Internet实践第2章第5节

1、 主要介绍主要介绍IIS 5.0IIS 5.0的安装和配置的安装和配置Internet Information Server 5.0 简介IIS 5.0与Windows 2000捆绑在一起，从而集成了Windows 2000的一些先进特性。安装Windows 2000时可以选择安装该组件，也可以在安装Windows 2000之后，通过“添加删除组件”工具进行安装。与IIS 4相比，IIS 5.0的改进在于可靠性、安全性、性能、管理、编程和Internet标准支持等方面，比如在性能上， IIS 5.0增强了对虚拟服务器数量的支持，IIS 4.0服务器可以支持大约250个虚拟Web站点，IIS 5

2、.0则可以支持数千个站点。Internet Information Server 5.0 简介IIS 5.0的可靠性改进表现在：IIS 5.0提供了更多的Web进程保护功能，Web应用进程和IIS核心服务进程( Internet Service)隔离开来，IIS核心服务进程在单独的内存空间内，Web应用进程可以在共享地址空间的进程池(Pooled Process)中，也可以单独隔离(Iso1ated Process)到另一个地址空间，因此能独立停止和重起每个进程，从而提高Web服务器的可靠性和稳定性，但进程隔离也损耗一部分系统性能。在安全性方面，IIS 5.0可以使用Windows 2000活

3、动目录功能实现用户身份的验证，也可以结合使用证书和活动目录来验证用户。另外，IIS 5.0也加快了对进程外应用的执行速度以及ADO数据库访问的效率。Internet Information Server 5.0 简介在Widows 2000高级服务器和数据中心服务器中， IIS 5.0和群集服务功能紧密集成，通过TCP/IP载量平衡服务可以很方便地建立多机均载的Web网站。IIS 5.0支持动态服务器页面(ASP的最新版3.0)。与以前的版本相比，ASP 3.0提高了效率，功能也更强，还提供了和XML的集成。Internet Information Server 5.0 简介另外，在IIS 5

4、.0还具有以下具体特性：摘要式身份验证：摘要式身份验证允许胯代理服务器和防火墙对用户进行安全和严格的身份验证。另外，还可进行医名、基本验证以及集成Windows身份验证，在Windows NT下称为质询响应身份验证和NTLM身份验证。安全通讯：安全套接字协议层(SSL)3.0和传输协议层安全(TLS)提供了一种客户端与服务器之间进行信息交换的安全方式。另外，SSL 3.0和TLS还为服务 器提供了一种在用户登录服务器之前对客户端进行验证的方法。在IIS 5.0中，SAP和Active Server Pages都可以访问客户证书，以使编程人员通过其站点跟 踪用户。同时，IIS 5.0还可以将客户

5、证书映射为Windows用户账户以便管理员可以根据客户证书控制对系统资源的访问。Internet Information Server 5.0 简介服务器网关加密：服务器网关加密(SGC)是SSL的扩展，允许使用IIS出口版的金融系统采取加密性能更高的128位加密。虽然IIS 5.0中己内置了SGC功能，但使用SGC时仍然需要特殊的SGC证书。安全向导：Web服务器证书向导、权限向导和CTL向导简化了服务器配置的复杂度。IP地址及Internet域限制：可以授予或拒绝单台计算机、计算机组或者整个域对本机Web站点的访问。兼容Kerberos5身份验证协议：IIS已完全集成了windows 20

6、00中实现的Kerberos5验证协议，从而允许用户在运行Windows的计算机之间传递验证凭据。Internet Information Server 5.0 简介证书存储：IIS证书存储目前已与Windows CryptoAPI存储集成在一起。Windows Cerficate Manager提供单一入口，允许用户存储、备份和配置服务器证书。Fortezza：IIS 5.0支持称为Fortezza的美国政府安全标准。该标准通过一种加密机制保证消息的安全性、完整性、验证以及对消息、组件和系统的访问控制。重新启动IIS：在IIS 5.中，可以停止并重新启动所有IIS管理单元中的Internet

7、服务， 这使得在应用程序运行不止常或变得不可用时无需重新启功计算机。进程账户：进程账户是IIS 5.0中的一个新的特性，它将字段添加到W3C扩充日志文件，以记录关于Web点如何使用服务器上的删资源的信息。这些信息用于确定站点是否在使用不相称Internet Information Server 5.0 简介相称的过多CPU资源或检测故障脚本及CGI进程。进程账户仅用于Web站点，不提供单个应用程序使用CPU的详细细节以及仅关于进程外应用程序的日志信息。从进程账户获得的信息可用来决定是否应该启用Web站点上的进程限制。进程限制：可以限制CPU在处理单个Web站点进程外的ASP、ISAPI以及CG

8、I应用程序的时间百分比。另外，还可以终止和重新启动运行失常的进程。改进的自定义错误消息：当Web站点出现Http错误时，目前管理员可以向用户发送消息。可以使用IIS 5.0提供的自定义错误消息，也可创建自己的错误消息。配置选项：可以在站点、目录或文件级别设置读取、写入、执行、脚本以及Front Page Web操作的权限。Internet Information Server 5.0 简介远程管理：IIS 5.0了包含一些基于Web的管理工具，可以从任何平台的几乎所有浏览器上进行Internet服务的远程管理。利用IIS 5.0，可以设置称为“操作员”的管理账户，使之具备一定的Web站点管理权

9、限，帮助分担一部分管理任务。标准的支持：IIS 5.0符合HTTP l.l标准，包括PUT和DELETE等功能以及自定义HTTP错误消息的能力，并支持自定义的HTTP头。多个站点，一个IP地址：由于支持主机头，因此，可以用一个IP地址在运行Windows 2000的单台服务器上维护多个Web站点。这对于Internet服务提供商以及维护多个站点的公司非常有用。Internet Information Server 5.0 简介Web分布式创作与版本管理(WebDAV)：允许远程作者通过HTTP连接创建、移动或删除服务器上的文件、文件属性、目录和目录属性。在服务器卜设置WebDAV发布目录与设置

10、虚拟目录一样简单。设置好了发布目录后，具有正确权限的用户就可以将文档发布到服务器上并处理目录中的文件。PICS分组：可以将PICS分级应用于内容仅适合于成人的站点。FTP重新启动：如果在数据传送中出现中断，则可以恢复FTP文件下载,而不必再次下载整个文件。HTTP压缩：可以更快地在Web服务器与启用了压缩的客户之间进行页面传输。压缩和缓存静态文件并对动态生成的文件按需进行压缩。管理管理Web服务器服务器IIS的配置可以通过图形界面的Internet服务管理器进行。 Internet服务管理器工具处于中心位置，通过它可控制和管理域内所有运行IIS的计算机。 Internet服务管理器使用NT安全

11、性模型，因此只允许合法的管理员管理服务，管理员的密码以加密形式通过网络传送。1.建立建立Web站点站点(虚拟主机虚拟主机)最初IIS提供两个Web站点，一个是默认Web站点，即对外提供访问服务的站点，缺省端口号是80；另一个是管理Web站点，用于提供基于Web的管理工具，端口号在安装IIS 5.0时自动分配了一个，例如8098。一般情况下，为了网站的安全，不进行远程的Web管理，所以只要停止管理Web站点即可。Web站点实际上就是IIS的虚拟主机。IIS中，为了接收和响应请求，每个Web站点都具有惟一的、由三个部分组成的标识： IP地址、端口号和主机头名。通过更改其中的一个标识，可以在一台计算

12、机上维护多个站点。在同一IP地址下，可以通过端口号区分不同的Web站点：不同IP地址也可以对应不同Web站点，它们的端口号可以相同，但主机头名不能相同；同一IP地址通过主机头名来支持不同的Web站点，主机名需要添加到名称解析系统中，一旦客户请求到达计算机，IIS将使用在HTTP头中传递的主机名来确定客户请求哪个站点。1.建立建立Web站点站点(虚拟主机虚拟主机)所以，在Web站点创建向导中，IP地址可以选择其他Web站点已经使用的IP地址(进行IP共享)，也可以选择“全部未分配”， “全部末分配”表示指派给计算机但并未指派给特定站点的IP地址。缺省情况下，默认Web站点和管理Web站点都使用“

13、全部未分配”选项，使用尚未指派给其他站点的所有IP地址。然后填写端口号如果需要以主机头名区分站点，就要填写惟一的主机头名。单击“下一步”确认Web站点的主文档目录，然后设定主文档目录权限即可完成。2.指定指定Web站点管理员站点管理员如果一个主机上建立了许多Web站点，那么都通过Administrator(缺省的站点管理员)进行管理会使系统管理员任务繁重。IIS提供了指定Web站点管理员的功能，为某站点指定另外一个账户，对于系统来说该既户不需要很高权限，但具有管理Web站点的所有权限， 因此可以将站点管理工作指派给不同的人员。配置方式是打开Web站点的属性窗口，选中“操作员”选项卡，在操作员列

14、表中添加或更改用户账户即可。 3.身份验证身份验证1)匿名验证：通过匿名验证，用户不需要输入用户名和口令便可以访问Web或FTP站点的公共区域。看起来匿名验证没有进行身份确认，实际上当用户试图连接到站点时，IIS将匿名账户自动分配给用户，用户得到了匿名账户的权限。Windows有一个自行建立的匿名账户：IUSR_计算机名(例如IUSE_GSX)，该账户只包含在Guests组中，权限由系统强制。如果服务器上有多个站点或者站点上的区域要求不同的访问权限，则可以创建多个匿名账户，分别用于各个Web或FTP站点、目录或文件。将这些匿名账户分配到不同的用户组，可以赋予其不同的访问权限，从而达到对不同站点

15、或站点的不同区域进行匿名访问的目的。匿名账户的使用方式是：当IIS收到请求时，首先模拟匿名测试访问权限，如果允许访问，验证完成后用户使可以得到这些资源；如果不允许访问，IIS将尝试使用其他验证方法；如果没有其他验证方法，IIS则向浏览器返回“HTTP 403访问被拒绝”的消息。 3.身份验证身份验证2)基本验证：基本验证是HTTP规范的一部分，并且被大多数浏览器所支持，因此是使用得最广泛的网站验证方法。其过程是：当用户访问到某需要基本验证的资源时，Web浏览器显示一个对话框，提示用户输入合法的Windows账户和密码，然后IIS判断是否有效。如果无效，Web浏览器将反复显示该对话框，直到用户输

16、入有效的用户名和密码或关闭此对话框；如果有效，IIS则将建立连接。基本验证的缺点是：传输的密码未加密，所以容易被截取和破解。因此，除非确信服务器和客户端的连接是安全的，勿直接电缆或专线连接，否则不建议使用基本验证。要使用基本验证只要在 “验证方法”窗口中选中“基本验证(密码用明文送出)”即可。 3.身份验证身份验证3)简要验证：这是IIS 5.0的新功能，大体与基本验证相同，但在传送验证信息时使用了简要式验证方法。过程是： IIS向浏览器发送一些将用于验证的信息；浏览器将这些信息与其用户名和密码以及其他附加信息进行混合，执行散列算法，附加倍息可防止他人复制散列值并再次使用；散列算法的结果和附加

17、信息一起以明文文本通过网络发送到IIS；IIS随后将附加信息加入其所具有的客户端密码的纯文本复件中执行散列算法；IIS将收到的散列值与它的计算结果相比较，只有这两个数字完全相同时才允许访问。在散列算法之前将附加信息添加到密码，这样便天人可捕获密码散列并进行伪装。要使用简要验证，IIS所在的Windows 2000服务器必须升级为域控制器，“Widows域服务器的简要验证”将被禁用。 3.身份验证身份验证4)集成Windows验证：以前称为“NTLM”或“Widows NT质询/响应验证”，这是一种比较安全的验证方式。与基本验证不同，它不首先提示客户输入用户名和密码，而是与客户端的账户系统进行验

18、证密码交换，以证明客户端是否知晓密码。如果开始的验证交换未能识别用户，浏览器再提示用户输入合法的用户名和密码，并使用集成Windows验证进行处理。集成Windows验证既可以便用Kerberos v5验证协议，也可以使用质询响应验证协议。如果服务器上已安装了目录服务，并且浏览器与Kerberos v5验证协议兼容，则使用Kerberos v5协议和质询/响应协议；否则仅使用质询/响应协议。Kerberos v5验证协议是Windows 2000分布式服务架构的一个特性。为成功地进行Kerkeros v5验证，客户端和服务器都必须可靠地连接到密钥分配中心(KDC)，并且必须兼容目录服务。 3.

19、身份验证身份验证尽管集成Windows验证比较安全，但有两个限制，即只有IE2.0或更高版本支持该验证方法和不能通过HTTP代理使用集成Windows验证。所以，集成Windows验证最适合Internet环境，用户和Web服务器在同一域中，管理员可以确保每个用户都使用IE 2.0或更高版本。集成Windows验证的配置比较简单，只要选中“集成windows验证”即可。集成windows验证优先于基本验证，如果同时选中匿名验证、基本验证和集成windows验证，浏览器将尝试匿名验证，如果失败，再使用集成Windows验证，尝试使用客户端windows登录信息进行验证，如果再失败，最后进行基本验

20、证，提示用户输入用户名和密码。 3.身份验证身份验证5)证书验证：为了在客户和服务器之间建立安全套接字层(SSL)连接，必须获取证书颁发机构颁发的加密证书，一般包括客户证书和服务器证书。服务器证书用于激活Web服务器的高层次安全功能(如SSL 5.0)，使用户可以验证Web服务器，检查Web内容的合法性并建立更安全的连接。作为一种数字标识方法，服务器证书关键在于用户是否相信证书中所包含信息的合法性，例如，尽管用户知道所登录的Web站点安装了服务器证书，但仍可能担心信用卡信息被泄露，所以证书必须由一个相互信任的第三方机构颁发并认可，这样就能确保证书中包含的标识信息的有效性。客户证书是包含客户信息和安全密钥的电子文档，也是由可信任的第三方机构颁发并认可的，典型的客户证书包含下面几项信息：用户的标识、证书颁发机构的标识、用于建立安全通讯的“公用密钥”以及确认信息(如截止日期和序列号等)。客户证书和服务器证书的密钥组成“密钥对”，使通过开放网络传输数据的加密和解密变得更为容易。 3.身份验证身份验证服务器证书可以通过“服务器证书向导”来启用，在Web站点、目录或文件的属性窗口中选中“目录安全性”选项卡，单击“服务器证书”，启动“服务器证书向导”，按提示操作即可。服务器证书和Web站点是一对