分类: 系统运维
2008-03-28 14:56:34
四、IIS的高级服务配置
为了使当前IIS Server提供的IIS服务更加可靠,应当进行高级服务配置,从某种意义上,IIS代表着本企业或者校园网的形象,甚至作为网络办公的平台,其中往往涉及一些非常重要的数据资料,事实上,黑客们攻击的对象也大都是Web站点和FTP站点,因此IIS Server的安全越来越显得重要,所以IIS服务器需要配置包括对Web站点的访问帐号验证及访问的IP地址授权以及对FTP站点的访问帐号验证,上传文件权限配置以及对FTP站点提供的IP地址授权等等。
此外,还可以在Router2中做IP地址的访问控制ACL,通过ACL访问控制列表来拒绝或者接受来自各客户机的访问。
1.在IISserver中配置安全访问帐号
步骤○1为了在提供Web服务时进行身份验证,实例中,在IIS Server上建立一个用以提供Web访问的帐号webuser,并设置相应的密码为123456,如图19
图19
步骤○2为了在提供FTP服务时进行身份验证,实例中,在IIS Server上建立一个用以提供FTP访问的帐号ftpuser,并设置相应的密码为123456,如图20
图20
步骤○3添加IIS server的本地组webgroup,并将webuser添加至该组中,如图21
图21
步骤○4添加IIS server的本地组ftpgroup,并将ftpuser添加至该组中,如图22
图22
步骤○5打开在IIS server中为Web提供服务的主目录wwwroot的属性对话框,在安全选项卡中添加webuser用户,并为其设置相应的访问权限,如图23
图23
步骤○6打开IIS信息服务控制台,在默认的Web站点属性对话框中的目录安全性选项卡,将匿名访问前的复选框去掉,对WEB访问用户进行身份验证设置,如图24
图24
步骤○7打开IIS信息服务控制台,在默认的FTP站点属性对话框中的安全帐号选项卡,将允许匿名连接前的复选框去掉,并通过添加将ftpuser帐号加入其中,对FTP访问用户进行身份验证设置,如图25
图25
五、IIS高级服务测试
1.在PC1和PC2上做Web站点的访问测试
步骤○1在PC1和PC2中打开Internet Explorer浏览器,输入WEB站点的IP地址,访问后如图26
图26
步骤○2此时如不输入正确的webuser帐号及密码或者使用取消,访问将被拒绝。如图27
图27
步骤○3访问时提供正确的webuser帐号及密码后,如图28
图28
步骤○4正确的帐号Webuser验证通过以后,Web站点访问成功,如图29
图29
2.在PC1和PC2上做FTP站点的访问测试
步骤○1在PC1和PC2中打开Internet Explorer浏览器,输入FTP站点的IP地址,访问后如图30
图30
步骤○2此时如果不能提供正确的ftpuser帐户和密码,访问被拒绝,如果提供的帐号和密码正确,则如图31-图32
图31
图32
(3) 在PC4(Red Hat Linux 9)上做WEB站点及FTP站点测试,同样也需要提供正确的帐号和密码,在访问Web站点时提供webuser帐号,在访问FTP站点时提供ftpuser帐号。
(4) 比如使用RED HAT LINUX 9的终端登陆FTP站点,正常访问如图33,如果FTP站点配置了写入权限,还可以在PC4上上传文件至FTP站点,如图33中所示
图33
(5) 如果不能提供正确的ftpuser帐号和密码,访问将被拒绝。如图34
图34
六、在IIS server上做访问控制配置
1.在IIS Server上做Web服务的IP地址及域名限制,打开默认web站点属性对话框,并在目录性选项卡中通过编辑IP地址及域名限制,配置如图35
图35
2.在IIS Server上做FTP服务的IP地址及域名限制,打开默认FTP站点属性对话框,并在目录安全性选项卡中通过编辑IP地址及域名限制,配置如图36
图36
3. 此时,在PC4(IPAddress:172.16.1.3)和PC2(IPAddress:192.168.1.2)上访问可通过,能正常使用IISServer所提供的Web站点或者FTP站点服务,而在PC1(IPAddress:192.168.2.2)上访问被拒绝,如图37,图38
图37
图38
七、远程管理Web站点
由于某些时候在IIS Server上操作不是很方便,我们还需要对IIS进行远程管理,这样,只要能够通过局域网或者在企业网内部,事实上在INTERNET上也可以与IIS server服务器相连,就可以使用IE浏览器来实现对WEB站点的远程管理。
步骤1.在控制台中选择管理Web站点,打开管理web站点属性对话框,此时应注意端口的配置,在实例中选择默认的3914端口。如图39
图39
步骤2:打开操作员选项卡,将Webuser帐号添加进来,今后通过webuser帐号可对IIS进行远程管理。如图40
图40
步骤3:出于IIS管理的性,不允许任何机器登陆IIS服务器进行配置,我们将IP地址及域名限制到管理员经常使用的PC2机上。如图41
图41
步骤4:此时在PC1和PC4的浏览器中输入,访问被拒绝,而在PC2上输入管理WEB站点的地址,访问正常,可对IIS做远程的WEB站点管理,如图42
图42
八、在路由上做访问控制
为了在IIS Server上提供更加可靠的服务,如当前IIS Server向PC2和PC4提供IIS服务,而拒绝给PC1提供服务,这时候可以在上做ACL访问控制表。
实例中我们以Router2作为ACL控制路由器,登陆到Router2后,对Router2做标准的访问控制
router2#config t
Enter configuration commands, one per line. End with CNTL/Z.
router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255
router2(config)#int serial 0
router2(config-if)#ip access-group 1 in
router2(config-if)#exit
router2(config)#exit
router2#
使用show running-config 后可看到
ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!
这时从PC2(IPAdress 192.168.1.2)上访问IIS Server,服务被接受,访问正常。如果从PC1(IPAdress 192.168.2.2)上访问IIS Server,服务被觉得,无法正常访问。
总之,IIS在Intranet中提供了很重要的信息共享服务,但是在提供IIS服务时如果只是对其进行基本设置,提供匿名访问的话可能会带来许多安全性的问题,所以需要IIS Server的访问安全性做合理的规划,如访问身份验证和IP地址及域名访问控制,其中访问控制可以在IIS Server本身或者在路由器中做ACL的访问控制表进行安全访问控制。此外IIS还提供了虚拟网站和虚拟目录,虚拟网站可以将一个IIS服务器配置成多个WEB站点。
chinaunix网友2008-03-28 15:02:51
感谢斑竹,虽然网上有好多这样的文章,但您这跟我们紧密结合,图文并茂, 很是详尽。我的手机是13643457635,我会关注您的博客的!