当用户连接到我们的 IIS 服务器时，服务器会将其 IP 地址发送到用户的系统（作为服务器响应的一部分）。如何隐藏服务器的 IP 地址以使用户无法看到呢？

这是一个潜在的安全问题，您应该对所有 IIS 服务器进行检查。默认情况下，IIS 4、5 或 6 对客户端请求做出的响应类似于以下内容：

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Content-Location:
Date: Thu, 18 Feb 1999 14:03:52 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Wed, 06 Jan 1999 18:56:06 GMT
ETag: "067d136a639be1:15b6"
Content-Length: 4325

以上示例中暴露了服务器的 IP 地址。在很多情况下，这不是我们希望看到的，因为服务器的 IP 地址是在 NAT 设备或反向代理后面的专用网络中，这就会为准攻击者提供网络基础结构方面的信息。

可以使用几种方法来纠正这一问题。对于 IIS 5（和 IIS 4），请将配置数据库属性 W3SVC\UseHostName 设置为 True。请注意，必须停止并再次启动 IIS，才能使这一更改生效。

在 IIS 6 上，您需要安装 PSS 提供的修复程序（在 Windows Server 2003 SP1 发布之前）。在 中，您可以找到有关此 IIS 6 修复程序的详细信息，其中包括技术支持联系电话号码。

另一种防止用户看到服务器 IP 地址的方法是，使用 ASP 或 ASP.net 来替代静态 HTML 页面（.htm 或 .html），并创建可以发回特定“内容-位置”字段的自定义标题。

对于 IIS 4、5 和 6.0，可以将 Web 站点设置为使用主机标题来响应所有内容请求。如果 Web 站点上使用了主机标题，则在“内容-位置”字段中不会返回服务器的 IP 地址。有关如何使用主机标题名称从一个 IP 地址托管多个站点的其他信息，请参阅 Microsoft 知识库文章 190008。