中只授予“纯脚本”的权限，不要授予“执行”权限。介绍举例演示编号：LJ/JW-JL-23（22）教 案主 要 教 学 内 容教法应用8.4.6 设置目录或文件的NTFS权限8.4.7 审核IIS日志记录 选择日志格式和创建策略 在“日志文件目录”框中设置日志的文件路径。为安全起见，最好不要使用缺省的目录。应更换默认的日志路径，并设置日志文件目录的访问权限。只允许管理员和System账号具有完全控制权限，只允许对Everyone组账户授予读写权限。 8.4.8 IIS选项或相关组件筛选 删除Web服务之外的其他IIS服务例如，只保留HTTP，删除SMTP、NNTP、FTP和Indexing Service（索引服务）等 。删除FrontPage服务扩展停止或删除默认站点 在新的目录下新建W