IIS网站访问权限与安全配置教程

网站有很多地方需要IIS配置，比如IIS配置端口、域名、主目录、默认文档等。小编今天想跟大家分享的是IIS配置网站访问权限和安全。默认情况下，所有用户都允许匿名连接IIS网站，即访问时不必使用用户名和密码登录。但如果网站的安全要求较高，或者网站含有机密信息，就必须对用户进行限制，禁止匿名访问，只允许特殊用户账户访问。 1。 IIS 配置禁用匿名访问 第一步是在 IIS 管理器中选择要设置身份验证的网站，如图 8-18 所示。 第二步，在站点首页窗口中选择“身份验证”，双击显示身份验证窗口。默认情况下，“匿名验证”处于“启用”状态，如图8-19所示。 第三步是禁用匿名用户访问，方法是单击“匿名身​​份验证”，然后单击快捷菜单中的“禁用”命令。 2。使用身份验证的 IIS 配置 IIS 7.0 中的身份验证方法中，还提供了基本身份验证、Windows 身份验证和摘要身份验证。需要说明的是，在禁止匿名访问的情况下，一般会采用其他验证方式。但是，在默认安装中，未安装这些身份验证方法。这可以在安装过程中或安装完成后手动选择。第一步，在“服务器管理器”窗口中展开“角色”节点，选择“Web服务器（IIS）”，点击“添加角色服务”，显示“选择角色服务”如图8- 20显示。窗户。在“安全”选项区域中，您可以选择要安装的身份验证方法。 第二步，安装完成后，打开IIS管理器，然后打开身份验证窗口。列表中显示已安装的认证方式，默认关闭，如图8-21所示。 可安装三种认证方式，区别如下。 ①基本身份验证：该身份验证会“冒充”本地用户（即实际登录服务器的用户），在访问Web服务器时进行登录。因此，为了确认基本身份验证用户的身份，用于基本身份验证的Windows用户必须具有“本地登录”用户权限。默认情况下，Windows 主域控制器 (PDC) 中的用户帐户不会向用户授予“本地到本地”权限。但所使用的基本身份验证方法将以未加密的形式通过网络传输密码。故意试图破坏系统安全的人可能会在身份验证过程中使用协议分析器来破译用户和密码。② 摘要式身份验证：此身份验证只能在具有 Windows 域控制器的域中使用。域控制器必须拥有所用密码的纯文本副本，因为必须执行哈希运算并将结果与​​发送到浏览器的哈希值进行比较。 ③ Windows 身份验证：集成 Windows 身份验证是一种安全的身份验证形式，也要求用户输入用户帐户和密码，但用户名和密码在通过网络发送之前经过哈希处理，从而确保安全。启用 Windows 身份验证后，用户的浏览器与 Web 服务器交换密码。 Windows 身份验证使用 Kerberos v5 身份验证和 NTLM 身份验证。如果Windows域控制器上安装了Active Directory服务，并且用户的浏览器支持Kerberos v5身份验证协议，则使用Kerberos v5身份验证，否则使用NTLM身份验证。 Windows 身份验证优先于基本身份验证，但它不会提示用户输入用户名和密码。仅当 Windows 身份验证失败后，浏览器才会要求用户输入用户名和密码。 Windows 身份验证非常安全，但在通过 HTTP 代理连接时不起作用，并且不能在代理服务器或其他防火墙应用程序后面使用。因此，Windows 身份验证最适合企业 Intranet 环境。例如，如果Web服务器采用基本认证，则客户端访问Web页面时，会出现“连接www.zzidc.com”窗口，如图8-22所示。在“用户名”和“密码”文本字段中输入合法的用户名和密码，然后单击“确定”按钮打开网站。 3。通过 IIS 配置 IP 地址限制来保护网站 在 IIS 中，您还可以通过限制 IP 来提高网站的安全性。通过允许或拒绝特定IP地址的访问，可以有效避免非法用户的访问。然而，这种方法仅适用于向特定用户交付网页。同样，“IP地址限制”功能也必须手动安装。您可以通过选中“选择角色服务”窗口中的“IP 和域限制”复选框来安装它。设置可访问的IP地址的步骤如下。第一步，打开IIS管理器，选择需要限制的网站，双击“IPv4地址和域限制”图标，显示“IPv4地址和域限制”窗口，如图8-23所示。 第二步，在右侧“操作”任务栏中，单击“添加允许的条目”链接，显示“添加允许的限制规则”窗口，如图8-24所示。如果您想添加IP地址，可以点击“特定IPv4地址”单选按钮，输入允许的IP地址；如果要添加IP地址范围，可以单击“IPv4地址范围”单选按钮，然后输入IP地址和子网掩码。 第三步，点击“确定”按钮，IP地址将被添加。 “拒绝访问”与“允许访问”相反。拒绝访问设置拒绝来自某个 IP 地址或 IP 地址范围的计算机访问网站。但是，已访问过的计算机仍然可以访问。单击“添加拒绝条目”按钮，在打开的“添加拒绝限制规则”窗口中添加拒绝访问的IP地址，如图8-25所示。步骤与“添加允许的条目”相同，此处不再重复。