第五讲基于Windows的IIS服务器配置课件

第五讲基于Windows的IIS服务器配置11/19/20221第五讲基于Windows的IIS服务器配置11/11/2本讲要点内容要求:IIS基本概念安装IIS6.0Web服务器配置Web服务器的测试FTP服务器配置FTP站点的测试重点Web服务器配置FTP服务器配置难点Web服务器配置11/19/20222本讲要点内容要求:11/11/20222IIS概述IIS管理器即Internet信息服务管理器，是一个用于配置应用程序池或网站、FTP站点、SMTP或NNTP站点的，基于MMC控制台的图形界面IIS最新版本为IIS6.0，它集成于WindowsServer2003操作系统中，启用了Web应用程序和XMLWeb服务，为Intranet和Internet提供了集成、可靠、可伸缩、安全和可管理的Web服务器功能，为动态网络应用程序创建了强大的通信平台11/19/20223IIS概述IIS管理器即Internet信息服务管理器，是IIS基本概念WWW服务：客户端可以通过HTTP请求连接到在IIS中运行的网站，WWW服务向客户端用户提供Web发布。文件传输协议服务(FTP)：IIS6.0通过FTP服务提供对管理和处理文件的完全支持，FTP服务使用传输控制协议(TCP)确保数据传输的准确性。简单邮件传输协议服务(SMTP)：IIS提供了SMTP服务，可以用来发送和接收电子邮件，也可以接收来自网站客户反馈的消息。不过，SMTP服务功能有限，不支持完整的电子邮件服务，因此，一般使用MicrosoftExchangeServer。网络新闻传输协议服务(NNTP服务)：使用NNTP服务可以主控单个计算机上的NNTP本地讨论组。该功能完全符合NNTP协议，所以用户可以使用任何新闻阅读客户端程序加入新闻组进行讨论。NNTP服务不支持复制。要利用新闻流或在多个计算机间复制新闻组，可以使用MicrosoftExchangeServer。IIS管理服务。IIS管理服务管理IIS配置数据库，并为WWW服务、FTP服务、SMTP服务和NNTP服务更新Windows注册表11/19/20224IIS基本概念WWW服务：客户端可以通过HTTP请求连接到安装IIS6.0安装前的准备为IIS的服务器指定IP地址为。用户访问网站一般都使用域名，因此，需在IIS服务器上安装DNS，并将DNS域名与IP地址注册到DNS服务器内。IIS网站的网页最好保存在NTFS分区内，以便通过NTFS权限来增加网页的安全性从控制面板安装(演示)通过“配置您的服务器向导”安装(演示)11/19/20225安装IIS6.0安装前的准备11/11/20225建立WWW站点WWW服务管理中一个基本的任务是添加站点。IIS为站点的添加提供了非常便捷的途径，在创建过程中，Web站点向导会提供与新建站点相关的不同对话框，提示用户输入信息。演示“myweb”站点的建立11/19/20226建立WWW站点WWW服务管理中一个基本的任务是添加站点。I建立虚拟目录在Internet上浏览网页时，经常会遇到一个网站下面有许多子目录的情况，这就是虚拟目录。虚拟目录只是一个文件夹，并不真正位于IIS宿主文件夹内(默认为C:\InetPub\wwwroot)，但在访问Web站点的用户看来，则如同位于IIS服务的宿主文件夹一样虚拟目录的意义便于扩展增删灵活易于配置创建虚拟目录使用虚拟目录创建向导创建一个名为lyj的虚拟目录，其路径为本地磁盘中的“D：\lyj”文件夹使用Web共享将普通文件夹lyj设为虚拟目录设置虚拟目录设置并修改该虚拟目录的各种配置11/19/20227建立虚拟目录在Internet上浏览网页时，经常会遇到一个设置网站的属性设置网站站点的标识在“网站标识”选项区域中的“描述”文本框中，可以设置该网站站点的标识，便于网络管理员进行区分指定Web站点的IP地址服务器可能会拥有多个IP地址，默认可使用该服务器绑定的任何一个IP地址访问Web网站指定Web服务的TCP端口默认端口为80，也可以更改为其他任意惟一的TCP端口号采用SSL加密web站点如果Web网站中的信息非常敏感，为防止中途被人截获，就可采用SSL加密方式，它利用“公用密钥”的加密技术，保证会话密钥在传输过程中不被截取。SSL默认端口号为“443”连接超时连接超时用来设置网站基本属性设置服务器断开未活动用户的时间(以秒为单位，默认值为120秒）。如果客户端在连续的一段时间内没有与服务器发生活动，就会被服务器强行断开，以确保HTTP协议在关闭连接失败时可以关闭所有连接11/19/20228设置网站的属性设置网站站点的标识11/11/20228设置网站的属性设置主目录设置主目录的路径主目录是指保存Web网站的文件夹，当用户访问该网站时，Web服务器会自动将该文件夹中的默认网页显示给客户端用户。默认的Web主目录为“C:\Intepub\wwwroot”文件夹此计算机上的目录:表示主目录的内容位于本地服务器的磁盘中另一台计算机上的共享:表示将主目录指定到位于另一台计算机上的共享文件夹重定向到URL:重定向用来将当前网站的地址指向其他地址演示主目录的设置设置主目录访问权限脚本资源访问，若要允许用户访问已经设置了“读取”或“写入”权限的资源代码读取，允许用户读取或下载文件(目录)及其相关属性；写入，允许用户将文件及其相关属性上载到服务器上已启用的目录中，或者更改可写文件的内容，但要注意，“写入”操作只能在支持http1.1协议标准的PUT功能的浏览器中进行，为安全起见，默认为不选中；目录浏览，允许用户查看该虚拟目录中文件和子目录的超文本列表，不过，虚拟目录不会显示在目录列表中，因此，如果用户欲访问虚拟目录，必须知道虚拟目录的别名，如果不选择该选项，用户试图访问文件或目录且又没有指定明确的文件名时，将在用户Web浏览器中显示“禁止访问”的错误消息；记录访问，在日志文件中记录对该目录的访问；索引此资源，允许MicrosoftIndexingService将该目录包含在Web站点的全文本索引中11/19/20229设置网站的属性设置主目录11/11/20229设置网站的属性设置默认文档Web网站都需要至少一个默认文档，当在IE浏览器中使用IP地址或域名访问时，Web服务器会将默认文档回应给浏览器，并显示其内容默认文档的文件名有5种，分别为Default.htm、Default.asp、Index.htm、iisstar.htm和Default.aspx，这是网站中最常用的主页名在访问时，系统会自动按顺序由上至下依次查找与之相对应的文件名，如果找不到，就会提示“DirectoryListingDenied(目录列表被拒绝)”演示主/虚拟目录默认文档的设置11/19/202210设置网站的属性设置默认文档11/11/202210设置网站的属性设置内容过期来更新要发布的信息勾选“启动内容过期”复选框，可设置失效时间。对时间敏感的资料中可能包括日期，如专门报价或事件公告，容易失效。浏览器将当前日期与失效日期进行比较，确定是显示高速缓存页还是从服务器请求一更新过的页面。“立即过期”表示网页一经下载就过期，浏览器每次请求都会重新下载网页；“在此时间段以后过期”表示设置相对于当前时刻的时间；“过期时间”则设置到期的具体时间。使用内容分级过滤暴力、暴露和色情内容Web的内容分级就是将说明性标签嵌入到Web页的HTTP头中，由Web浏览器检测这些内容标签并帮助用户识别潜在的、令人反感的Web内容。Web服务器默认的基于分级系统的Internet内容选择平台(PICS)使用由Internet内容分级协会(ICRA)开发的分级系统。它根据暴力、暴露、性和粗俗语言的等级来分级内容11/19/202211设置网站的属性设置内容过期来更新要发布的信息11/11/20设置网站的属性Web网站性能调整限制网站可以使用的网络带宽：设置最大带宽值，在控制IIS服务器向用户开放的网络带宽值的同时，也可能降低服务器的响应速度。网站连接：限制网站的同时连接数量能够保留一定的带宽，以用做其他服务11/19/202212设置网站的属性Web网站性能调整11/11/202212设置网站的属性设置用户验证启用匿名访问在安装过程中，将IUSR_computername账户添加到运行IIS的计算机上的Guests组中。在收到请求时，IIS在运行任何代码之前先模拟IUSR_computername账户，因为IIS知道该账户的用户名和密码。在将页面返回到客户端之前，IIS检查NTFS文件和目录权限，查看是否允许IUSR_computername账户访问该文件。如果允许访问，则访问进程(也称为“授权”)完成并给用户提供这些资源。如果不允许访问，IIS将尝试使用其他验证方法。如果没有作出任何选择，IIS则向浏览器返回“HTTP403访问被拒绝”错误消息。11/19/202213设置网站的属性设置用户验证11/11/202213设置网站的属性集成Windows身份验证集成Windows身份验证是一种安全的验证形式，因为在通过网络发送用户名和密码之前，先将它们进行哈希计算当启用集成Windows身份验证时，用户的浏览器通过与Web服务器进行密码交换(包括哈希)来证明其知晓密码集成Windows身份验证是WindowsServer2003家族成员使用的默认验证方法集成Windows身份验证包括Negotiate、Kerberos和NTLM验证方法。Negotiate(Kerberos和NTLM的包装)非常适用于连接Internet上的客户端，因为NTLM可以通过防火墙，但通常会被代理服务器挡住；而Kerberos可以通过代理服务器，但通常会被防火墙挡住。使用集成Windows身份验证对客户端进行身份验证的过程与基本身份验证不同，集成Windows身份验证开始时并不提示输入用户名和密码。客户机上的当前Windows用户信息可用于集成Windows身份验证。如果开始时的验证交换无法识别用户，则浏览器提示用户输入Windows账户用户名和密码，并使用集成Windows身份验证进行处理。InternetExplorer将继续提示用户，直到用户输入有效的用户名和密码或关闭提示窗窗口为止。11/19/202214设置网站的属性集成Windows身份验证11/11/202设置网站的属性基本身份验证(以明文形式发送密码)基本身份验证是HTTP规范的一部分并被大多数浏览器支持；由于用户名和密码没有加密，可能存在安全性风险。以基本验证方式确认用户身份，用于基本验证的Windows用户必须具有“本地登录”用户权限，因为基本验证将“模仿”为一个本地用户(即实际登录到服务器的用户)。使用“基本身份验证”对客户端进行身份验证的过程如下：InternetExplorerWeb浏览器显示一个窗口，以使用户输入先前分配的Windows账户用户名和密码(也称为“凭据”)。Web浏览器试图使用用户凭据与服务器建立连接。在通过网络发送明文密码之前，该密码采用的是Base64编码。Base64编码没有加密。如果使用Base64编码的密码在网络中被网络嗅探器截获，则未经授权的用户可以很容易地对该密码进行解码并重新使用。如果用户凭据被拒绝，则InternetExplorer显示一个身份验证窗口以重新输入用户凭据。InternetExplorer允许用户进行三次连接尝试，之后连接就会失败并向用户报告错误。如果Web服务器证实用户名和密码与有效MicrosoftWindows用户账户相符，则建立连接。11/19/202215设置网站的属性基本身份验证(以明文形式发送密码)11/11设置网站的属性IP地址和域名访问限制授权访问选择“授权访问”单选按钮，除了被明确拒绝的计算机以外，其他所有计算机都将被允许访问该Web网站拒绝访问选择“拒绝访问”单选按钮，除了被明确允许的计算机以外，其他所有计算机都将被拒绝访问该Web网站演示授权/拒绝访问的设置11/19/202216设置网站的属性IP地址和域名访问限制11/11/20221虚拟主机技术使用IIS6．0的虚拟主机技术，通过分配TCP端口、IP地址和主机头名，可以在一台服务器上建立多个虚拟Web网站，每个网站都具有惟一的、由端器号、IP地址和主机头名3部分组成的网站标识，用来接收来自客户端的请求，不同的Web网站可以提供不同的Web服务，而且每一个虚拟主机和一台独立的主机完全一样。虚拟技术将一个物理主机分割成多个逻辑上的虚拟主机使用，显然能够节省经费，对于访问量较小的网站来说比较经济实用，但由于这些虚拟主机共享这台服务器的硬件资源和带宽，在访问量较大时就容易出现资源不够用的情况。使用不同的虚拟主机技术，要根据现有的条件及要求，架设多个Web网站可以通过以下几种方式：演示使用不同IP地址架设多个Web网站。演示使用不同端口号架设多个Web网站。演示使用不同主机头架设多个Web网站。11/19/202217虚拟主机技术使用IIS6．0的虚拟主机技术，通过分配TCP在IE浏览器中测试WWW站点WWW站点的访问匿名访问时的格式为：http://服务器地址虚拟目录的访问格式为：http://服务器地址/虚拟目录名称/网页文件11/19/202218在IE浏览器中测试WWW站点WWW站点的访问11/11/建立基于SSL的安全Web站点Web安全通信首先安装证书，在建立连接之前证书可使Web服务器和用户互相进行验证证书也包含加密值，即密钥，用于在客户和服务器之间建立安全套接字层(SSL)连接通过SSL连接发送的信息(例如信用卡号码)将被加密，从而保证不被未授权的一方截取和使用。在SSL中使用的证书有两种类型，即服务器证书和客户证书。“服务器证书”包含关于服务器的信息，服务器允许客户在共享敏感信息之前对其加以积极识别。Web服务器只有安装有效服务器证书后才拥有安全通信功能。“客户证书”包含关于请求访问站点的客户的个人信息，可在允许其访问站点之前积极加以识别。演示证书的安装11/19/202219建立基于SSL的安全Web站点Web安全通信11/11/建立基于SSL的安全Web站点证书的编辑如果要使与该Web站点、目录、或文件建立连接的Web浏览器要求加密通信链接，需要选中“申请安全通道(SSL)”复选框客户证书是由可信任的第三方组织(称做证书授权机构)颁发的数字证书，可以设定Web服务器接受、请求或拒绝客户证书与特定文件或目录建立连接。若选中“启用客户证书映射”复选框，服务器就会验证使用有效客户证书登录的用户的身份证书信任列表(CTL)是特定Web站点的被认可的证书授权机构的列表。CTL的编辑或管理只能在Web级上进行，而不能在虚拟目录、文件或FTP站点级上进行11/19/202220建立基于SSL的安全Web站点证书的编辑11/11/202建立基于SSL的安全Web站点创建SSL加密站点收到服务器证书文件后，应当使用向导安装该文件，将证书附加或“绑定”到网站。设置Web网站的IP地址分配给端口“443”(安全通信的默认端口)在“安全通信”窗口，单击“编辑”按钮，选中“要求安全通道（SSL）”复选框。忽略客户端证书：允许用户不必提供客户端证书就可访问该站点。接受客户端证书：允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射。没有客户端证书的用户可以使用其他身份验证方法。要求客户端证书：仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而要求客户端证书前，必须选择“要求安全通道(SSL)”选项。启用客户端证书映射：可以将服务器配置成使用有效客户端证书对登录的用户进行身份验证。启用证书信任列表：编辑现有的CTL或创建新的CTL。CTL是用于特定网站的已核准的证书颁发机构列表，并且仅在网站级别可用。11/19/202221建立基于SSL的安全Web站点创建SSL加密站点11/11FTP服务器配置FTP(FileTransferProtocol，文件传输协议)用于实现客户端与服务端之间的文件传输。安装FTP服务FTP服务在安装后会自动运行，并且在默认状态下，该FTP服务器的主目录所在的文件夹为“c：＼inetpub＼ftproot”，默认允许来自任何IP地址的用户以匿名方式进行只读访问，即只能下载而无法上传文件演示FTP站点的建立11/19/202222FTP服务器配置FTP(FileTransferPro建立虚拟目录虚拟目录的创建演示在新创建的“FTP站点”站点中创建一个名为Soa的虚拟目录虚拟目录的配置与管理演示虚拟目录的配置与管理11/19/202223建立虚拟目录虚拟目录的创建11/11/202223配置站点属性设置IP地址和端口站点描述：“描述”文本框用于设置该FTP站点的标识，便于系统管理员区分和分别管理。FTP站点名称描述将显示在“FTP站点”目录树中。IP地址：如果该主机绑定有多个IP地址，那么可以在“IP地址”下拉列表中为该FTP站点指定一个IP地址。这样，客户端用户只能通过这一个IP地址访问该FTP服务器TCP端口：FTP服务的默认TCP端口为“21。由于FTP站点不能像Web站点那样采用主机头名来标识不同的站点，因此，当多个FTP站点只拥有一个IP地址时，只能采用修改TCP端口的方式，实现同一IP地址的多站点共存连接数量限制不受限制：不限制连接数量。适用于服务器配置和网络带宽都较高，仅为企业网络内部提供访问服务。连接限制为：限制同时连接到该站点的连接数量。连接超时：设置服务器断开未活动用户的时间(以秒为单位)，从而确保及时关闭失败的连接，或者长时间没有活动的连接，及时释放系统性能和网络带宽，减少无谓的系统资源和网络资源浪费。默认连接超时为120秒11/19/202224配置站点属性设置IP地址和端口11/11/202224配置站点属性设置主目录FTP服务的主目录是指映射为FTP根目录的文件夹，FTP站点中的所有文件全部保存在该文件夹中演示FTP站点主目录文件夹设置设置访问权限读取：允许用户查看或下载存储在主目录或虚拟目录中的文件。如果只允许用户下载文件，建议只选择该复选框。写入：允许用户向服务器中已启用的目录上传文件。除非该站点允许所有登录用户上传文件才可以选中该复选框，否则，应当取消该复选框，而只启用“读取”权限。另外，创建虚拟目录或虚拟网站时，只对特权用户开放“写入”权限。日志访问：启动日志，可以将对目录的访问活动记录在日志文件中。默认情况下日志是被启用的。若欲关闭日志，只需取消“启用日志”复选框即可目录列表样式目录列表样式只是用来设置显示在客户端计算机上的目录列表风格，并不会影响访问。MS-DOS：系统默认值为“MS-DOS”方式，MS-DOS目录列表风格以2位数格式显示年份。UNIX：UNIX目录列表风格以4位数格式显示年份，如果文件日期与FTP服务器相同，则不会返回年份11/19/202225配置站点属性设置主目录11/11/202225配置站点属性设置欢迎和退出消息标题：在客户端连接到FTP服务器之前，将显示此消息。通常用于设置该FTP站点的名称和用途。欢迎：当用户连接到FTP服务器时，将显示此消息。欢迎信息通常包含下列信息如：向用户致意、使用该FTP站点时应当注意的问题、站点所有者或管理者信息及联络方式、站点中各文件夹的简要描述或索引页的文件名、镜像站点名字和位置、上载或下载文件的规则说明等。退出：当用户从FTP服务器注销时，将显示此消息。通常为表达欢迎用户再次光临，向用户表示感谢之类的内容。最大连接数：当客户端试图连接到FTP服务器，但FTP服务已达到允许的最大客户端连接数，从而导致连接失败时，该显示此消息。11/19/202226配置站点属性设置欢迎和退出消息11/11/202226设置访问安全默认状态下，FTP站点允许用户匿名连接限制IP地址：可以只允许或拒绝某些特定范围内的计算机访问该FTP站点，从而可以在很大程度上避免来自外界的恶意攻击，并且将授权用户限制在某一个范围磁盘限额：FTP服务本身并没有提供磁盘限额功能，但是，可以借助Windows的NTFS磁盘限额功能实现。若欲在FTP站点赋予用户写入权限，应当启用磁盘限额功能。当然，FTP主目录必须位于NTFS系统分区，FAT32是无法设置磁盘配额的。当用户上传的文件超出容量限制时，系统将自动发出警告，提示用户超出空间配额，不能完成上传操作演示禁止匿名访问的设置演示限制IP地址的设置11/19/202227设置访问安全默认状态下，FTP站点允许用户匿名连接11/建立多FTP站点虚拟FTP站点可以拥有自己的IP地址和主目录，可以单独进行配置和管理，可以独立启动、暂停和停止，并且能够建立虚拟目录在创建虚拟站点之前，需要做好两个方面的准备设置多个IP地址。FTP站点的标识只有两个，即IP地址和端口号。若使用默认的端口号访问虚拟FTP站点，就必须为主机指定多个IP地址，使每个FTP站点都拥有一个IP地址。创建或指定主目录。每个虚拟FTP站点都拥有自己的主目录，因此，在创建虚拟FTP站点之前，必须先为其创建或指定主目录文件夹，并根据需要设置相应的访问权限，以实现更好的访问安全演示多FTP站点的建立11/19/202228建立多FTP站点虚拟FTP站点可以拥有自己的IP地址和主目在IE浏览器中测试FTP站点FTP站点的访问匿名访问时的格式为：ftp://服务器地址。访问FTP服务器的格式为：ftp://用户名：密码@FTP服务器地址。虚拟目录的访问格式为：ftp://服务器地址/虚拟目录名称采用FTP命令和工具测试FTP站点FTP站点的访问虚拟目录的访问11/19/202229在IE浏览器中测试FTP站点FTP站点的访问11/11/小结基本概念的介绍Web站点的建立、虚拟目录的建立、网站相关属性的配置、虚拟主机技术、站点测试和基于SSL的安全通信的建立FTP站点的建立、FTP站点虚拟目录的建立、站点相关属性的配置和FTP站点的测试等FTP服务器配置本章的学习，能独立完成Web站点的建立、测试、管理和维护等相关工作。通过对虚拟主机相关技术的学习，能建立基于主机头、IP地址或端口的多虚拟主机站点。并能独立完成FTP站点的建立、测试、管理和维护等相关工作。11/19/202230小结基本概念的介绍11/11/202230实验及报告要求：1、请根据虚拟主机技术的相关知识，选择其中的任两种方式，实行同一计算机能实现2个web站点同时运行的服务器功能2、按照实验报告格式要求完成：实验内容、步骤、实验注意事项、实验结论。3、每人交一份实验报告11/19/202231实验及报告要求：1、请根据虚拟主机技术的相关知识，选择其中的问题？如何设置连接、宽带和进程？这样做有什么好处？什么是虚拟服务器和虚拟目录？提供这些服务有什么好处

一台服务器既可以作为web服务器也可以作为FTP服务器吗？如果可以，服务器怎样辨别客户端访问的web服务还是ftp服务利用基于主机头建立的虚拟主机站点，主机头可以随便设置吗？为什么？11/19/202232问题？如何设置连接、宽带和进程？这样做有什么好处？11/11第五讲基于Windows的IIS服务器配置11/19/202233第五讲基于Windows的IIS服务器配置11/11/2本讲要点内容要求:IIS基本概念安装IIS6.0Web服务器配置Web服务器的测试FTP服务器配置FTP站点的测试重点Web服务器配置FTP服务器配置难点Web服务器配置11/19/202234本讲要点内容要求:11/11/20222IIS概述IIS管理器即Internet信息服务管理器，是一个用于配置应用程序池或网站、FTP站点、SMTP或NNTP站点的，基于MMC控制台的图形界面IIS最新版本为IIS6.0，它集成于WindowsServer2003操作系统中，启用了Web应用程序和XMLWeb服务，为Intranet和Internet提供了集成、可靠、可伸缩、安全和可管理的Web服务器功能，为动态网络应用程序创建了强大的通信平台11/19/202235IIS概述IIS管理器即Internet信息服务管理器，是IIS基本概念WWW服务：客户端可以通过HTTP请求连接到在IIS中运行的网站，WWW服务向客户端用户提供Web发布。文件传输协议服务(FTP)：IIS6.0通过FTP服务提供对管理和处理文件的完全支持，FTP服务使用传输控制协议(TCP)确保数据传输的准确性。简单邮件传输协议服务(SMTP)：IIS提供了SMTP服务，可以用来发送和接收电子邮件，也可以接收来自网站客户反馈的消息。不过，SMTP服务功能有限，不支持完整的电子邮件服务，因此，一般使用MicrosoftExchangeServer。网络新闻传输协议服务(NNTP服务)：使用NNTP服务可以主控单个计算机上的NNTP本地讨论组。该功能完全符合NNTP协议，所以用户可以使用任何新闻阅读客户端程序加入新闻组进行讨论。NNTP服务不支持复制。要利用新闻流或在多个计算机间复制新闻组，可以使用MicrosoftExchangeServer。IIS管理服务。IIS管理服务管理IIS配置数据库，并为WWW服务、FTP服务、SMTP服务和NNTP服务更新Windows注册表11/19/202236IIS基本概念WWW服务：客户端可以通过HTTP请求连接到安装IIS6.0安装前的准备为IIS的服务器指定IP地址为。用户访问网站一般都使用域名，因此，需在IIS服务器上安装DNS，并将DNS域名与IP地址注册到DNS服务器内。IIS网站的网页最好保存在NTFS分区内，以便通过NTFS权限来增加网页的安全性从控制面板安装(演示)通过“配置您的服务器向导”安装(演示)11/19/202237安装IIS6.0安装前的准备11/11/20225建立WWW站点WWW服务管理中一个基本的任务是添加站点。IIS为站点的添加提供了非常便捷的途径，在创建过程中，Web站点向导会提供与新建站点相关的不同对话框，提示用户输入信息。演示“myweb”站点的建立11/19/202238建立WWW站点WWW服务管理中一个基本的任务是添加站点。I建立虚拟目录在Internet上浏览网页时，经常会遇到一个网站下面有许多子目录的情况，这就是虚拟目录。虚拟目录只是一个文件夹，并不真正位于IIS宿主文件夹内(默认为C:\InetPub\wwwroot)，但在访问Web站点的用户看来，则如同位于IIS服务的宿主文件夹一样虚拟目录的意义便于扩展增删灵活易于配置创建虚拟目录使用虚拟目录创建向导创建一个名为lyj的虚拟目录，其路径为本地磁盘中的“D：\lyj”文件夹使用Web共享将普通文件夹lyj设为虚拟目录设置虚拟目录设置并修改该虚拟目录的各种配置11/19/202239建立虚拟目录在Internet上浏览网页时，经常会遇到一个设置网站的属性设置网站站点的标识在“网站标识”选项区域中的“描述”文本框中，可以设置该网站站点的标识，便于网络管理员进行区分指定Web站点的IP地址服务器可能会拥有多个IP地址，默认可使用该服务器绑定的任何一个IP地址访问Web网站指定Web服务的TCP端口默认端口为80，也可以更改为其他任意惟一的TCP端口号采用SSL加密web站点如果Web网站中的信息非常敏感，为防止中途被人截获，就可采用SSL加密方式，它利用“公用密钥”的加密技术，保证会话密钥在传输过程中不被截取。SSL默认端口号为“443”连接超时连接超时用来设置网站基本属性设置服务器断开未活动用户的时间(以秒为单位，默认值为120秒）。如果客户端在连续的一段时间内没有与服务器发生活动，就会被服务器强行断开，以确保HTTP协议在关闭连接失败时可以关闭所有连接11/19/202240设置网站的属性设置网站站点的标识11/11/20228设置网站的属性设置主目录设置主目录的路径主目录是指保存Web网站的文件夹，当用户访问该网站时，Web服务器会自动将该文件夹中的默认网页显示给客户端用户。默认的Web主目录为“C:\Intepub\wwwroot”文件夹此计算机上的目录:表示主目录的内容位于本地服务器的磁盘中另一台计算机上的共享:表示将主目录指定到位于另一台计算机上的共享文件夹重定向到URL:重定向用来将当前网站的地址指向其他地址演示主目录的设置设置主目录访问权限脚本资源访问，若要允许用户访问已经设置了“读取”或“写入”权限的资源代码读取，允许用户读取或下载文件(目录)及其相关属性；写入，允许用户将文件及其相关属性上载到服务器上已启用的目录中，或者更改可写文件的内容，但要注意，“写入”操作只能在支持http1.1协议标准的PUT功能的浏览器中进行，为安全起见，默认为不选中；目录浏览，允许用户查看该虚拟目录中文件和子目录的超文本列表，不过，虚拟目录不会显示在目录列表中，因此，如果用户欲访问虚拟目录，必须知道虚拟目录的别名，如果不选择该选项，用户试图访问文件或目录且又没有指定明确的文件名时，将在用户Web浏览器中显示“禁止访问”的错误消息；记录访问，在日志文件中记录对该目录的访问；索引此资源，允许MicrosoftIndexingService将该目录包含在Web站点的全文本索引中11/19/202241设置网站的属性设置主目录11/11/20229设置网站的属性设置默认文档Web网站都需要至少一个默认文档，当在IE浏览器中使用IP地址或域名访问时，Web服务器会将默认文档回应给浏览器，并显示其内容默认文档的文件名有5种，分别为Default.htm、Default.asp、Index.htm、iisstar.htm和Default.aspx，这是网站中最常用的主页名在访问时，系统会自动按顺序由上至下依次查找与之相对应的文件名，如果找不到，就会提示“DirectoryListingDenied(目录列表被拒绝)”演示主/虚拟目录默认文档的设置11/19/202242设置网站的属性设置默认文档11/11/202210设置网站的属性设置内容过期来更新要发布的信息勾选“启动内容过期”复选框，可设置失效时间。对时间敏感的资料中可能包括日期，如专门报价或事件公告，容易失效。浏览器将当前日期与失效日期进行比较，确定是显示高速缓存页还是从服务器请求一更新过的页面。“立即过期”表示网页一经下载就过期，浏览器每次请求都会重新下载网页；“在此时间段以后过期”表示设置相对于当前时刻的时间；“过期时间”则设置到期的具体时间。使用内容分级过滤暴力、暴露和色情内容Web的内容分级就是将说明性标签嵌入到Web页的HTTP头中，由Web浏览器检测这些内容标签并帮助用户识别潜在的、令人反感的Web内容。Web服务器默认的基于分级系统的Internet内容选择平台(PICS)使用由Internet内容分级协会(ICRA)开发的分级系统。它根据暴力、暴露、性和粗俗语言的等级来分级内容11/19/202243设置网站的属性设置内容过期来更新要发布的信息11/11/20设置网站的属性Web网站性能调整限制网站可以使用的网络带宽：设置最大带宽值，在控制IIS服务器向用户开放的网络带宽值的同时，也可能降低服务器的响应速度。网站连接：限制网站的同时连接数量能够保留一定的带宽，以用做其他服务11/19/202244设置网站的属性Web网站性能调整11/11/202212设置网站的属性设置用户验证启用匿名访问在安装过程中，将IUSR_computername账户添加到运行IIS的计算机上的Guests组中。在收到请求时，IIS在运行任何代码之前先模拟IUSR_computername账户，因为IIS知道该账户的用户名和密码。在将页面返回到客户端之前，IIS检查NTFS文件和目录权限，查看是否允许IUSR_computername账户访问该文件。如果允许访问，则访问进程(也称为“授权”)完成并给用户提供这些资源。如果不允许访问，IIS将尝试使用其他验证方法。如果没有作出任何选择，IIS则向浏览器返回“HTTP403访问被拒绝”错误消息。11/19/202245设置网站的属性设置用户验证11/11/202213设置网站的属性集成Windows身份验证集成Windows身份验证是一种安全的验证形式，因为在通过网络发送用户名和密码之前，先将它们进行哈希计算当启用集成Windows身份验证时，用户的浏览器通过与Web服务器进行密码交换(包括哈希)来证明其知晓密码集成Windows身份验证是WindowsServer2003家族成员使用的默认验证方法集成Windows身份验证包括Negotiate、Kerberos和NTLM验证方法。Negotiate(Kerberos和NTLM的包装)非常适用于连接Internet上的客户端，因为NTLM可以通过防火墙，但通常会被代理服务器挡住；而Kerberos可以通过代理服务器，但通常会被防火墙挡住。使用集成Windows身份验证对客户端进行身份验证的过程与基本身份验证不同，集成Windows身份验证开始时并不提示输入用户名和密码。客户机上的当前Windows用户信息可用于集成Windows身份验证。如果开始时的验证交换无法识别用户，则浏览器提示用户输入Windows账户用户名和密码，并使用集成Windows身份验证进行处理。InternetExplorer将继续提示用户，直到用户输入有效的用户名和密码或关闭提示窗窗口为止。11/19/202246设置网站的属性集成Windows身份验证11/11/202设置网站的属性基本身份验证(以明文形式发送密码)基本身份验证是HTTP规范的一部分并被大多数浏览器支持；由于用户名和密码没有加密，可能存在安全性风险。以基本验证方式确认用户身份，用于基本验证的Windows用户必须具有“本地登录”用户权限，因为基本验证将“模仿”为一个本地用户(即实际登录到服务器的用户)。使用“基本身份验证”对客户端进行身份验证的过程如下：InternetExplorerWeb浏览器显示一个窗口，以使用户输入先前分配的Windows账户用户名和密码(也称为“凭据”)。Web浏览器试图使用用户凭据与服务器建立连接。在通过网络发送明文密码之前，该密码采用的是Base64编码。Base64编码没有加密。如果使用Base64编码的密码在网络中被网络嗅探器截获，则未经授权的用户可以很容易地对该密码进行解码并重新使用。如果用户凭据被拒绝，则InternetExplorer显示一个身份验证窗口以重新输入用户凭据。InternetExplorer允许用户进行三次连接尝试，之后连接就会失败并向用户报告错误。如果Web服务器证实用户名和密码与有效MicrosoftWindows用户账户相符，则建立连接。11/19/202247设置网站的属性基本身份验证(以明文形式发送密码)11/11设置网站的属性IP地址和域名访问限制授权访问选择“授权访问”单选按钮，除了被明确拒绝的计算机以外，其他所有计算机都将被允许访问该Web网站拒绝访问选择“拒绝访问”单选按钮，除了被明确允许的计算机以外，其他所有计算机都将被拒绝访问该Web网站演示授权/拒绝访问的设置11/19/202248设置网站的属性IP地址和域名访问限制11/11/20221虚拟主机技术使用IIS6．0的虚拟主机技术，通过分配TCP端口、IP地址和主机头名，可以在一台服务器上建立多个虚拟Web网站，每个网站都具有惟一的、由端器号、IP地址和主机头名3部分组成的网站标识，用来接收来自客户端的请求，不同的Web网站可以提供不同的Web服务，而且每一个虚拟主机和一台独立的主机完全一样。虚拟技术将一个物理主机分割成多个逻辑上的虚拟主机使用，显然能够节省经费，对于访问量较小的网站来说比较经济实用，但由于这些虚拟主机共享这台服务器的硬件资源和带宽，在访问量较大时就容易出现资源不够用的情况。使用不同的虚拟主机技术，要根据现有的条件及要求，架设多个Web网站可以通过以下几种方式：演示使用不同IP地址架设多个Web网站。演示使用不同端口号架设多个Web网站。演示使用不同主机头架设多个Web网站。11/19/202249虚拟主机技术使用IIS6．0的虚拟主机技术，通过分配TCP在IE浏览器中测试WWW站点WWW站点的访问匿名访问时的格式为：http://服务器地址虚拟目录的访问格式为：http://服务器地址/虚拟目录名称/网页文件11/19/202250在IE浏览器中测试WWW站点WWW站点的访问11/11/建立基于SSL的安全Web站点Web安全通信首先安装证书，在建立连接之前证书可使Web服务器和用户互相进行验证证书也包含加密值，即密钥，用于在客户和服务器之间建立安全套接字层(SSL)连接通过SSL连接发送的信息(例如信用卡号码)将被加密，从而保证不被未授权的一方截取和使用。在SSL中使用的证书有两种类型，即服务器证书和客户证书。“服务器证书”包含关于服务器的信息，服务器允许客户在共享敏感信息之前对其加以积极识别。Web服务器只有安装有效服务器证书后才拥有安全通信功能。“客户证书”包含关于请求访问站点的客户的个人信息，可在允许其访问站点之前积极加以识别。演示证书的安装11/19/202251建立基于SSL的安全Web站点Web安全通信11/11/建立基于SSL的安全Web站点证书的编辑如果要使与该Web站点、目录、或文件建立连接的Web浏览器要求加密通信链接，需要选中“申请安全通道(SSL)”复选框客户证书是由可信任的第三方组织(称做证书授权机构)颁发的数字证书，可以设定Web服务器接受、请求或拒绝客户证书与特定文件或目录建立连接。若选中“启用客户证书映射”复选框，服务器就会验证使用有效客户证书登录的用户的身份证书信任列表(CTL)是特定Web站点的被认可的证书授权机构的列表。CTL的编辑或管理只能在Web级上进行，而不能在虚拟目录、文件或FTP站点级上进行11/19/202252建立基于SSL的安全Web站点证书的编辑11/11/202建立基于SSL的安全Web站点创建SSL加密站点收到服务器证书文件后，应当使用向导安装该文件，将证书附加或“绑定”到网站。设置Web网站的IP地址分配给端口“443”(安全通信的默认端口)在“安全通信”窗口，单击“编辑”按钮，选中“要求安全通道（SSL）”复选框。忽略客户端证书：允许用户不必提供客户端证书就可访问该站点。接受客户端证书：允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射。没有客户端证书的用户可以使用其他身份验证方法。要求客户端证书：仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而要求客户端证书前，必须选择“要求安全通道(SSL)”选项。启用客户端证书映射：可以将服务器配置成使用有效客户端证书对登录的用户进行身份验证。启用证书信任列表：编辑现有的CTL或创建新的CTL。CTL是用于特定网站的已核准的证书颁发机构列表，并且仅在网站级别可用。11/19/202253建立基于SSL的安全Web站点创建SSL加密站点11/11FTP服务器配置FTP(FileTransferProtocol，文件传输协议)用于实现客户端与服务端之间的文件传输。安装FTP服务FTP服务在安装后会自动运行，并且在默认状态下，该FTP服务器的主目录所在的文件夹为“c：＼inetpub＼ftproot”，默认允许来自任何IP地址的用户以匿名方式进行只读访问，即只能下载而无法上传文件演示FTP站点的建立11/19/202254FTP服务器配置FTP(FileTransferPro建立虚拟目录虚拟目录的创建演示在新创建的“FTP站点”站点中创建一个名为Soa的虚拟目录虚拟目录的配置与管理演示虚拟目录的配置与管理11/19/202255建立虚拟目录虚拟目录的创建11/11/202223配置站点属性设置IP地址和端口站点描述：“描述”文本框用于设置该FTP站点的标识，便于系统管理员区分和分别管理。FTP站点名称描述将显示在“FTP站点”目录树中。IP地址：如果该主机绑定有多个IP地址，那么可以在“IP地址”下拉列表中为该FTP站点指定一个IP地址。这样，客户端用户只能通过这一个IP地址访问该FTP服务器TCP端口：FTP服务的默认TCP端口为“21。由于FTP站点不能像Web站点那样采用主机头名来标识不同的站点，因此，当多个FTP站点只拥有一个IP地址时，只能采用修改TCP端口的方式，实现同一IP地址的多站点共存连接数量限制不受限制：不限制连接数量。适用于服务器配置和网络带宽都较高，仅为企业网络内部提供访问服务。连接限制为：限制同时连接到该站点的连接数量。连接超时：设置服务器断开未活动用户的时间(以秒为单位)，从而确保及时关闭失败的连接，或者长时间没有活动的连接，及时释放系统性能和网络带宽，减少无谓的系统资源和网络资源浪费。默认连接超时为120秒11/19/202256配置站点属性设置IP地址和端口11/11/202224配置站点属性设置主目录FTP服务的主目录是指映射为FTP根目录的文件夹，FTP站点中的所有文件全部保存在该文件夹中演示FTP站点主目录文件夹设置设置访问权限读取：允许用户查看或下载存储在主目录或虚拟目录中的文件。如果只允许用户下载文件，建议只选择该复选框。写入：允许用户向服务器中已启用的目录上传文件。除非该站点允许所有登录用户上传文件才可以选中该复选框，否则，应当取消该复选框，而只启用“读取”权限。另外，创建虚拟目录或虚拟网站时，只对特权用户开放“写入”权限。日志访问：启动日志，可以将对目录的访问活动记录在日志文件中。