通常一個網(wǎng)站進(jìn)行IIS配置,需要配置端口、域名、主目錄、默認(rèn)文檔等等步驟。而今天小編要給大家講的是IIS配置網(wǎng)站訪問權(quán)限和安全的部署問題。
通常一個網(wǎng)站進(jìn)行IIS配置,需要配置端口、域名、主目錄、默認(rèn)文檔等等步驟。而今天小編要給大家講的是IIS配置網(wǎng)站訪問權(quán)限和安全的部署問題。
在默認(rèn)狀態(tài)下,網(wǎng)站IIS配置是允許所有的用戶匿名連接,也就是訪問時不需要使用用戶名和密碼登錄。但是,如果對網(wǎng)站的安全性要求高,或?qū)W(wǎng)站中的信息有保密性,這就需要對用戶限制,進(jìn)制匿名訪問,只允許特殊的用戶賬戶才能進(jìn)行訪問。下面是IIS配置網(wǎng)站訪問權(quán)限和安全的步驟:
1、IIS配置禁用匿名訪問
第一步,在 IIS 管理器中,選擇欲設(shè)置身份驗證的 Web 站點,如圖下圖所示。
第二步,在站點主頁窗口中,選擇“身份驗證”,雙擊,顯示“身份驗證”窗口。默認(rèn)情況下,“匿名身份驗證”為“啟用”狀態(tài),如下圖所示:
第三步,右擊“匿名身份驗證”,單擊快捷菜單中的“禁用”命令,即可禁用匿名用戶訪問。
2、IIS配置使用身份驗證
在 IIS 7.0 的身份驗證方式中,還提供基本驗證、Windows 身份驗證和摘要身份驗證。需要注意的是,一般在禁止匿名訪問時,才使用其他驗證方法。不過,在默認(rèn)安裝方式下,這些身份驗證方法并沒有安裝。可在安裝過程中或者安裝完成后手動選擇。
第一步,在“服務(wù)器管理器”窗口中,展開“角色”節(jié)點,選擇“Web 服務(wù)器(IIS)”,單擊“添加角色服務(wù)”,顯示如下圖所示的“選擇角色服務(wù)”窗口。在“安全性”選項區(qū)域中,可選擇欲安裝的身份驗證方式。
第二步,安裝完成后,打開 IIS 管理器,再打開“身份驗證”窗口,所經(jīng)安裝的身份驗證方式顯示在列表中,并且默認(rèn)均為禁用狀態(tài),如下圖所示。
可安裝的身份驗證方式共有三種,區(qū)別如下。
①基本身份驗證:該驗證會“模仿”為一個本地用戶(即實際登錄到服務(wù)器的用戶),在訪問 Web 服務(wù)器時登錄。因此,若欲以基本驗證方式確認(rèn)用戶身份,用于基本驗證的 Windows 用戶必須具有“本地登錄”用戶權(quán)限。默認(rèn)情況下,Windows 主域控制器(PDC)中的用戶賬戶不授予“本地登錄”用戶的權(quán)限。但使用基本身份驗證方法將導(dǎo)致密碼以未加密形式在網(wǎng)絡(luò)上傳輸。蓄意破壞系統(tǒng)安全的人可以在身份驗證過程中使用協(xié)議分析程序破譯用戶和密碼。
②摘要式身份驗證:該驗證只能在帶有 Windows 域控制器的域中使用。域控制器必須具有所用密碼的純文本復(fù)件, 因為必須執(zhí)行散列操作并將結(jié)果與瀏覽器發(fā)送的散列值相比較。
③Windows 身份驗證:集成 Windows 驗證是一種安全的驗證形式,它也需要用戶輸入用戶賬戶和密碼,但用戶名和密碼在通過網(wǎng)絡(luò)發(fā)送前會經(jīng)過散列處理,因此可以確保安全性。當(dāng)啟用 Windows 驗證時,用戶的瀏覽器通過 Web 服務(wù)器進(jìn)行密碼交換。Windows 身份驗證使用 Kerberos v5 驗證和 NTLM 驗證。 如果在 Windows 域控制器上安裝了 Active directory 服務(wù),并且用戶的瀏覽器支持 Kerberos v5 驗證協(xié)議,則使用Kerberos v5 驗證,否則使用 NTLM 驗證。
Windows 身份驗證優(yōu)先于基本驗證, 但它并不提示用戶輸入用戶名和密碼, 只有 Windows驗證失敗后,瀏覽器才提示用戶輸入其用戶名和密碼。Windows 身份驗證非常安全, 但是在通過 HTTP 代理連接時,Windows 身份驗證不起作用,無法在代理服務(wù)器或其他防火墻應(yīng)用程序后使用。因此,Windows 身份驗證最適合企業(yè) Intranet 環(huán)境。
例如,當(dāng) Web 服務(wù)器使用基本身份驗證時,在客戶端訪問該網(wǎng)站時,會提示如下圖所示的“連接到www.zzidc.com”窗口。在“用戶名”和“密碼”文本框中,輸入合法的用戶名及密碼,單擊“確定”按鈕即可打開該網(wǎng)頁。
3、通過 IIS配置IP 地址限制保護(hù)網(wǎng)站
在 IIS 中,還可以通過限制 IP 的方式來增加網(wǎng)站的安全性。通過允許或拒絕來自特定 IP地址的訪問,可以有效地避免非法用戶的訪問。不過,這種方式只適合于向特定用戶提供 Web網(wǎng)站的情況。同樣,“IP 地址限制”功能也需要手動安裝,可在“選擇角色服務(wù)”窗口中勾選“IP 和域限制”復(fù)選框以進(jìn)行安裝。
設(shè)置允許訪問的 IP 地址的操作步驟如下。
第一步,打開 IIS 管理器,選擇欲限制的 Web 站點,雙擊“IPv4 地址和域限制”圖標(biāo),顯示如下圖所示的“IPv4 地址和域限制”窗口。
第二步,在右側(cè)“操作”任務(wù)欄中,單擊“添加允許條目”鏈接,顯示如下圖所示的“添加允許限制規(guī)則”窗口。如果要添加一個 IP 地址,可點選“特定 IPv4 地址”單選按鈕,并輸入允許訪問的 IP 地址即可;如果要添加一個 IP 地址段,可點選“IPv4 地址范圍”單選按鈕,并輸入 IP 地址及子網(wǎng)掩碼即可。
第三步,單擊“確定”按鈕,IP 地址添加完成。 “拒絕訪問”與“允許訪問”正好相反。通過“拒絕訪問”設(shè)置將拒絕來自一個 IP 地址或 IP 地址段的計算機(jī)訪問 Web 站點。不過,已授予訪問權(quán)限的計算機(jī)仍可訪問。單擊“添加拒絕條目”按鈕,在打開的“添加拒絕限制規(guī)則”窗口中,添加拒絕訪問的 IP 地址,如下圖所示。其操作步驟與“添加允許條目”中相同,這里不再贅述。
河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話:
0371-60135995
服務(wù)熱線:
0371-60135900