通常一个网站进行IIS配置,需要配置端口、域名、主目录、默认文档等等步骤。而今天小编要给大家讲的是IIS配置网站访问权限和安全的部署问题。
在默认状态下,网站IIS配置是允许所有的用户匿名连接,也就是访问时不需要使用用户名和密码登录。但是,如果对网站的安全性要求高,或对网站中的信息有保密性,这就需要对用户限制,进制匿名访问,只允许特殊的用户账户才能进行访问。下面是IIS配置网站访问权限和安全的步骤:
1、IIS配置禁用匿名访问
第一步,在 IIS 管理器中,选择欲设置身份验证的 Web 站点,如图下图所示。
第二步,在站点主页窗口中,选择“身份验证”,双击,显示“身份验证”窗口。默认情况下,“匿名身份验证”为“启用”状态,如下图所示:
第三步,右击“匿名身份验证”,单击快捷菜单中的“禁用”命令,即可禁用匿名用户访问。
2、IIS配置使用身份验证
在 IIS 7.0 的身份验证方式中,还提供基本验证、Windows 身份验证和摘要身份验证。需要注意的是,一般在禁止匿名访问时,才使用其他验证方法。不过,在默认安装方式下,这些身份验证方法并没有安装。可在安装过程中或者安装完成后手动选择。
第一步,在“服务器管理器”窗口中,展开“角色”节点,选择“Web 服务器(IIS)”,单击“添加角色服务”,显示如下图所示的“选择角色服务”窗口。在“安全性”选项区域中,可选择欲安装的身份验证方式。
第二步,安装完成后,打开 IIS 管理器,再打开“身份验证”窗口,所经安装的身份验证方式显示在列表中,并且默认均为禁用状态,如下图所示。
可安装的身份验证方式共有三种,区别如下。
①基本身份验证:该验证会“模仿”为一个本地用户(即实际登录到服务器的用户),在访问 Web 服务器时登录。因此,若欲以基本验证方式确认用户身份,用于基本验证的 Windows 用户必须具有“本地登录”用户权限。默认情况下,Windows 主域控制器(PDC)中的用户账户不授予“本地登录”用户的权限。但使用基本身份验证方法将导致密码以未加密形式在网络上传输。蓄意破坏系统安全的人可以在身份验证过程中使用协议分析程序破译用户和密码。
②摘要式身份验证:该验证只能在带有 Windows 域控制器的域中使用。域控制器必须具有所用密码的纯文本复件, 因为必须执行散列操作并将结果与浏览器发送的散列值相比较。
③Windows 身份验证:集成 Windows 验证是一种安全的验证形式,它也需要用户输入用户账户和密码,但用户名和密码在通过网络发送前会经过散列处理,因此可以确保安全性。当启用 Windows 验证时,用户的浏览器通过 Web 服务器进行密码交换。Windows 身份验证使用 Kerberos v5 验证和 NTLM 验证。 如果在 Windows 域控制器上安装了 Active directory 服务,并且用户的浏览器支持 Kerberos v5 验证协议,则使用Kerberos v5 验证,否则使用 NTLM 验证。
Windows 身份验证优先于基本验证, 但它并不提示用户输入用户名和密码, 只有 Windows验证失败后,浏览器才提示用户输入其用户名和密码。Windows 身份验证非常安全, 但是在通过 HTTP 代理连接时,Windows 身份验证不起作用,无法在代理服务器或其他防火墙应用程序后使用。因此,Windows 身份验证最适合企业 Intranet 环境。
例如,当 Web 服务器使用基本身份验证时,在客户端访问该网站时,会提示如下图所示,窗口。在“用户名”和“密码”文本框中,输入合法的用户名及密码,单击“确定”按钮即可打开该网页。
3、通过 IIS配置IP 地址限制保护网站
在 IIS 中,还可以通过限制 IP 的方式来增加网站的安全性。通过允许或拒绝来自特定 IP地址的访问,可以有效地避免非法用户的访问。不过,这种方式只适合于向特定用户提供 Web网站的情况。同样,“IP 地址限制”功能也需要手动安装,可在“选择角色服务”窗口中勾选“IP 和域限制”复选框以进行安装。
设置允许访问的 IP 地址的操作步骤如下。
第一步,打开 IIS 管理器,选择欲限制的 Web 站点,双击“IPv4 地址和域限制”图标,显示如下图所示的“IPv4 地址和域限制”窗口。
第二步,在右侧“操作”任务栏中,单击“添加允许条目”链接,显示如下图所示的“添加允许限制规则”窗口。如果要添加一个 IP 地址,可点选“特定 IPv4 地址”单选按钮,并输入允许访问的 IP 地址即可;如果要添加一个 IP 地址段,可点选“IPv4 地址范围”单选按钮,并输入 IP 地址及子网掩码即可。
第三步,单击“确定”按钮,IP 地址添加完成。“拒绝访问”与“允许访问”正好相反。通过“拒绝访问”设置将拒绝来自一个 IP 地址或 IP 地址段的计算机访问 Web 站点。不过,已授予访问权限的计算机仍可访问。单击“添加拒绝条目”按钮,在打开的“添加拒绝限制规则”窗口中,添加拒绝访问的 IP 地址,如下图所示。其操作步骤与“添加允许条目”中相同,这里不再赘述。